So sicher ist Google Cloud

Immer mehr Unternehmen führen Cloud Computing ein und verlagern sensible Daten und kritische Vermögenswerte in die Cloud. Etliche aber trauen den modernen Technologien noch nicht oder zumindest nicht ganz. Sie vermuten den Verlust ihrer Datenhoheit und haben Sorge, dass sie vor Cyberangriffen nicht ausreichend geschützt sind. Zudem fürchten sie Sanktionen, weil Gesetze, Vorschriften und ethische Standards womöglich in der Cloud nicht eingehalten werden. Dabei sind die Sicherheitsvorkehrungen und Ansprüche an Compliance führender Anbieter wie Google Cloud auf einem so hohen Level, dass Unternehmen allein mit On-Premise-Lösungen nur unter hohem Zeit- und Kostenaufwand herankommen.

Sicherheitsverantwortung geregelt abgeben

Einer der Hauptvorteile von Google Cloud ist für viele Unternehmen gleichzeitig der grösste Knackpunkt: Kundinnen und Kunden geben die Verantwortung für einen Teil ihrer IT-Infrastruktur an den Anbieter ab. Einige Unternehmen fühlen sich «ausgeliefert» und haben wenig Vertrauen in die Sicherheit und Compliance des Cloud-Anbieters. Diese Bedenken sind aber grundlos, wie wir finden, denn Google investiert viel in die Security und hält diese auf stets aktuellem und hohem Niveau. Auch die Compliance-Bestrebungen von Organisationen unterstützt Google durch Zertifizierungen und Prüfungen durch Dritte.

Google bietet einige integrierte Cloud-Sicherheitsprodukte, um die Daten der Organisationen vor unbefugten Zugriffen zu schützen – zum Beispiel Datenverschlüsselung, Virtual Private Cloud, Protokollzugriff, Web-App- und API-Protection. Zudem bietet Google Cloud unterschiedliche Modelle der gemeinsamen Verantwortung an: Bei einem SaaS-Produkt (Software as a Service) geben Kundinnen und Kunden mehr Verantwortung ab als bei einem IaaS- oder PaaS-Angebot (Infrastructure as a Service, Platform as a Service). So können Unternehmen entscheiden, wie viel Sicherheitsverantwortung sie auslagern und wie viel Zugriff und Kontrolle sie selbst verwalten.

Auch hybride Szenarien sind mit Google Cloud möglich. Mit «Anthos» bietet Google eine konsistente Kubernetes-Umgebung, mit der sich Anwendungen in lokaler Umgebung und in der Cloud ausführen lassen.

Von Confidential Computing über IAP zu Zero Trust

Google Cloud hält sehr fortschrittliche Sicherheitsstrategien bereit, um Unternehmen maximalen Schutz zu bieten. Dazu zählen Confidential Computing, IAP und Zero Trust.

1. Confidential Computing
Mit Confidential Computing bietet Google eine Technologie für Kundinnen und Kunden mit besonders hohen Sicherheitsanforderungen: Daten werden im Arbeitsspeicher sowohl beim Speichern als auch bei der Übertragung und Verarbeitung verschlüsselt.
Google Confidential Computing umfasst eine Reihe an Produkten, darunter:

• Confidential VMs: Verschlüsselt aktive Daten während der Verarbeitung
• Confidential Space: Fasst sensible Daten zusammen, analysiert sie und wahrt zeitgleich ihre Vertraulichkeit
• Confidential Dataflow: Unterstützt Streaminganalysen und Anwendungen für maschinelles Lernen
• Confidential Dataproc: Ermöglicht Big-Data-Verarbeitung

2. IAP
Identity-Aware-Proxy – kurz IAP – ist ein globaler Dienst. Mit diesem richten Kundinnen und Kunden eine zentrale Autorisierungsebene für Anwendungen ein, der Zugriff erfolgt über HTTPS. Nur Benutzerinnen und Benutzer mit der richtigen Identity-and-Access-Management-Rolle können dann auf die Anwendungen zugreifen. Mit IAP kontrollieren Organisationen Zugriffe auf Anwendungsebene und verlassen sich nicht allein auf Firewalls auf Netzwerkebene.

3. Zero Trust
Das Modell Zero Trust stuft keinerlei Personen und Geräte standardmässig als vertrauenswürdig ein – auch dann nicht, wenn sie sich bereits im Netzwerk des Unternehmens befinden. Jede Zugriffsanfrage wird so behandelt, als würde sie von einem nicht vertrauenswürdigen Netzwerk stammen und muss zunächst geprüft, authentifiziert und verifiziert werden. So erzwingt Google im gesamten Netzwerk eine strenge Authentifizierung und Autorisierung von Identitäten.

Das Compliance Resource Center

Unternehmen können Google Cloud auf ihre jeweilige Branche zuschneiden und auch die Compliance-Anforderungen ihrer Branche und Region erfüllen. Hierbei unterstützt das Compliance Resource Center.

Im Compliance Resource Center können Sie nach Ländern, Regionen, Branchen und bestimmten Schwerpunkten – zum Beispiel Security – filtern. Sie erhalten dann eine Übersicht über alle für Sie relevanten Richtlinien und Gesetze und können per Klick hierzu detaillierte Infos einsehen. Auch wie Google diese einhält und welche spezifischen Produkte es gegebenenfalls zur Unterstützung gibt, erfahren Sie hier. So erfüllt Google Cloud zum Beispiel die für die Schweiz relevanten Richtlinien FINMA, ISAE 3000 Type 2 Report und revFADP.

Ihr Weg zu mehr Sicherheit mit Google Cloud

Um den eigenen Teil der Sicherheitsverantwortung zu erfüllen, brauchen Organisationen spezialisierte Fachleute, die die richtigen Techniken zur Überwachung und Verbesserung der Infrastruktur sowie zur Sicherung der Daten in Google Cloud beherrschen. 

Digicomp bietet als offizieller Authorized Training Partner die passenden Weiterbildungsangebote an. Die Trainings behandeln die spezifischen Security-Themen und sind modular aufgebaut – so steigen Sie auf Ihrem aktuellen Level ein und bauen Ihr Wissen gezielt aus.