Skalierende Sicherheit mit Google Cloud Platform
Erfahren Sie mehr über die Sicherheitsvorteile eines Wechsels in die Cloud mit Google Cloud Platform.
Sprecher
Tiffany Lewis, Google Cloud Security and Compliance Specialist, Google
[Tiffany Lewis]
Hallo Leute, vielen Dank, dass Sie mich eingeladen haben. Mein Name ist Tiffany Lewis, ich bin Spezialist für Sicherheit und Compliance bei Google Cloud.
Bevor ich zu Google kam, arbeitete ich in einem Beratungsunternehmen, wo ich Kunden zu den Vor- und Nachteilen eines Wechsels in die Cloud im Vergleich zu einem Verbleib vor Ort beriet. Außerdem überprüfte ich Unternehmen, die in der Cloud arbeiten, und zeigte ihnen Wege auf, wie sie ihre allgemeine Sicherheit und Compliance verbessern können.
In der heutigen Diskussion geht es also um die Skalierung der Sicherheit mit der Google Cloud-Plattform, auch bekannt als GCP. Ziel der heutigen Diskussion ist es, die Teilnehmer der Sitzung in die Lage zu versetzen und zu befähigen, mit GCP umzugehen. Sie sollen die Sicherheitsgrundlagen verstehen und wissen, wie sie sich auf Ihre Sicherheitsinfrastruktur auswirken. Insbesondere geht es um die Idee des Modells der geteilten Verantwortung und wie dieses für alle Kunden gilt.
Wenn ich diese Gespräche führe, beginne ich in der Regel mit dem, was ich die rechtliche Seite oder den Haftungsausschluss nenne. Ich habe das Gefühl, dass es eine Menge falscher Begriffe gibt, wenn es um die Cloud und speziell um die Google Cloud Platform geht. Daher haben wir für GCP sehr klare vertragliche Verpflichtungen gegenüber unseren Kunden, die in den DPST, den so genannten Datenverarbeitungs- und Sicherheitsbedingungen, enthalten sind.
Dies sind öffentlich zugängliche Bedingungen, die für alle unsere Kunden gelten, die GCP nutzen. GCP ist unser öffentliches Cloud-Angebot für Unternehmen, das wir auch für Privatkunden zur Verfügung stellen. Dieses Unternehmensangebot unterscheidet sich deutlich von einigen unserer Angebote für Privatkunden, z. B. auf den Anzeigenseiten, bei Map oder bei unserem kostenlosen Gmail. Bei unseren Unternehmensdiensten haben wir sehr explizite vertragliche Vereinbarungen, und dies sind einige der Dinge, die wir explizit für diese Dienste haben. Als erstes sagen wir Ihnen, dass Sie Eigentümer Ihrer Daten sind, nicht Google, dass Google niemals Kundendaten an Dritte verkaufen wird, sie niemals für Kundenwerbung verwenden oder an eine Werbeagentur weiterverkaufen wird.
Innerhalb der DPST verwenden wir die Begriffe des Datenverarbeiters und des Datenverantwortlichen. Letztendlich sind Sie der Datenverantwortliche für alle Ihre Daten. Sie entscheiden, welche Informationen in der Cloud gespeichert werden, Sie entscheiden über die Sicherheitskontrollen und Parameter, die für diese Daten eingerichtet werden. Google Cloud wird nur das tun, was Sie uns mit der Verarbeitung dieser Daten beauftragen. Wenn Sie zum Beispiel am Ende den Befehl zum Spin-up geben möchten, werden wir das in Ihrem Namen tun. Wir haben einige technische Verpflichtungen, die wir im Rahmen der DPST gegenüber unseren Kunden eingehen, wie z.B., dass alle Ihre Daten sowohl im Ruhezustand als auch bei der Übertragung verschlüsselt werden. Wir werden ein paar Folien weiter unten etwas mehr über die technischen Implementierungsdetails sprechen.
Wir schützen Sie auch vor Insiderzugriffen auf Ihre Daten. Ein Insiderzugriff könnte also ein Googler sein, der versucht, böswillig auf die Daten eines Kunden zuzugreifen, oder der versehentlich auf diese Daten zugreift. Wir gehen in den DPST und in unseren Google Cloud-Sicherheits-Whitepapers näher darauf ein, aber wir verfügen sowohl über technische Kontrollen als auch über eine Richtlinie zur Meldung von Datenvorfällen, d.h. eine vertragliche Verpflichtung im Rahmen der DPST. Die technischen Kontrollen, die wir zum Schutz vor Insiderzugriffen haben, wurden von externen Prüfern validiert.
Außerdem erhalten wir niemals einen Hintertür-Zugang einer Regierungsbehörde zu Ihrer Umgebung. Wenn eine Regierungsbehörde versucht, Zugriff auf Daten zu erhalten, die auf der Google Cloud-Plattform gehostet werden, werden wir in den meisten Fällen unsere Kunden kontaktieren, um ihnen mitzuteilen, dass es sich um etwas handelt, das angefordert wird, und nicht nur um die Herausgabe der Daten. Wir haben auch ein öffentlich zugängliches Whitepaper, in dem wir den Prozess, der abläuft, wenn eine Regierungsbehörde den Zugriff auf Kundendaten beantragt, sehr detailliert beschreiben. Sie können auch eine Google-Suche nach Google Cloud-Transparenzberichten durchführen, die Ihnen die Anzahl der Regierungsanfragen, die wir erhalten, sowie weitere Informationen über die Abteilungen und ähnliche Dinge zeigt, falls Sie das interessiert, oder?
Und der letzte Punkt, den ich hier erwähnen möchte, ist, dass unsere Sicherheitspraktiken, unsere Rechenzentren im Wesentlichen nach internationalen Standards geprüft werden. Wenn ich internationale Standards sage, beziehe ich mich auf ISO 27001, 17, 18, SOC 123, PCI DSS, AOC. Wir verpflichten uns im Rahmen unserer DPST, mindestens einmal jährlich ein Audit für diese verschiedenen Zertifizierungen durchzuführen, um sicherzustellen, dass unsere Rechenzentren im Einklang mit den besten Praktiken arbeiten, und dass Sie uns nicht nur vertrauen, wenn wir es sagen, sondern dass wir dies auch überprüfen lassen, richtig? Wir lassen dies auch durch Dritte, die in der Branche anerkannt sind, bestätigen. Damit sind alle lustigen juristischen Ausschlussklauseln erledigt, und wir können uns nun dem widmen, was ich wirklich liebe, nämlich den technischen Aspekten.
Wenn ich ganz ehrlich bin, hat mich das Thema Sicherheit zu Google gelockt, oder? In meinem vorherigen Job habe ich mit verschiedenen öffentlichen Clouds gearbeitet, ich habe mit verschiedenen Anbietern von On-Premise-Diensten gearbeitet, all diese verschiedenen Dinge, und die Verschlüsselung war es, die mich auf GCP aufmerksam gemacht hat. In der Industrie sehe ich oft, dass die Leute sagen, dass sie standardmäßig eine Verschlüsselung im Ruhezustand oder eine Verschlüsselung bei der Übertragung vornehmen. Und wenn sie von Verschlüsselung im Ruhezustand sprechen, meinen sie etwas Ähnliches wie BitLocker, wo Sie einfach die Festplatte mit einem einzigen Schlüssel verschlüsseln, was Ihnen hilft, wenn Sie sich Sorgen machen, dass eine Festplatte Ihr Rechenzentrum verlässt. Aber darüber hinaus bietet es keine wirklich zusätzlichen Schutz- oder Verschlüsselungsebenen.
Wenn wir über Verschlüsselung im Ruhezustand sprechen, implementiert GCP standardmäßig Verschlüsselung im Ruhezustand für alle unsere GCP-Dienste, da wir dies über unser verteiltes Dateisystem implementieren. Die Art und Weise, wie dies geschieht, ist in diesem Diagramm dargestellt, und wir werden ein Beispiel erläutern. Aber im Grunde genommen werden die Daten jedes Mal in die Cloud hochgeladen, egal ob es sich um ein Bild, ein Video oder etwas anderes handelt. Wenn Sie die Daten in etwas wie GCS oder Google Cloud Storage speichern, werden die Daten auf GCP hochgeladen und anschließend in Chunks aufgeteilt. Die Anzahl der Chunks, in die die Datei unterteilt wird, hängt also vom Gesamtformat und der Dateigröße ab. Es können also zehn Chunks, hunderte Chunks oder tausende Chunks sein, je nachdem. Die Daten werden also in Chunks aufgeteilt und jeder kleine Chunk wird mit einem Datenverschlüsselungsschlüssel (DEK) versehen.
Es ist wichtig zu wissen, dass jede dieser DEKs einzigartig ist, auch wenn sie mit der gleichen Ursprungsdatei beginnt. Das bedeutet, dass sie nicht alle gleich sind, richtig? Die DEKs werden dann in KEK oder Key Encryption Key (Schlüsselverschlüsselung) verpackt, d.h. wir nutzen hier die Umschlagverschlüsselung, und diese verschlüsselten Chunks werden dann verpackt und über die globale Google Cloud Speicherinfrastruktur verteilt. All dies geschieht also hinter den Kulissen und führt zu keiner zusätzlichen Latenz im Prozess selbst. Falls Sie sich wundern, das ist auch das, was wir im Hintergrund für andere Dinge wie z.B. Google Sheets ablaufen lassen, jedes Mal, wenn ein Tastendruck erfolgt und Sie sehen, dass oben „Speichern“ steht. Dieser Prozess findet im Backend statt, denn die Verschlüsselung ist ein zentraler Bestandteil von Google selbst und keine Ad-hoc-Sache, die hinzugefügt wurde, um ein Häkchen zu setzen, oder? Oder ein Kontrollkästchen. Aus diesem Grund haben Sie wirklich keine signifikanten Auswirkungen auf die Gesamtleistung, wenn Sie über diese Standardverschlüsselung sprechen.
Wir bieten auch standardmäßig eine Verschlüsselung bei der Übertragung. Es gibt viele Möglichkeiten, diese Dinge anzupassen, aber im Wesentlichen verwenden wir das TLS-Protokoll oder das Quick-Protokoll für die Verschlüsselung. Welche Version verwendet wird, wird im Wesentlichen zwischen Google Cloud und dem Browser des Kunden ausgehandelt, um die höchste unterstützte Version auf der Client-Seite zu unterstützen. Gehen wir also durch dieses Beispiel. Nehmen wir an, ich lade eine Zusammenstellung von Basset Hounds, Basset Hound-Videos, hoch. Ich liebe Basset Hounds, nebenbei bemerkt. Wenn Sie also andere Referenzen hören, dann sind sie das.
Aber wir haben unsere Basset Hound-Montage, die in die Cloud hochgeladen wurde. Nach dem Hochladen in die Cloud wird die Basset Hound-Montage in, sagen wir, Hunderte von Chunks aufgeteilt, von denen jeder Chunk im Wesentlichen in seinen eigenen DEK verpackt wird. Der DEK wird dann in den KEK des auf GCP bereitgestellten Dienstes verpackt, der dann über die globale Infrastruktur von Google verteilt wird. Eine der häufigsten Fragen, die wir abgesehen von der Latenzzeit gestellt bekommen, ist, ob Google auch die Backups verschlüsselt. Die Antwort lautet: Ja.
Bevor wir zur nächsten Folie übergehen, möchte ich noch sagen, dass wir dies sozusagen als Grundstock tun, nicht wahr? Das machen wir im Grunde für alle unsere Dienste auf GCP. Allerdings verwenden wir unser Crypto-Modul für unsere Verschlüsselung im Ruhezustand, die nach FIPs 140-2 verifiziert ist und daher für viele verschiedene Arbeitslasten geeignet ist. Aber für diejenigen, die wirklich hohe Anforderungen an die interne Sicherheit oder an die Einhaltung von Vorschriften haben, bieten wir anpassbare Optionen für die Schlüsselverwaltung an, die Dinge wie HSM unterstützen. Wenn Sie mehr Kontrolle über die Schlüssel selbst benötigen, z.B. über die Erstellung, Löschung und Rotation, und ich in der Lage sein muss, Apples bestimmte Schlüssel zu kontrollieren, unterstützen wir auch das über unser Cloud KMS, okay?
Netzwerken. Das ist also ein weiterer unterhaltsamer Punkt. Eine der Besonderheiten von Google Cloud ist, dass Google eines der größten Backbone-Netzwerke der Welt hat. Wir haben über 130 Präsenzpunkte in mehr als 35 Ländern, und wir fügen ständig neue Zonen und Regionen hinzu, die wie logische Segmente mit Rechenzentren und all den anderen Diensten aussehen, die für den Betrieb von GCP erforderlich sind, richtig? Um die Präferenzen der Kunden und die Anforderungen der Richtlinien zu erfüllen. Die Leute fragen dann, das ist toll, ich liebe Netzwerke, aber warum sprechen Sie über Netzwerke während einer Sitzung über Sicherheit? Das liegt daran, dass ich denke, dass unsere Netzwerkerzählung die allgemeine Sicherheitserzählung wirklich ergänzt und stärkt, wenn es darum geht, die Vorteile der Nutzung von GCP zu verstehen. Sicher, das Netzwerk sorgt für niedrige Latenzzeiten, weil es so groß ist und die ganze Welt umspannt, aber es verbessert auch unsere Sicherheitslage, denn sobald sich der Datenverkehr eines Kunden in unserem Netzwerk befindet, durchquert er nicht mehr das öffentliche Internet, so dass es weniger wahrscheinlich ist, dass er angegriffen, abgefangen oder manipuliert wird.
Ein weiterer Vorteil der Nutzung von GCP ist, dass wir seit mehr als 15 Jahren in der Cloud arbeiten, was bedeutet, dass wir viel gelernt haben. Einer der Gründe, warum wir so viel in die proprietären Netzwerke, die Hardware und die Software von Google Cloud investiert haben, liegt darin, dass wir über Dinge wie Angriffe von Nationalstaaten nachdenken und sie hinter uns lassen mussten, oder? Die Idee der Zukunftssicherheit, nicht nur für morgen, sondern für die nächsten Jahre, ist etwas, über das wir schon eine Weile nachgedacht haben, und ich denke, wir haben viele dieser Dinge in unser gesamtes Ökosystem integriert.
Okay… Sprechen Sie ein wenig über einen Anbieter in der Mitte. Ich glaube, Google hat schon über Vendor in the Middle nachgedacht, bevor es in der Branche zu einem zentralen Punkt wurde, um darüber zu sprechen. Wenn ich also von einem „Vendor in the Middle“ spreche und Google darüber nachdenkt, dann haben sie schon vor über einem Jahrzehnt darauf hingearbeitet. Wenn Sie also die Cloud nutzen, und ich bin sicher, dass jeder hier damit vertraut ist, aber um es noch einmal zu wiederholen: Wenn wir es vereinfachen und auf den Punkt bringen wollen, dann mieten und nutzen Sie im Grunde genommen Server und Netzwerkperipheriegeräte von einem Cloud-Service-Anbieter. Die Geschichte wird je nach Service, den Sie nutzen, komplexer, aber das ist der Kern. Gemessen an der Anzahl der Server, die wir herstellen, wäre Google der drittgrößte Serverhersteller der Welt, was unglaublich ist.
Es ist also außerordentlich wichtig sicherzustellen, dass die Server, das Netzwerk und die Peripheriegeräte, die wir in unseren Rechenzentren haben, nicht in irgendeiner Weise böswillig verändert wurden oder irgendeine Art von Hardware oder Software von Drittanbietern enthalten, die potenziell einen neuen Risikofaktor einführen könnte, den wir nicht nutzen, richtig? Wenn wir uns einen Anbieter in der Mitte ansehen, sind wir in der Regel besorgt über Firmware, eine Art von Hardwaresoftware, die letztlich versucht, die Firmware auf unseren Geräten zu verändern. Titan ist ziemlich gut, weil es die Firmware auf jegliche Art von Unregelmäßigkeiten prüft, die es geben könnte. Es bietet eine Hardware-basierte Vertrauensbasis, um eine starke Identität als Maschine zu etablieren, und es verfügt auch über manipulationssichere, unveränderliche Protokolle, so dass wir zusätzliche Fehlersuche betreiben und diese einsehen können.
Wenn Sie Titan vereinfachen wollen, stellen Sie sich vor, dass wir alle Server in unseren Rechenzentren, alle Peripheriegeräte und alle Netzwerkgeräte standardmäßig mit einem TKM ausgestattet haben, damit wir in der Lage sind, einen Vendor-in-the-Middle-Angriff zu erkennen. Und auch um das Risiko zu mindern. Andere auf der Folie erwähnte Dinge, die wir in unseren Rechenzentren haben, sind die speziell angefertigten Chips, die speziell angefertigten Server, der speziell angefertigte Speicher, das Netzwerk, über das wir gesprochen haben, sowie die speziell angefertigten Rechenzentren.
Okay. Live-Migration. Der Gedanke, Upgrades in großem Umfang ohne Unterbrechungen durchführen zu können, ist wirklich einer der Vorteile der Cloud, insbesondere wenn wir über IaaS sprechen. Eines der Unterscheidungsmerkmale von GCP ist unsere Fähigkeit, unsere Infrastruktur zu aktualisieren, ohne die Kundenerfahrung zu unterbrechen, indem wir eine Technologie namens Live-Migration einsetzen. Angenommen, Sie haben Updates, die neue Funktionen hinzufügen, und Sie benötigen eine Art von Software, einen Software-Patch. Mit der Live-Migration für unsere Google Compute Engine oder GCE VMs können wir dies im Backend durchführen, ohne das Kundenerlebnis insgesamt zu beeinträchtigen. Ein gutes Beispiel für einen Fall, in dem ich die Live-Migration für sehr nützlich halte, sind die Sicherheitslücken Specter und Meltdown vor ein paar Jahren.
Sie wurden also von Forschern des Project Zero-Teams entdeckt, das im Grunde genommen so etwas wie Googles James-Bond-Team ist – wirklich spannende, wirklich kluge Leute. Google hat im Wesentlichen mit dem Project Zero-Team und anderen Branchenführern zusammengearbeitet, um diese Schwachstellen zu beheben. Viele kluge Köpfe haben sich zusammengetan, um sie zu beheben. Was die Kunden dann sahen, war, dass sie in ihrer Cloud-Umgebung oder in vielen Fällen in ihrer Cloud-Umgebung dieses rote, schrille Zeichen sahen, das besagte, dass sie ihre VM-Flotte neu starten mussten, um den Patch zur Behebung der Schwachstelle aufzuspielen, was zu längeren Ausfallzeiten führte, was bedeutete, dass die Flotte heruntergefahren werden musste und was eine deutliche Unterbrechung ihrer gesamten Infrastruktur bedeutete. GCP-Kunden mussten sich kaum darum kümmern, denn wir konnten diese Updates im Backend per Live-Migration anwenden. Der Grund dafür, dass wir dies tun konnten, liegt darin, dass Google Cloud, wenn Sie sich die GCP zugrunde liegende Infrastruktur ansehen, auf Containern aufbaut. Sie gibt uns also im Wesentlichen die Möglichkeit, unsere laufende VM von einem Host zu einem anderen zu migrieren, indem wir im Wesentlichen den kompletten Zustand der Instanz von der Quelle zum Ziel verschieben, und zwar auf eine Weise, die für das Gastbetriebssystem und jeden, der mit ihm kommuniziert, völlig transparent ist, was zu einer nahtlosen Erfahrung führt. Wenn Sie mehr darüber wissen möchten, googeln Sie einfach nach Live-Migration und GCP und Sie werden einige ziemlich coole Sachen finden.
Der letzte Punkt, den ich hier ansprechen möchte, ist die geteilte Verantwortung und wie sich diese auf die allgemeine Sicherheit und Compliance auswirkt. Wenn wir also über die Cloud sprechen, egal ob es sich um GCP, AWS, Azure oder einfach um die Cloud handelt. Wir alle haben diese gemeinsame Idee, das Modell der geteilten Verantwortung oder ein Modell der Kundenverantwortung, SRM, CRM sind unsere Begriffe, die Sie vielleicht sehr häufig hören oder sehen. Es ist die Idee, dass die Verantwortung für die Sicherheit, Wartung und Aktualisierung der Plattform nicht nur beim Cloud-Anbieter und nicht nur beim Kunden liegt, sondern dass beide gemeinsam dafür verantwortlich sind. Wie viel Verantwortung auf den Cloud-Anbieter und wie viel auf den Kunden entfällt, hängt von dem genutzten Service des Cloud-Anbieters ab.
Wenn wir also über das Modell der geteilten Verantwortung und die Verantwortung des Cloud-Service-Anbieters sprechen, stellen Sie sich vor, dass der Cloud-Service-Anbieter im Wesentlichen dafür verantwortlich ist, die Integrität und Sicherheit der Infrastruktur zu gewährleisten, die der Cloud-Plattform zugrunde liegt, die der Kunde nutzt. Das gilt für IaaS-Dienste, PaaS-Dienste und SaaS-Dienste. Und wenn wir noch einen weiteren CaaS-Dienst hinzufügen würden, nämlich einen Container als Dienst.
Je weiter wir auf diesem Kontinuum nach rechts gehen oder je weiter wir uns in der Evolution der verschiedenen „as a service“-Plattformen (Infrastruktur als Service, Plattform als Service, Software als Service) bewegen, desto mehr Verantwortung übernimmt der Cloud Service Provider und desto weniger Verantwortung hat der Kunde. Es gibt Vor- und Nachteile, und es gibt Gründe, warum verschiedene Leute aus verschiedenen Gründen verschiedene Arten von Diensten wählen, aber ich habe festgestellt, dass Kunden, die Vertrauen in die Sicherheit der Cloud haben, die nicht unbedingt viele sensible Daten haben oder die Vertrauen in ihre Sicherheitskontrollen haben, sich oft wohler fühlen, wenn sie weiter rechts für die PaaS-Dienste gehen, SaaS-Dienste oder Container as a Service, während IaaS-Dienste, die sicherlich auch eine gute Option sind, im Allgemeinen für Kunden, die von On-Prem in die Cloud wechseln, angenehmer sind, da sie die meisten Übereinstimmungen aufweisen, insbesondere wenn Sie bereits On-Prem virtualisiert sind.
Die Verantwortung für die Verwaltung des Gastbetriebssystems auf Ihrer VM, die Netzwerksicherheit, die Zugriffsauthentifizierung, die Bereitstellung von Identitäten – all das liegt in der Verantwortung des Kunden. Im IaaS-Modell behält GCP die Verantwortung für die Wartung der zugrundeliegenden Infrastruktur, den Betrieb von GCP, aber nicht allzu viel darüber hinaus. Wenn Sie zu Platform as a Service übergehen, übernehmen unsere Kunden wirklich die Verantwortung für die Anwendung, die Sicherheit auf der Anwendungsebene, die Bereitstellung von Zugriffsrichtlinien und der Cloud Service Provider übernimmt die Verantwortung für Dinge wie Zugriff und Authentifizierung, einige der Gastbetriebssysteme, Daten- und Inhaltsmanagement innerhalb des Software as a Service-Modells, Im Grunde genommen sind Sie für die Zugriffsrichtlinien und die Inhalte verantwortlich, die innerhalb dieser SaaS-Dienste und Container als Service ausgeführt werden, die wir hier nicht aufgeführt haben, aber ich denke, wir könnten sagen, dass es sich um eine eigene Kategorie handelt, wenn Sie so wollen.Sie sind also für die Implementierung von Zugriffs- und Kontrollrichtlinien für Ihre containerisierten Umgebungen verantwortlich.
Der letzte Punkt ist das Compliance-Angebot. GCP bemüht sich sehr, es ist definitiv ein Leitprinzip, wenn Sie so wollen, immer mehr und mehr Sicherheitsvorschriften, Zertifizierungen und Richtlinienanforderungen der Kunden zu erfüllen. Wie ich bereits erwähnt habe, verpflichten wir uns vertraglich, unsere ISO 27001, 17, 18, SOC 2, SOC 3, SOC 2, SOC 3 sowie den PCI DSS bestmöglich einzuhalten und verfügen über Best Practices Papiere für Dinge wie GDPR und GXP.
Ich wünsche Ihnen allen einen schönen Tag und hoffe, dass diese Sitzung nützlich war und Sie ein wenig mehr über die Sicherheit in der Cloud gelernt haben. Ich wünsche Ihnen einen schönen Tag. Auf Wiedersehen.