Wenn Sie eine Anwendung auf Ihrer lokalen Infrastruktur erstellen,
sind Sie für die gesamte Stacksicherheit verantwortlich:
von der physischen Sicherheit der Hardware und Räumlichkeiten, in denen sie sich befindet, über die Verschlüsselung der Daten im Speicher, die Integrität des Netzwerks, bis hin zur Sicherung des Inhalts, der in diesen Anwendungen gespeichert ist. Wenn Sie eine Anwendung in die Cloud verlagern, ändert sich Ihre Verantwortlichkeit. Ich zeige Ihnen, wie das aussieht. Wenn Sie eine Anwendung auf die Google Cloud Platform verlagern, übernimmt Google viele der unteren Sicherheitsebenen. Wegen seiner Größe kann Google auf diesen Ebenen mehr Sicherheit bieten, als viele seiner Kunden sich leisten oder selbst bewerkstelligen könnten. Google führt seine Dienste seit fast 20 Jahren in einer mehrmandantenfähigen Cloudumgebung aus. Es bietet jetzt mindestens neun globale Dienste mit mehr als einer Milliarde aktiven Nutzern. Mit so vielen Nutzern und so vielen Daten war Google schon immer ein Ziel für Sicherheitsangriffe auf globaler Ebene. Durch seine Erfahrungen der letzten 20 Jahre hat Google gelernt, wie es seine Infrastruktur konzipieren und sichern muss. Das ist zudem dieselbe Infrastruktur, die von den Unternehmenskunden von Google verwendet werden. Vor allem gibt es eine aus mehreren Ebenen bestehende Sicherheit, die in Google Cloud-Produkte und -Dienste integriert ist. Den Anfang bildet die Hardware. Google stellt fast seine gesamte Hardware selbst her und Drittanbieter sehen nie den Gesamtprozess. Die Hardware befindet sich in Hochsicherheits-Rechenzentren, die auf der ganzen Welt verteilt sind. Bei neuen Server-Builds ist ein Chip mit dem Namen "Titan" eingebaut. Dieser Chip prüft die Maschine bei jedem Start auf Integrität, wodurch sie manipulationssicher ist und die höchstmögliche Sicherheit bietet. Die nächste Ebene ist Software. Der Titan-Microcontroller prüft die Betriebssysteme und den Rest des bereitgestellten Softwarestacks. Der Server erhält erst dann Zugang zum Netzwerk und speichert Daten, nachdem sein Zustand bestätigt wurde. Grundsätzlich behandeln alle Komponenten in unserem Netzwerk andere Komponenten als nicht vertrauenswürdig. Jede Interaktion muss authentifiziert, überwacht und protokolliert werden, um unbefugten Zugriff zu verhindern. Die nächste Ebene ist der Speicher. Alle inaktiven Daten sind standardmäßig verschlüsselt, um sie vor unbefugtem Zugriff zu schützen. Als Nächstes folgt die Identität. Google Cloud betreibt ein Zero-Trust-Modell. Jeder Nutzer und jede Maschine, der bzw. die versucht, auf Daten oder Dienste zuzugreifen, muss sich auf jeder Stufe für jede Interaktion authentifizieren. Jeder, der auf die Cloud zugreift, hat ein eigenes Netzwerk. Das ist die nächste Ebene. Google verschlüsselt und authentifiziert alle Daten bei der Übertragung auf einer oder mehreren Netzwerkebenen, wenn Daten außerhalb der physischen Grenzen übertragen werden, die nicht von Google oder im Auftrag von Google kontrolliert werden. Zudem gibt es mehrere Abwehrebenen, die Kunden vor Netzwerkangriffen wie Distributed-Denial-of-Service- Angriffe schützen. Zum Schluss kommt die Betriebsebene. Bei Google überwacht ein globales Team von fast 1.000 Sicherheitsexperten das System rund um die Uhr. Ihre Aufgabe besteht darin, Angriffe und andere Probleme zu erkennen und darauf zu reagieren. Google ist also verantwortlich für die Verwaltung der Sicherheit seiner Infrastruktur. Die oberen Ebenen des Sicherheitsstacks fallen unter Ihre Verantwortung. Die Anzahl der Ebenen hängen vom Diensttyp ab. Google bietet jedoch Tools wie Identity and Access Management (IAM), damit Kunden die gewünschten Richtlinien auf diesen Ebenen implementieren können. Mehr dazu in den nächsten Videos. (Required) Deutsch de