Die 5 besten Dienste für Organisationsrichtlinien für Google Cloud

Die 5 besten Dienste für Organisationsrichtlinien für Google Cloud

Die Google Cloud ist ein Cloud-Service, der es Nutzern ermöglicht, virtuelle Maschinen und Kubernetes-Cluster zu erstellen und zu verwalten, Daten zu speichern und Anwendungen auszuführen. Wenn Sie die Google Cloud nutzen, ist es wichtig, technische Grenzen zu implementieren, die die Sicherheits- und Datenschutzrichtlinien Ihres Unternehmens durchsetzen. So wie Bürogebäude mit Schlössern und Zugangsbeschränkungen für bestimmte Bereiche gesichert werden, muss auch Ihre Cloud-Umgebung über Sicherheitsvorkehrungen verfügen, um Sicherheit und Compliance zu gewährleisten.

Um Nutzern bei der Implementierung von Schutzmaßnahmen (Leitplanken) zu helfen, hat Google Cloud Organization Policy Services entwickelt, die Möglichkeiten zur programmatischen Kontrolle von Cloud-Ressourcen bieten. Bei den vielen verfügbaren Diensten ist es schwierig zu wissen, wo man anfangen soll. Deshalb haben wir unsere fünf besten Empfehlungen zusammengestellt, um Ihnen den Einstieg zu erleichtern! Organisational Policy Services und andere Cloud-native Lösungen können Ihnen helfen, die Sicherheit Ihrer Google Cloud auf die nächste Stufe zu heben.

Das Wichtigste zuerst: Wie Sie Ihre Google Cloud-Umgebung strukturieren

Bevor wir uns unseren Empfehlungen zuwenden, lassen Sie uns mit den Grundlagen beginnen - wie Sie Ihre Google Cloud einrichten. Es ist wichtig, dass Sie Ihre Cloud-Umgebung so strukturieren, dass Sie das Beste aus den Organization Policy Services herausholen können.

Organisationen sind die höchste Strukturebene in Google Cloud, was durch das blaue "Unternehmen" oben im Diagramm deutlich wird. Die Organisation definiert die Domänen, in denen sich alle anderen Ressourcen befinden. Jede Ressource gehört zu einem bestimmten Projekt. Ein Projekt ist ein isolierter Teil der Organisation mit eigenen Ressourcen, (IAM)-Berechtigungen, virtuellen Maschinen (VMs) usw.

Die Sortierung von Projekten in Ordnern erleichtert die Verwaltung. Richtlinien werden auf der Organisationsebene festgelegt und an Knoten oder Projekte/Ordner in der unteren Hierarchie vererbt. Sie können jedoch auf Wunsch die Vererbung für bestimmte Knoten ausschließen, so dass Sie die Berechtigungen an die Bedürfnisse der einzelnen Projekte anpassen können.

Für jede empfohlene Einschränkung der Organisationspolitik. Ich habe ein Terraform-Beispiel für die Bereitstellung der Einschränkungen mit IaaC hinzugefügt.

1. Ressource Standortbeschränkung

Diese Einschränkungsrichtlinie ermöglicht es Unternehmen, den physischen Standort einzuschränken, an dem neue Cloud-Ressourcen bereitgestellt werden können. So kann ein Unternehmen beispielsweise die Bereitstellung von Ressourcen auf die Vereinigten Staaten oder Europa beschränken. Diese Beschränkungen können aus Gründen der Einhaltung von Vorschriften notwendig sein, wie z.B. der Allgemeinen Datenschutzbestimmungen (GDPR) in der EU.

Durch die Beschränkung der Ressourcenstandorte auf Regionen, die geografisch näher an den Endbenutzern liegen, können Unternehmen die Netzwerklatenz verringern, was zu einer besseren Leistung und einem besseren Benutzererlebnis führen kann. Die Überlegung, wo die Daten gespeichert sind und wo die Mitarbeiter arbeiten, ist ein hilfreicher Schritt, um bei der Einrichtung einer Cloud-Umgebung eine optimale Leistung sicherzustellen.

Diese Standortentscheidungen können auch die grünen Initiativen eines Unternehmens unterstützen. Einige Regionen haben strengere CO2-Emissionsvorschriften als andere. Die Wahl eines Rechenzentrums in einer Region, die geringere Emissionen erfordert, ist ein einfacher Schritt, den Unternehmen unternehmen können, um umweltbewusster zu sein.

Terraform Beispiel für gcp.resourceLocations

resource "google_org_policy_policy" "resource_locations" {
  name = "organizations/123456789/policies/gcp.resourceLocations"
  spec {
    rules {
      condition {
        expression = "resource.location == 'europe-west4'"
      }
      deny_all = "FALSE"
    }
  }
}

2. Erlaubte externe IP-Adressen für VM-Instanzen definieren

Durch die Festlegung zulässiger externer IP-Adressen können Unternehmen kontrollieren, welche Anwender, Geräte oder Netzwerke auf ihre VM-Instanzen zugreifen können. Diese Einschränkung ist besonders wichtig, wenn Sie mit Remote-Teams oder Auftragnehmern arbeiten, denn so können Unternehmen nur bestimmten, vertrauenswürdigen Personen Zugang gewähren.

Die Einschränkung externer IP-Adressen für VM-Instanzen trägt auch dazu bei, den unbefugten Zugriff auf die Ressourcen des Unternehmens zu verhindern und die Auswirkungen von Datenschutzverletzungen zu verringern. Außerdem erleichtert diese Richtlinie die Identifizierung ungewöhnlicher oder verdächtiger Aktivitäten, da der Datenverkehr von unerwarteten IP-Adressen gekennzeichnet und untersucht werden kann.

Terraform Beispiel für compute.vmExternalIpAccess

resource "google_org_policy_policy" "vm_external_ip_access" {
  name = "organizations/123456789/policies/compute.vmExternalIpAccess"
  spec {
    rules {
      deny_all = "TRUE"
    }
  }
}

3. Domainbeschränkte Freigabe

Mit dieser Funktion können Unternehmen kontrollieren, wie ihre Benutzer Inhalte mit Personen außerhalb des Unternehmens teilen. Sie bietet eine zusätzliche Sicherheitsebene für gespeicherte Daten und gewährleistet, dass nur autorisierte Benutzer auf sensible Informationen zugreifen können.

Diese Sicherheitsvorkehrung ist besonders wichtig, wenn es um das Offboarding von Mitarbeitern geht. Wenn ein Mitarbeiter über sein persönliches Konto auf Unternehmensdaten zugegriffen hat, hat diese Person auch nach dem Ausscheiden aus dem Unternehmen noch Zugriff darauf. Ebenso kann es sein, dass externe Mitarbeiter noch lange nach Beendigung ihrer Arbeit Zugriff auf die Daten haben, wenn keine Sicherheitsmaßnahmen getroffen wurden.

Terraform Beispiel für iam.allowedPolicyMemberDomains

resource "google_org_policy_policy" "allowed_policy_member_domains" {
  name = "organizations/123456789/policies/constraints.iam.allowedPolicyMemberDomains"
  spec {
    rules {
      domains = ["xebia.com"]
    }
  }
}

4. Vertrauenswürdige Image-Projekte definieren

Mit dieser Richtlinie können Unternehmen kontrollieren, welche Cloud-Speicher-Buckets oder -Projekte vertrauenswürdige Quellen für die Images ihrer Compute Engine-Instanzen sind. Auf diese Weise wird die Konsistenz der virtuellen Maschineninstanzen des Unternehmens sichergestellt und Schwachstellen, die durch ungeprüfte Images verursacht werden, vermieden.

Unternehmen können auch festlegen, welche Betriebssystem-Images verwendet und einer VM zugewiesen werden können. Auf diese Weise kann ein Unternehmen die Kosten kontrollieren, indem es z.B. die Anzahl und Art der Images, die ausgeführt werden können, begrenzt. Diese Schutzmaßnahme hilft auch zu verhindern, dass bösartige Software auf Ihren virtuellen Maschinen läuft.

Terraform Beispiel für compute.trustedImageProjects

resource "google_org_policy_policy" "trusted_image_projects" {
  name = "organizations/123456789/policies/constraints.compute.trustedImageProjects"
  spec {
    rules {
      projects = ["red-hat-cloud/rhel-8", "palo-alto-networks/panos"]
    }
  }
}

5. Verhinderung des öffentlichen Zugangs durchsetzen

Diese Einschränkung verhindert, dass Daten öffentlich zugänglich sind, wodurch das Risiko von Datenschutzverletzungen und anderen Sicherheitsvorfällen verringert wird. Außerdem können Mitarbeiter nicht alle Benutzer einladen, so dass die Daten nur für vertrauenswürdige Quellen zugänglich sind. Diese Richtlinie ist ein einfacher Schritt mit großen Vorteilen.

resource "google_org_policy_policy" "public_access_prevention" {
  name = "organizations/123456789/policies/constraints.storage.publicAccessPrevention"
  spec {
    boolean_policy {
      enforced = true
    }
  }
}

Starten Sie noch heute mit Policy Organisational Constraints!

Unsere fünf wichtigsten Empfehlungen helfen Ihnen, die Ressourcen und Daten Ihres Unternehmens bei der Erstellung und Entwicklung Ihrer Google Cloud zu schützen. Welche zusätzlichen Dienste ein Unternehmen nutzt, hängt letztlich von seinen spezifischen Bedürfnissen ab. Vergessen Sie nicht, die Policy Org Constrain Ihrer Wahl zu evaluieren und zu testen, bevor Sie sie auf Produktionslasten anwenden. Wenn Sie neugierig auf mehr Org-Policies sind, werfen Sie einen Blick auf: Organisationsrichtlinien-Zwänge

Kontaktieren Sie mich, um mehr über andere Lösungen zu erfahren, mit denen Sie die Sicherheit Ihrer Google Cloud auf die nächste Stufe heben können.