Diese Seite wurde von der Cloud Translation API übersetzt.

Blueprints für Unternehmensgrundlagen

Last reviewed 2023-12-20 UTC

Der Inhalt dieses Dokuments wurde im Dezember 2023 zum letzten Mal aktualisiert und stellt den Stand bei der Erstellung dar. Die Sicherheitsrichtlinien und -systeme von Google Cloud können sich aber in Zukunft ändern, da wir den Schutz unserer Kundinnen und Kunden kontinuierlich verbessern.

In diesem Dokument werden die Best Practices beschrieben, mit denen Sie ein grundlegendes Ressourcenset in Google Cloud bereitstellen können. Eine Cloud-Grundlage ist die Basis für Ressourcen, Konfigurationen und Funktionen, mit denen Unternehmen Google Cloud für ihre Geschäftsanforderungen nutzen können. Eine gut konzipierte Grundlage ermöglicht eine einheitliche Governance, Sicherheitskontrollen, Skalierung, Sichtbarkeit und Zugriff auf freigegebene Dienste für alle Arbeitslasten in Ihrer Google Cloud-Umgebung. Nachdem Sie die in diesem Dokument beschriebenen Kontrollen und Governance bereitgestellt haben, können Sie Arbeitslasten in Google Cloud bereitstellen.

Der Blueprint für Unternehmensgrundlagen (ehemals Blueprint zu Sicherheitsgrundlagen) richtet sich an Architekten, Sicherheitsexperten und Plattformentwicklerteams, die für das Design einer für Unternehmen geeigneten Umgebung in Google Cloud verantwortlich sind. Dieser Blueprint besteht aus folgenden Elementen:

Ein GitHub-Repository für terraform-example-foundation, das die bereitstellbaren Terraform-Assets enthält.
Eine Anleitung, die die Architektur, das Design und Kontrollen beschreibt, die Sie mit dem Blueprint implementieren (dieses Dokument).

Sie haben zwei Möglichkeiten zur Verwendung dieser Anleitung:

Zum Erstellen einer vollständigen Grundlage basierend auf den Best Practices von Google. Sie können alle Empfehlungen in diesem Leitfaden als Ausgangspunkt verwenden und die Umgebung dann an die spezifischen Anforderungen Ihres Unternehmens anpassen.
Vorhandene Umgebung in Google Cloud prüfen. Sie können bestimmte Komponenten Ihres Designs mit den von Google empfohlenen Best Practices vergleichen.

Unterstützte Anwendungsfälle

Der Blueprint zur Unternehmensgrundlage bietet eine grundlegende Ebene von Ressourcen und Konfigurationen, mit denen Sie alle Arten von Arbeitslasten in Google Cloud aktivieren können. Egal, ob Sie vorhandene Computing-Arbeitslasten zu Google Cloud migrieren, Container-Webanwendungen erstellen oder Big-Data- und ML-Arbeitslasten erstellen – mit dem Blueprint für Unternehmensgrundlagen können Sie Ihre Umgebung zur Unterstützung von Unternehmensarbeitslasten im großen Maßstab erstellen.

Nachdem Sie den Blueprint zur Unternehmensgrundlage bereitgestellt haben, können Sie Arbeitslasten direkt bereitstellen oder zusätzliche Blueprints bereitstellen, um komplexe Arbeitslasten zu unterstützen, die zusätzliche Funktionen erfordern.

Ein Defense-in-Depth-Sicherheitsmodell

Google Cloud-Dienste profitieren vom zugrunde liegenden Sicherheitsdesign der Google-Infrastruktur. Sie sind dafür verantwortlich, die Sicherheit in die Systeme zu integrieren, die Sie auf Google Cloud aufbauen. Mit dem Blueprint zur Unternehmensgrundlage können Sie ein Defense-in-Depth-Sicherheitsmodell für Ihre Google Cloud-Dienste und -Arbeitslasten implementieren.

Das folgende Diagramm zeigt ein Defense-in-Depth-Sicherheitsmodell für Ihre Google Cloud-Organisation, das Architekturkontrollen, Richtlinienkontrollen und Aufdeckungskontrollen kombiniert.

Das Defense-in-Depth-Sicherheitsmodell.

Das Diagramm beschreibt die folgenden Kontrollen:

Richtlinienkontrollen sind programmatische Einschränkungen, die akzeptable Ressourcenkonfigurationen erzwingen und riskante Konfigurationen verhindern. Der Blueprint verwendet eine Kombination aus Richtlinienkontrollen, einschließlich IaC-Validierung (Infrastructure-as-Code) in Ihrer Pipeline und in den Einschränkungen der Organisationsrichtlinien.
Architekturkontrollen sind die Konfiguration von Google Cloud-Ressourcen wie Netzwerke und Ressourcenhierarchie. Die Blueprint-Architektur basiert auf Best Practices für die Sicherheit.
Mit Aufdeckungskontrollen können Sie ungewöhnliches oder böswilliges Verhalten innerhalb der Organisation erkennen. Der Blueprint verwendet Plattformfeatures wie Security Command Center, lässt sich in Ihre vorhandenen Aufdeckungskontrollen und Workflows wie ein Security Operations Center (SOC) einbinden und bietet Funktionen zum Erzwingen benutzerdefinierter Aufdeckungskontrollen.

Wichtige Entscheidungen

In diesem Abschnitt werden die allgemeinen architektonischen Entscheidungen des Blueprints zusammengefasst.

Wichtige Google Cloud-Dienste im Blueprint.

Das Diagramm zeigt, wie Google Cloud-Dienste zu wichtigen Architekturentscheidungen beitragen:

Cloud Build:Infrastrukturressourcen werden mit einem GitOps-Modell verwaltet. Ein deklarativer IaC wird in Terraform geschrieben und in einem Versionsverwaltungssystem zur Überprüfung und Genehmigung verwaltet. Ressourcen werden mit Cloud Build als CI/CD-Automatisierungstool (Continuous Integration und Continuous Deployment) bereitgestellt. Außerdem werden in der Pipeline Policy-as-Code-Prüfungen erzwungen, um vor der Bereitstellung zu prüfen, ob die Ressourcen den erwarteten Konfigurationen entsprechen.
Cloud Identity:Nutzer und Gruppenmitgliedschaften werden über Ihren vorhandenen Identitätsanbieter synchronisiert. Die Kontrollen für die Lebenszyklusverwaltung von Nutzerkonten und die Einmalanmeldung (SSO) basieren auf den vorhandenen Kontrollen und Prozessen Ihres Identitätsanbieters.
Identity and Access Management, IAM: Zulassungsrichtlinien (früher IAM-Richtlinien) ermöglichen den Zugriff auf Ressourcen und werden basierend auf der Jobfunktion auf Gruppen angewendet. Nutzer werden den entsprechenden Gruppen hinzugefügt, um Lesezugriff auf die Foundation-Ressourcen zu erhalten. Alle Änderungen an Foundation-Ressourcen werden über die CI/CD-Pipeline bereitgestellt, die bevollmächtigte Dienstkontoidentitäten verwendet.
Resource Manager:Alle Ressourcen werden in einer einzigen Organisation mit einer Ressourcenhierarchie von Ordnern verwaltet, die Projekte nach Umgebungen organisiert. Projekte werden mit Metadaten für die Verwaltung versehen, einschließlich der Kostenzuordnung.
Netzwerk: Netzwerktopologien verwenden eine freigegebene VPC, um Netzwerkressourcen für Arbeitslasten in mehreren Regionen und Zonen bereitzustellen, nach Umgebung getrennt und zentral verwaltet. Alle Netzwerkpfade zwischen lokalen Hosts, Google Cloud-Ressourcen in den VPC-Netzwerken und Google Cloud-Diensten sind privat. Standardmäßig ist kein ausgehender Traffic vom oder eingehender Traffic aus dem öffentlichen Internet zulässig.
Cloud Logging: Aggregierte Logsenken sind so konfiguriert, dass für die Sicherheit und Prüfung relevante Logs in einem zentralisierten Projekt zur langfristigen Aufbewahrung, Analyse und für den Export in externe Systeme erfasst werden.
Organization Policy Service: Einschränkungen für Organisationsrichtlinien sind dafür konfiguriert, verschiedene Konfigurationen mit hohem Risiko zu verhindern.
Secret Manager:Zentrale Projekte werden für ein Team erstellt, das für die Verwaltung und Prüfung der Verwendung vertraulicher Anwendungs-Secrets verantwortlich ist, um Compliance-Anforderungen zu erfüllen.
Cloud Key Management Service (Cloud KMS): Zentrale Projekte werden für ein Team erstellt, das für die Verwaltung und Prüfung von Verschlüsselungsschlüsseln verantwortlich ist, um Compliance-Anforderungen zu erfüllen.
Security Command Center: Bedrohungserkennungs- und Monitoring-Funktionen werden mit einer Kombination aus integrierten Sicherheitskontrollen aus dem Security Command Center und benutzerdefinierten Lösungen bereitgestellt, mit denen Sie Sicherheitsereignisse erkennen und darauf reagieren können.

Alternativen zu diesen wichtigen Entscheidungen finden Sie unter Alternativen.

Nächste Schritte

Authentifizierung und Autorisierung (nächstes Dokument in dieser Reihe).