Sicherheitserklärung für Google Cloud Services
Übersicht über die angewendeten Maßnahmen zur Sicherung der Google Cloud Infrastruktur. In diesem Dokument finden Sie eine detailierte Aufstellung der allgemeinen Informationen und Maßnahmen zur Sicherstellung der Verfügbarkeit der Google Cloud Services
Physische Sicherheit
Zugangskontrollen
- Sicherheitspersonal vor Ort, das rund um die Uhr präsent ist
- Mehrstufige Authentifizierung, einschließlich Kartenleser und biometrischer Systeme
- Protokollierung und Überwachung von Zugriffsaktivitäten
Überwachung und Sicherheitssysteme
- Videoüberwachung rund um die Uhr, sowohl innerhalb als auch außerhalb der Einrichtungen
- Alarm- und Eindringlingserkennungssysteme, die bei einem Sicherheitsvorfall sofortige Benachrichtigungen senden
- Regelmäßige Sicherheitsüberprüfungen und -tests, um Schwachstellen aufzudecken und zu beheben
Gebäudesicherheit und Infrastrukturschutz
- Robuste Gebäudekonstruktion und Materialien, die den Einrichtungen Widerstandsfähigkeit verleihen
- Redundante Stromversorgung, um den Betrieb bei Ausfällen aufrechtzuerhalten
- Klimatisierung und Brandschutzsysteme, um die Sicherheit der Hardware und der Daten zu gewährleisten
Standortauswahl und geografische Verteilung
- Google wählt Rechenzentrumsstandorte mit Bedacht aus.
- Faktoren wie politische Stabilität, Zugänglichkeit und Naturkatastrophen-Risiken werden berücksichtigt.
- Geografische Verteilung der Rechenzentren erhöht Ausfallsicherheit.
- Ziel ist die Gewährleistung der Verfügbarkeit von Diensten und Daten.
Sicherstellung der Verfügbarkeit
Geografisch verteilte Rechenzentren
Google betreibt mehrere Rechenzentren in verschiedenen Regionen auf der ganzen Welt. Diese geografische Verteilung erhöht die Ausfallsicherheit und ermöglicht es, Dienste und Daten auch bei regionalen Störungen oder Katastrophen aufrechtzuerhalten.
Datenreplikation und Backups
Google repliziert Kundendaten automatisch über mehrere Rechenzentren und erstellt regelmäßige Backups, um den Verlust von Daten zu verhindern und eine schnelle Wiederherstellung im Falle eines Ausfalls zu ermöglichen.
Redundante Systeme und Komponenten
Das Google Cloud Ökosystem baut auf redundante Systeme und Komponenten, um die Verfügbarkeit von Diensten und Daten auch bei Hardware- oder Netzwerkausfällen sicherzustellen. Dazu gehören redundante Stromversorgungen, Netzwerkverbindungen und Speichersysteme. Im Falle eines Ausfalls werden automatische Failover-Systeme aktiviert, um den Dienst schnellstmöglich wiederherzustellen.
Lastverteilung und Skalierung
Google verwendet für die Clouddienste automatische Lastverteilung und Skalierung, um die Leistung und Verfügbarkeit von Diensten auch bei Spitzenlasten oder unerwartetem Datenverkehr aufrechtzuerhalten. Durch das Hinzufügen von Ressourcen bei steigender Nachfrage oder das automatische Umschalten auf weniger ausgelastete Systeme wird sichergestellt, dass Dienste und Daten stets verfügbar sind.
Überwachung und Incident-Management
Google überwacht kontinuierlich die Leistung und Verfügbarkeit seiner Cloud-Dienste und Infrastruktur. Bei Anzeichen von Problemen oder Ausfällen wird das Incident-Management-Team benachrichtigt, um schnell auf mögliche Störungen zu reagieren und den normalen Betrieb wiederherzustellen.
Service Level Agreements (SLAs)
Google verpflichtet sich in seinen Service Level Agreements (SLAs) zu hohen Verfügbarkeitsstandards für seine Cloud-Dienste. Diese SLAs bieten Kunden Sicherheit hinsichtlich der erwarteten Verfügbarkeit und enthalten Regelungen für den Fall, dass die vereinbarten Leistungskennzahlen nicht erreicht werden.
Netzwerkschutz
Verschlüsselung
Google Cloud Datenwerden verschlüsselt, sowohl im Ruhezustand als auch während der Übertragung. Die Verschlüsselung wird automatisch angewendet und schützt Kundendaten vor unbefugtem Zugriff oder Abhören. Für Google Cloud Produkte werden starke Verschlüsselungsalgorithmen und -schlüssel verwendet, um die Vertraulichkeit der Daten zu gewährleisten.
Firewall und Zugangskontrollen
Google verwendet Firewalls und Zugangskontrollen, um den Datenverkehr im Netzwerk zu überwachen und zu filtern. Die Firewall schützt vor unbefugtem Zugriff und Angriffen von außen, während Zugangskontrollen sicherstellen, dass nur autorisierte Benutzer und Systeme auf Ressourcen zugreifen können.
Intrusion Detection und Prevention Systeme (IDPS)
Google setzt für die Sicherheit seiner Dienste auf Intrusion Detection und Prevention Systeme (IDPS), um Netzwerkaktivitäten zu überwachen und schnell auf verdächtige oder schädliche Aktivitäten zu reagieren. Diese Systeme erkennen Angriffsversuche, Malware oder andere Bedrohungen und blockieren bzw. melden sie entsprechend weiter.
DDoS-Schutz
Google Cloud Dienste bieten Schutz vor Distributed-Denial-of-Service (DDoS)-Angriffen, indem automatisch verdächtigen Datenverkehr identifiziert und abwehrt wird. Durch die mögliche Skalierung der Infrastruktur und die kontinurierliche Verteilung des Datenverkehrs auf mehrere Rechenzentren kann Google für seine Cloud-Dienste die Auswirkungen von DDoS-Angriffen minimieren.
Segmentierung und Isolation
Google verwendet Netzwerksegmentierung und strenge Isolation, um sicherzustellen, dass Anwendungen und Daten getrennt voneinander gespeichert und verarbeitet werden. Durch die Trennung von Netzwerken und Ressourcen werden potenzielle Angriffsvektoren reduziert und die Sicherheit von Kundendaten erhöht.
Regelmäßige Sicherheitsüberprüfungen und -tests
Google führt regelmäßige Sicherheitsüberprüfungen und -tests aller Cloud-Dienste in Form verschiedener Audits durch, um Schwachstellen im Netzwerk zu identifizieren und zu beheben. Die Ergebnisse dieser Tests werden genutzt, um Sicherheitsmaßnahmen kontinuierlich zu verbessern und das Netzwerk vor aktuellen und neuen Bedrohungen zu schützen.
Anwendungs- und Benutzersicherheit
Identitäts- und Zugriffsverwaltung
Google Cloud bietet ein umfassendes Identitäts- und Zugriffsmanagement (Identity and Access Management, IAM), das es ermöglicht, Benutzerrollen und Berechtigungen granular zu steuern. Administratoren können Berechtigungen auf Basis des Least-Privilege-Prinzips zuweisen, um sicherzustellen, dass Benutzer nur Zugriff auf die Ressourcen haben, die sie benötigen.
Starke Authentifizierung
Google unterstützt für seine Cloud-Produkte mehrstufige Authentifizierung (Multi-Factor Authentication, MFA), um die Benutzersicherheit zu erhöhen und den unbefugten Zugriff auf Ressourcen und Anwendungen zu verhindern. MFA kann für alle Benutzer oder ausgewählte Benutzergruppen aktiviert werden und erfordert die Verwendung zusätzlicher Authentifizierungsfaktoren, wie z. B. Einmalpasswörter oder auch biometrische Daten.
Anwendungssicherheit
Google Cloud stellt sicher, dass Anwendungen und Dienste sicher entwickelt und betrieben werden. Entwickler werden in sicherheitsrelevanten Programmierpraktiken geschult und müssen regelmäßige Sicherheitsüberprüfungen und -tests durchführen. Sicherheitslücken werden proaktiv identifiziert und behoben.
API-Sicherheit
Google bietet sichere APIs, um den Datenaustausch zwischen den Anwendungen und Diensten zu ermöglichen. Die API-Sicherheit umfasst eine Authentifizierung von API-Clients, die Autorisierung von Benutzerzugriffen und die Verschlüsselung von API-Datenverkehr.
Sicherheitsüberwachung und Protokollierung
Google Cloud überwacht kontinuierlich Benutzer- und Anwendungsaktivitäten, um potenzielle Sicherheitsrisiken oder -verstöße zu erkennen. Protokolle werden zentral gespeichert und können von Administratoren analysiert werden, um verdächtige Aktivitäten zu identifizieren und darauf zu reagieren.
Datenverlustprävention (DLP)
Google Cloud bietet Datenverlustpräventionsfunktionen (Data Loss Prevention, DLP), um den unautorisierten Zugriff, die Weitergabe oder das Löschen von sensiblen Daten zu verhindern. DLP kann dazu verwendet werden, Datenklassifizierungsrichtlinien durchzusetzen und sicherzustellen, dass sensible Daten vor Missbrauch geschützt bleiben.
Konfigurierbare Sicherheitsfunktionen
Kundenspezifische Verschlüsselungsschlüssel
Google Cloud ermöglicht es Kunden, ihre eigenen Verschlüsselungsschlüssel für die Speicherung und Verarbeitung von Daten zu verwenden. Diese Funktion gibt Kunden die vollständige Kontrolle über die Verschlüsselung ihrer Daten und ermöglicht eine zusätzliche Sicherheitsebene.
Private Netzwerkverbindungen
Kunden können private Netzwerkverbindungen wie Dedicated Interconnect oder Partner Interconnect nutzen, um eine direkte Verbindung zwischen ihrem lokalen Netzwerk und der Google Cloud-Infrastruktur herzustellen. Diese Verbindungen bieten eine verbesserte Sicherheit und Leistung im Vergleich zu öffentlichen Internetverbindungen.
Multi-Factor Authentication (MFA)
Google Cloud unterstützt konfigurierbare MFA, die es Kunden ermöglicht, zusätzliche Authentifizierungsfaktoren wie Einmalpasswörter oder biometrische Daten für den Zugriff auf ihre Ressourcen zu verwenden. MFA erhöht die Benutzersicherheit und schützt vor unbefugtem Zugriff.
VPC Service Controls
Google Cloud bietet konfigurierbare DLP-Funktionen, die Kunden ermöglichen, den Zugriff, die Weitergabe und das Löschen von sensiblen Daten zu steuern. Kunden können ihre eigenen Datenklassifizierungsrichtlinien erstellen und durchsetzen, um sicherzustellen, dass sensible Daten vor unerwünschten Zugriffen geschützt bleiben.
Datenverlustprävention (DLP)
Das Cloud Security Command Center bietet Kunden eine zentrale Plattform zur Überwachung, Verwaltung und Analyse von Sicherheitsereignissen und -risiken in der Google Cloud-Umgebung. Kunden können benutzerdefinierte Regeln und Warnungen erstellen, um potenzielle Sicherheitsbedrohungen zu identifizieren und darauf zu reagieren.
Datenschutzorganisation
Datenschutzrichtlinien und -verfahren
- Umfassende interne Richtlinien und Verfahren zur Einhaltung von Datenschutzgesetzen
- Regelmäßige Überprüfung und Aktualisierung dieser Richtlinien
Datenschutzbeauftragte
- Bestellung von Datenschutzbeauftragten zur Gewährleistung der Einhaltung von Datenschutzgesetzen
- Kontinuierliche Schulung und Sensibilisierung der Mitarbeiter in Bezug auf Datenschutzanforderungen
Datenschutz-Folgenabschätzung (DPIA)
- Durchführung von DPIAs zur Identifizierung und Minimierung von Datenschutzrisiken
- Proaktive Anpassung von Datenschutzmaßnahmen an neue Technologien und Geschäftspraktiken
Zusammenarbeit mit Aufsichtsbehörden
- Regelmäßiger Dialog und Kooperation mit Datenschutzaufsichtsbehörden
- Ad-hoc-Berichterstattung bei Datenschutzvorfällen und Zusammenarbeit bei Untersuchungen
Verträge und Datenschutzvereinbarungen
- Einbeziehung von Datenschutzklauseln in Verträge mit Kunden und Lieferanten
- Bereitstellung von Datenverarbeitungsverträgen (DPAs) zur Einhaltung der DSGVO und anderer Datenschutzgesetze
Internationale Datentransfers
- Gewährleistung der rechtlichen Grundlagen für internationale Datentransfers, z. B. durch Standardvertragsklauseln (SCCs) oder angemessene Schutzmaßnahmen
- Kontinuierliche Überprüfung und Anpassung dieser Mechanismen aufgrund von Änderungen der Rechtsvorschriften
Kundenunterstützung und Ressourcen
- Bereitstellung von Informationen und Ressourcen zur Unterstützung der Kunden bei der Einhaltung von Datenschutzgesetzen
- Reaktive und proaktive Hilfestellung bei Datenschutzfragen und -anforderungen
Cloud Zertifikate
- ISO 27001
- ISO 27017
- ISO 27018
- SOC 1, SOC 2 und SOC 3
- PCI DSS
- HIPAA
- EU-Datenschutz-Grundverordnung (DSGVO)
Quellenangabe
Aus folgenden Quellen wurde die hier aufgeführten Informationen zusammengetragen. Alle hin dieser Übersicht aufgeführten Informationen führen eine grobe und gekürzte Darstellung der einzelnen Bereiche auf und bieten ausschließlich eine Hilfestellung zum Verständnis zu den Sicherheitsinformationen der Google-Cloud-Services. Die tatsächliche Bandbreite an Maßnahmen zur Sicherstellung der Google Cloud Infrastruktur ist weitaus umfänglicher. Besuchen Sie die hier aufgeführten Quellen für detaillierte Informationen zu den in dieser Erklärung zusammengefassten Punkten.
- Google Cloud Platform – Terms Directory
- Google Cloud – Security transformation summary
- Google Cloud knowledge-base – SQL FAQ
- Google Cloud documentation
Stand: 03/2023