Speicher & Datenübertragung

Cloudnative medizinische Bildgebung für das Gesundheitswesen

Fri, 27 Jan 2023 10:00:00 +0000

Das US-Gesundheitssystem steht vor einer Transformation: Die Art und Weise, wie medizinische Leistungen erbracht und erfahren werden, muss grundsätzlich neu erdacht werden. Die Corona-Pandemie hat in vielerlei Hinsicht Schwachstellen offengelegt (z. B. Verlagerung des Versorgungsstandorts, Ressourcenknappheit, Cybersicherheit) und den Weg für neue Technologien bereitet. Dazu zählt auch die cloudnative medizinische Bildgebung, eine umfassende Lösung, die Krankenhäuser, medizinisches Personal, Patient*innen und Daten sicher verknüpft, um die Versorgung zu verbessern.

Immer häufiger müssen Radiolog*innen in der Lage sein, Aufnahmen überall und an jedem Gerät zu begutachten, um Diagnosen zu stellen und in Echtzeit zu kooperieren, auch in Remote-Szenarien. Der Bedarf an medizinischer Bildgebung wächst ständig, doch gleichzeitig mangelt es an radiologischen Fachkräften. Die Arbeitslast will intelligent verteilt und mit schnelleren, sicheren Lösungen bewältigt werden.

IT-Herausforderungen im Gesundheitswesen

Krankenhäuser und Gesundheitssysteme leiden unter veralteten Daten-Ökosystemen, steigenden Kosten für Datenspeicher und zunehmender Unsicherheit im Cyberspace.

Datensicherheit: Einem Bericht von Cybersecurity-Spezialist Sophos zufolge waren vergangenes Jahr zwei Drittel aller US-Krankenhäuser von Cyberangriffen und Ransomware betroffen, wobei die Vorfälle durchschnittlich Kosten in Höhe von 9 Millionen US-Dollar verursachten. Klinische Daten sind oft ungeschützt, residieren auf veralteten Servern oder sind mehrfach lokal gespeichert. Über die bestehenden Plattformen und Dienste können sich Viren leicht vermehren.
Datenspeicher: Häufig speichern Krankenhäuser ihr medizinisches Bildmaterial in mehreren Datenzentren vor Ort, die nicht miteinander verbunden sind. Medizinische Bildgebungsdaten machen 90 % der gesamten medizinischen Daten aus – die Wartung, der Austausch und die Erweiterung der erforderlichen Speicherinfrastruktur sind mit erheblichen Investitionskosten verbunden. Da wegen gesetzlicher Vorgaben immer mehr Bilder gespeichert werden müssen, sind viele Einrichtungen ständig gefordert, ihren Speicher zu erweitern; andererseits stellen viele Krankenhäuser fest, dass sie zu viel Speicher für den Betrieb ihrer Systeme bereitgestellt haben – und mithin zu viel dafür zahlen.
Datenmigration: In einigen Gesundheitssystemen wurde bereits damit begonnen, Daten in die Cloud zu verlagern, doch die Migration medizinischer Bildarchive kann teuer und komplex sein. Die meisten Organisationen verlassen sich hier auf eine Lift-and-Shift-Strategie, bei der traditionelle serverbasierte Software in einem entfernten Rechenzentrum installiert wird. Doch das kostet Zeit: Bei einer durchschnittlichen Migrationsrate von 30.000 Studien pro Tag kann es bis zu 18 Monate dauern, die Daten vom alten auf das neue System zu übertragen.

Außerdem wollen Krankenhäuser und medizinische Dienstleister die „Durchlaufzeit“ herabsetzen, also die Zeit von der Untersuchung der Patient*innen bis zum abschließenden Bericht, und die Pflege besser koordinieren. Zugleich wachsen die Volumina rapide an: Heutzutage führen Radiolog*innen durchschnittlich 26.000 Untersuchungen jährlich durch; vor nicht einmal 20 Jahren waren es noch 14.000. Klinische Fachkräfte brauchen ein schnelleres, übersichtlicheres und weniger arbeitsintensives System für die Verarbeitung, Ansicht und Archivierung der Bilder, um die tägliche Arbeitslast ohne Burnout-Gefahr zu bewältigen.

Eine neue Vision der Patientenversorgung in der Cloud

Wachsende Datenmengen müssen keine Last sein. Google Cloud und ein Anbieter einer Cloud-nativen Imaging-Plattform machen daraus sogar einen Vorteil:

Um Gesundheitseinrichtungen bei der Bewältigung ihrer Herausforderungen zu unterstützen, haben Google Cloud und Change Healthcare gemeinsam intensiv an einer innovativen Lösung gearbeitet, die den Problemen bei der Speicherung und Verwaltung medizinischer Bilddaten konsequent begegnet: den Kosten, der Komplexität und den Sicherheitsdefiziten.

„Mit einer Cloud-Umgebung wird es einfacher und günstiger, die großen Bibliotheken medizinischer Bilddaten im Gesundheitswesen zu speichern und gemeinsam zu nutzen“, erklärt Tracy Byers, SVP und GM für Imaging-Lösungen bei Change Healthcare. Neben erheblichen Kosteneinsparungen ermöglicht die Zentralisierung der Daten in einer Cloud-Umgebung den Austausch von Informationen. So können Pflegekräfte leichter zusammenarbeiten und bessere Entscheidungen treffen.

Mit Change Healthcares Fähigkeiten in der medizinischen Bildgebung, etwa mit der Stratus Imaging-Lösung, und Google Clouds Kompetenzen in den Bereichen KI, Analytik und Secure-by-Design-Infrastrukturen schufen die beiden Unternehmen eine Enterprise-Bildgebungsplattform, mit der Gesundheitseinrichtungen Bilder abrufen, prüfen und teilen können – sicher, einfach und günstig, überall und für jeden, der Einsicht benötigt.

Vorteile einer cloudnativen Bildgebungsplattform

Schnellere, präzisere Diagnosen. Wenn Bilder automatisch hochgeladen werden und sofort zur Verfügung stehen, lassen sich Befunde schneller überprüfen und weitergeben. Die vollständige Verfügbarkeit aller Bilddaten unterstützt eine präzise, schnelle Diagnose.
Sicherer Zugriff auf Bilddaten – immer und überall. Ermöglichen Sie Mitarbeiter*innen an verschiedenen Orten, Satellitenkliniken und ambulanten Umgebungen die sichere Überprüfung und den Zugriff auf medizinische Bilder auf der Grundlage eines Zero-Trust-Frameworks, das authentifiziert, autorisiert und Zugriffsberechtigungen fortlaufend prüft.
Leichtere Modernisierung. Reduzieren Sie die Komplexität und die Kosten für die Aktualisierung Ihrer Systeme. Bieten Sie Ihrem medizinischen Fachpersonal topaktuelle Funktionen einer vollständig verwalteten Imaging-Plattform, die von Grund auf für Bildgebung auf Enterprise-Niveau entwickelt wurde.
Bessere Fürsorge durch vereinfachten Zugang zu medizinischen Bilddaten. Gewähren Sie allen relevanten Beteiligten Echtzeitzugriff auf medizinische Bilder mit einem intuitiven Viewer: IT und Operations, klinischem und medizinischem Fachpersonal und den Patient*innen. Machen Sie neue Nutzungsmuster möglich und schöpfen Sie das Potenzial von Daten ab, die bislang nur für einen einzigen Zweck bestimmt waren – durch den Zugriff auf moderne und stets aktuelle Cloud-basierte Dienste und Tools direkt in der Imaging-Anwendung.
Konsequent patientenorientierte Lösung. Wollten Patient*innen in der Vergangenheit ihre medizinischen Bilder erhalten, mussten sie einen Antrag stellen, die Bilder auf CD brennen lassen und dann für die Lieferung zahlen. Mit der Bildgebungsplattform können sie über eine moderne Web-App auf ihr medizinisches Bildmaterial zugreifen und erhalten Kontrolle, Transparenz und Datenmobilität in einer patientenfreundlichen Umgebung.

Keine Barrieren zwischen Kliniken, Arztpersonal, Patient*innen und Daten

Die ersten Anwender der Lösung von Change Healthcare und Google Cloud nehmen bereits die Kostensenkungen und Leistungsverbesserungen wahr, die mit dem Upgrade auf eine vollständig verwaltete Imaging-Plattform einhergehen. Dem zunehmenden Druck, Direktkosten zu senken und unsichtbare Kosten aufzudecken, begegnet die cloudnative Bildgebungsplattform mit nahtloser Datenmigration, einer Verfügbarkeit von 99,99 % oder mehr und einer Senkung der Gesamtbetriebskosten um 20 %.1

Mit vollständiger Echtzeit-Transparenz über alle Bildgebungsdaten an jedem Gerät helfen Change Healthcare und Google Cloud medizinischen Einrichtungen, genauere Diagnosen schneller zu stellen und so die Patientenversorgung zu verbessern – und all das kostengünstiger und weniger komplex. Erfahren Sie, wie Ihr Unternehmen von unserer umfassenden Erfahrung in den Bereichen Cloud, Daten und medizinische Bildgebung profitieren kann.

^{1. Verfügbarkeitsnorm basierend auf der Implementierung und Anwendung der Systemkonfigurationsrichtlinien von Change Healthcare}

aside_block: <ListValue: [StructValue([('title', 'Google Cloud schöpft Potenzial von KI und Dateninteroperabilität mit neuer Suite für medizinische Bildgebung aus'), ('body', <wagtail.rich_text.RichText object at 0x7fdceb259040>), ('btn_text', 'Mehr erfahren'), ('href', 'https://www.googlecloudpresscorner.com/2022-10-04-Google-Cloud-Delivers-on-the-Promise-of-AI-and-Data-Interoperability-with-New-Medical-Imaging-Suite?linkId=8248512'), ('image', None)])]>

Wie Cloud Storage eine Zuverlässigkeit von 99,999999999 % erreicht

Sun, 22 Aug 2021 11:00:00 +0000

Einer der wichtigsten Aspekte jeder Speicherlösung ist Zuverlässigkeit. Wie gut sind Ihre Daten demnach vor Verlust oder Beschädigung geschützt? In einer Cloud-Umgebung spielt dieser Faktor eine besonders große Rolle. Cloud Storage wurde für eine jährliche Zuverlässigkeit von mindestens 99,999999999 % bzw. „11 Neunen“ entwickelt. Das bedeutet, dass Sie wahrscheinlich selbst bei einer Milliarde Objekte innerhalb von 100 Jahren kein einziges Objekt verlieren würden.

Wir nehmen das Erreichen dieser Ziele für Zuverlässigkeit sehr ernst. In diesem Beitrag erfahren Sie mehr darüber, wie Sie Daten in Cloud Storage am besten schützen. Letztendlich ist der Schutz von Daten eine geteilte Verantwortung (die häufigste Ursache für Datenverlust ist das versehentliche Löschen durch Nutzer*innen oder Administrator*innen von Speichersystemen). Daher gehen wir in diesem Beitrag auch auf Best Practices ein, wie Sie Ihre Daten vor Risiken wie Naturkatastrophen und Anwendungsfehlern schützen können.

Physische Zuverlässigkeit

Meistens wird Zuverlässigkeit mit dem Schutz vor Fehlern von Netzwerk-, Server- und Speicherhardware in Zusammenhang gebracht.

Wir bei Google sind davon überzeugt, dass Software letztendlich den besten Schutz vor Hardwarefehlern bietet. So wird die Zuverlässigkeit zu attraktiven Preisen gesteigert und es kommt nicht zu einer Abhängigkeit von exotischen Hardwarelösungen. Wir rechnen immer damit, dass Hardware versagt – denn das kommt auch immer wieder vor. Das heißt aber nicht, dass die Zuverlässigkeit darunter leiden muss.

In Cloud Storage werden Objekte beim Speichern in „Datenblöcke“ aufgeteilt, die dann auf verschiedenen Servern mit unterschiedlichen Stromquellen aufbewahrt werden. Zusätzlich wird für Redundanz eine Reihe von „Codeblöcken“ erstellt. Bei einem Hardwarefehler (z. B. Server, Laufwerk) wird das gesamte Objekt mithilfe der Daten- und Codeblöcke rekonstruiert. Dieses Verfahren wird als Löschcodierung (Erasure Coding, EC) bezeichnet. Außerdem werden mehrere Kopien der Metadaten zum Suchen und Lesen des Objekts gespeichert. Auf diese Weise besteht weiterhin Zugriff auf das Objekt, selbst wenn Metadaten-Server ausfallen.

Die wichtigste Voraussetzung ist hierfür, dass Daten immer redundant in verschiedenen Verfügbarkeitszonen gespeichert werden, bevor ein Schreibvorgang als erfolgreich durchgeführt gilt. Die verwendeten Codierungen bieten ausreichend Redundanz, um das Ziel einer Zuverlässigkeit von über 11 Neunen bei Hardwarefehlern zu erreichen. Nach dem Speichern werden regelmäßig Prüfsummen abgeglichen, um inaktive Daten vor bestimmten Arten von Datenfehlern zu schützen. Stimmt eine Prüfsumme nicht überein, können Daten aufgrund der Redundanz in der Codierung automatisch repariert werden.

Best Practice: Standorte mit zwei oder mehr Regionen verwenden

Diese Maßnahmen zum Schutz der physischen Zuverlässigkeit sind schön und gut, helfen allerdings nicht unbedingt bei einer erheblichen Zerstörung einer Region wie beispielsweise im Falle eines Krieges, eines Asteroideneinschlags oder anderer großer Katastrophen.

Das Ziel der Zuverlässigkeit von mindestens 99,999999999 % für Cloud Storage gilt für eine einzelne Region. Zum Schutz vor Naturkatastrophen, die gesamte Regionen zerstören können, sollten Sie die wichtigsten Daten in dualen oder multiregionalen Buckets speichern. Mit diesen Buckets wird eine Redundanz Ihrer Daten in mehreren geografischen Regionen automatisch gewährleistet. Sie erfordern keine zusätzlichen Konfigurationen oder API-Änderungen an Ihren Anwendungen und erhöhen die Zuverlässigkeit bei Ereignissen, die sehr selten sind, aber unter Umständen katastrophal sein können. Ein zusätzlicher Vorteil dieser Standorttypen sind die SLAs mit einer bedeutend höheren Verfügbarkeit. Wenn vorübergehend kein Zugriff auf eine Region besteht, können Objekte von einem anderen Standort bereitgestellt werden.

Zuverlässigkeit während der Übertragung

Eine weitere Art von Risiken für die Zuverlässigkeit betrifft die Beschädigung von Daten während der Übertragung. Dabei kann es sich um die Datenübertragung zwischen Netzwerken im Cloud Storage-Dienst selbst oder um das Hoch-/Herunterladen von Objekten in/von Cloud Storage handeln.

Zum Schutz vor einer möglichen Beschädigung werden Daten bei der Übertragung in Cloud Storage immer und ohne Ausnahme mit einer Prüfsumme geschützt. Wenn die Validierung der Prüfsumme fehlschlägt, wird die Anfrage je nach Situation automatisch wiederholt oder es wird ein Fehler ausgegeben.

Best Practice: Prüfsummen für Uploads und Downloads verwenden

In Google Cloud werden alle innerhalb des Diensts übertragenen Cloud Storage-Objekte mit einer Prüfsumme validiert, um End-to-End-Schutz zu erreichen. Sie sollten Prüfsummen bereitstellen, wenn Sie Daten in Cloud Storage hochladen, und diese Werte auf dem Client validieren, wenn Sie ein Objekt herunterladen.

Menschliches Versagen als Risiko für die Zuverlässigkeit

Ohne Frage ist der Datenverlust durch menschliche Fehler das größte Risiko – nicht nur Fehler von uns Entwickler*innen und Dienstbetreibern, sondern auch Fehler von Cloud Storage-Nutzer*innen.

Software-Programmfehler stellen möglicherweise die größte Gefahr dar, wenn es um die Zuverlässigkeit von Daten geht. Mit ausgefeilten Maßnahmen verhindern wir, dass Programmfehler eingeführt werden, die Daten beschädigen oder löschen und sich folglich auf die Zuverlässigkeit auswirken könnten. Spezielle Absicherungen helfen bei der schnellen Erkennung dieser Art von Programmfehlern. Ziel ist es, Fehler zu finden, bevor sich eine Beeinträchtigung der Zuverlässigkeit zum Verlust der Zuverlässigkeit entwickelt.

Eine neue Version von Cloud Storage wird erst eingeführt, nachdem sie zahlreiche Integrationstests bestanden hat. Auf diese Weise werden Programmfehler schon im Vorfeld erkannt. Die Tests umfassen verschiedene Grenzfall-Fehlerszenarien wie den Ausfall einer Verfügbarkeitszone und den Vergleich von Datencodierung und Placement-APIs mit früheren Versionen, um das Auftreten neuer Fehler auszuschließen.

Nach der Genehmigung einer neuen Softwareversion werden Upgrades schrittweise nach Verfügbarkeitszone eingeführt. Das Rollout findet zuerst stark begrenzt statt und wird dann langsam erweitert, bis die neue Version allgemein verwendet wird. So können Fehler gefunden werden, bevor sie große Auswirkungen haben und solange es noch Kopien der Daten (oder eine ausreichende Anzahl an Löschcodeblöcken) für die Datenwiederherstellung gibt, falls erforderlich. Diese Software-Rollouts werden streng überwacht und es gibt Pläne für schnelle Rollbacks, wenn Bedarf besteht.

Auch Sie können zahlreiche Maßnahmen ergreifen, um einem Datenverlust vorzubeugen.

Best Practice: Objektversionsverwaltung aktivieren

Eine der häufigsten Ursachen für Datenverlust ist das versehentliche Löschen von Daten durch Speicheradministrator*innen oder Endnutzer*innen. Wenn Sie die Objektversionsverwaltung aktivieren, werden gelöschte Objekte in Cloud Storage erhalten und können so später bei Bedarf wiederhergestellt werden. Mit Richtlinien für die Verwaltung des Objektlebenszyklus können Sie festlegen, wie lange Objektversionen bis zum endgültigen Löschen aufbewahrt werden, um Ihre Speicherkosten besser zu kontrollieren.

Best Practice: Datensicherung

Auch wenn Cloud Storage eine Zuverlässigkeit von 99,999999999 % erreicht, sollten Sie Ihre Daten sichern. Es besteht leider immer die Gefahr, dass bösartige Hacker Zugriff auf Ihr Cloud Storage-Konto erlangen. Abhängig von Ihren Zielen können Sie zur Sicherung eine zweite Datenkopie in einer anderen Region oder Cloud, lokal oder sogar physisch durch einen Air Gap getrennt auf Band oder Laufwerk erstellen.

Best Practice: Aufbewahrungsrichtlinien und Audit-Logs

Legen Sie für die langfristige Datenaufbewahrung mit der Cloud Storage-Funktion Bucket-Sperre Aufbewahrungsrichtlinien fest und sperren Sie Daten für bestimmte Zeiträume. So können Sie verhindern, dass Daten versehentlich geändert oder gelöscht werden. Zusammen mit Audit-Logs zum Datenzugriff unterstützt Sie diese Funktion bei der Einhaltung von Vorschriften und Compliance-Anforderungen, z. B. in Bezug auf FINRA, SEC und CFTC. Sie fördern auch die Einhaltung bestimmter Aufbewahrungsvorschriften im Gesundheitswesen.

Best Practice: Richtlinien zur rollenbasierten Zugriffssteuerung

Schränken Sie die Auswirkungen von bösartigen Hackerangriffen und versehentlichem Löschen mit Richtlinien zur IAM-Zugriffssteuerung ein, die das Prinzip der Funktionstrennung (Separation of Duties, SoD) sowie das Prinzip der geringsten Privilegien (Principle of Least-Privilege, PoLP) befolgen. Trennen Sie beispielsweise Nutzer*innen, die Buckets erstellen können, von solchen, die Projekte löschen können.

Schlüssel und Zuverlässigkeit

Alle inaktiven und in der Cloud übertragenen Cloud Storage-Daten sind verschlüsselt. Da Objekte ohne ihre Schlüssel nicht gelesen werden können, stellt der Verlust dieser Schlüssel ein enormes Risiko für die Zuverlässigkeit dar, denn selbst die zuverlässigsten Daten sind nutzlos, wenn sie nicht zu lesen sind. Cloud Storage bietet drei Möglichkeiten der Schlüsselverwaltung: 1) von Google verwaltete Schlüssel, 2) vom Kunden verwaltete Schlüssel (Customer Managed Encryption Keys, CMEK) mit Cloud KMS oder 3) vom Kunden bereitgestellte Schlüssel (Customer Supplied Encryption Keys, CSEK) mit einem externen Schlüsselserver.

Die Zuverlässigkeit der von Google verwalteten Schlüssel wird mit ähnlichen Maßnahmen wie zuvor beschrieben geschützt (einschließlich Löschcodierung und Konsistenzprüfung).

Best Practice: Schlüssel absichern

Bei der Wahl von CMEK oder CSEK übernehmen Sie selbst die Verantwortung für die Schlüsselverwaltung. In diesem Fall sollten Sie Ihre Schlüssel unbedingt so schützen, dass Sie auch eine Zuverlässigkeit von mindestens 99,999999999 % erreichen. Bei CSEK sind daher Sicherungen der Schlüssel an externen Standorten erforderlich, sodass sie selbst bei Verlust oder Beschädigung wiederhergestellt werden können. Ohne derartige Maßnahmen hängt die Zuverlässigkeit Ihrer Daten von der Zuverlässigkeit der Schlüssel ab.

Mehr als 99,999999999 %

Google Cloud nimmt die Verantwortung für den Schutz Ihrer Daten sehr ernst. Dank der zahlreichen hier beschriebenen Verfahren konnte für Cloud Storage bereits eine jährliche Zuverlässigkeit von über 99,999999999 % erreicht werden. Wenn Sie nun noch die Best Practices anwenden, die wir in diesem Beitrag mit Ihnen geteilt haben, sollten Ihre Daten bestens geschützt und immer verfügbar sein, egal ob heute oder in Zukunft. Lesen Sie sich für weitere Informationen unsere umfassende Sammlung an Anleitungen zu Cloud Storage durch.

^{Wir möchten uns bei Dean Hildebrand, Technical Director, Office of the CTO, bedanken. Er ist Mitverfasser des Dokuments, auf dem dieser Beitrag basiert.}

Vier Best Practices für Datenschutz und Sicherheit in Cloud Storage

Thu, 11 Feb 2021 17:00:00 +0000

Mit Cloud Storage können Unternehmen ihre Kosten und den operativen Aufwand reduzieren, schneller skalieren und von weiteren Vorteilen des Cloud-Computing profitieren. Gleichzeitig müssen sie Anforderungen hinsichtlich Datenschutz und Sicherheit nachkommen und deshalb den Zugriff auf ihre Daten einschränken und vertrauliche Informationen schützen.

Wenn Unternehmen ihre Daten in die Cloud migrieren, ist das Thema Sicherheit immer ein großes Anliegen. Daher hat sie für all unsere Produkte oberste Priorität. Mit Cloud Storage können Unternehmen beliebige Datenmengen jederzeit einfach, zuverlässig und kostengünstig speichern und abrufen. Für Sicherheit sorgen dabei integrierte Funktionen wie Verschlüsselung während der Übertragung und Verschlüsselung inaktiver Daten sowie eine Reihe von Verwaltungsoptionen für Verschlüsselungsschlüssel. Dazu gehören von Google verwaltete Schlüssel, von Kundinnen und Kunden bereitgestellte bzw. verwaltete Schlüssel sowie Hardwaresicherheitsmodule. Google besitzt und unterhält eines der größten privaten Netzwerke der Welt. Bei Verwendung von Cloud Storage kommen Ihre Daten deshalb so wenig wie möglich dem öffentlichen Internet ausgesetzt.

Best Practices für den Schutz Ihrer Daten mit Cloud Storage

Für den Schutz gespeicherter Unternehmensdaten vor zukünftigen Bedrohungen und neuen Gefahren ist eine gewisse Vorausplanung erforderlich. Neben den Grundlagen bietet Cloud Storage verschiedene Sicherheitsfeatures wie den einheitlichen Zugriff auf Bucket-Ebene, Dienstkonto-HMAC-Schlüssel, IAM-Bedingungen, Delegierungs-Tokens und V4-Signaturen.

Wir möchten Ihnen im Folgenden einige Best Practices zum Thema Sicherheit vorstellen, die Ihnen dabei behilflich sein können, auch große Mengen von Daten mithilfe dieser Features zu schützen:

1. Mit Organisationsrichtlinien die Kontrolle zentralisieren und Vorgaben definieren

In Cloud Storage gilt wie bei Google Cloud eine bestimmte Ressourcenhierarchie. Buckets enthalten Objekte, die mit Projekten verknüpft sind, welche wiederum Organisationen zugeordnet sind. Sie können auch Ordner verwenden, um Projektressourcen weiter zu trennen. Organisationsrichtlinien sind Einstellungen, die Sie auf Organisations-, Ordner- oder Projektebene konfigurieren können, um dienstspezifische Verhaltensweisen zu erzwingen.

Wir empfehlen die Aktivierung der folgenden beiden Organisationsrichtlinien:

Domaineingeschränkte Freigabe: Diese Richtlinie verhindert, dass Inhalte für Personen außerhalb des Unternehmens freigegeben werden. Wenn Sie beispielsweise versuchen würden, den Inhalt eines Buckets für das öffentliche Internet verfügbar zu machen, würde der Vorgang durch diese Richtlinie unterbunden werden.

Einheitlicher Zugriff auf Bucket-Ebene: Mit dieser Richtlinie können Sie Berechtigungen vereinfachen und die Zugriffssteuerung im großen Maßstab verwalten. Dabei wird für alle neu erstellten Buckets eine einheitliche Zugriffssteuerung auf Bucket-Ebene konfiguriert, die den Zugriff auf alle zugrunde liegenden Objekte regelt.

2. Die Zugriffssteuerung mit Cloud IAM vereinfachen

Cloud Storage bietet zwei Systeme, um Berechtigungen zum Zugriff auf Ihre Buckets und Objekte zu erteilen: Cloud IAM und Access Control Lists (ACLs). Damit jemand auf eine Ressource zugreifen kann, reicht es, wenn über eines dieser Systeme die entsprechenden Berechtigungen gewährt werden.

Über ACLs gewähren Sie auf Objektebene Zugriff auf einzelne Objekte. Wenn die Anzahl der Objekte in einem Bucket zunimmt, steigt auch der Aufwand für die Verwaltung der ACLs. Das macht es schwierig herauszufinden, wie sicher die Objekte in einem Bucket sind. Es ist praktisch unmöglich, Millionen von Objekten durchzugehen, um zu prüfen, ob eine bestimmte Nutzerin oder ein Nutzer die korrekten Zugriffsberechtigungen hat.

Wir empfehlen Cloud IAM zur Steuerung des Zugriffs auf Ihre Ressourcen. Cloud IAM bietet einen Google Cloud-weiten, plattformorientierten, einheitlichen Mechanismus, mit dem Sie die Zugriffssteuerung für Ihre Cloud Storage-Daten verwalten können. Wenn Sie den einheitlichen Zugriff auf Bucket-Ebene aktivieren, werden Objekt-ACLs deaktiviert und der Zugriff wird über Cloud IAM-Richtlinien auf Bucket-Ebene verwaltet. Damit gelten auf Bucket-Ebene gewährte Berechtigungen automatisch für alle Objekte in einem Bucket.

3. Weitere Alternativen zu ACLs, falls IAM-Richtlinien keine Option sind

Wir wissen, dass manche Kundinnen und Kunden aus verschiedenen Gründen ACLs weiterhin verwenden, z. B. für Multi-Cloud-Architekturen oder zur Freigabe eines Objekts für einzelne Nutzerinnen und Nutzer. Sie sollten jedoch keine Objekt-ACLs für Endnutzer:innen verwenden.

Wir empfehlen stattdessen eine der folgenden Alternativen:

Signierte URLs: Darüber können Sie einen zeitlich beschränkten Zugriff auf Ihre Cloud Storage-Ressourcen delegieren. Wenn Sie eine signierte URL erstellen, enthält deren Abfragestring Authentifizierungsinformationen, die mit einem Konto mit Zugriffsberechtigung verknüpft sind (z. B. einem Dienstkonto). Sie können beispielsweise jemandem eine URL senden, um dieser Person Lesezugriff auf ein Dokument zu gewähren. Dieser Zugriff wird nach einer Woche widerrufen.

Separate Buckets: Prüfen Sie Ihre Buckets und achten Sie dabei auf Zugriffsmuster. Wenn Sie feststellen, dass eine Gruppe von Objekten dieselben Objekt-ACLs aufweist, könnten Sie diese in einen separaten Bucket verschieben und den Zugriff auf Bucket-Ebene steuern.

IAM-Bedingungen: Wenn in Ihrer Anwendung für die Objektbenennung gemeinsame Präfixe verwendet werden, könnten Sie IAM-Berechtigungen verwenden, um auf dieser Grundlage Zugriffsrechte zuzuweisen.

Delegierungs-Tokens: Sie können STS-Tokens verwenden, um einen zeitlich begrenzten Zugriff auf Cloud Storage-Buckets und gemeinsame Präfixe zu gewähren.

4. HMAC-Schlüssel für Dienstkonten, aber nicht für die Konten von Nutzerinnen und Nutzern verwenden

Ein HMAC-Schlüssel (Hash-based Message Authentication Code) ist ein Anmeldedatentyp, der verwendet wird, um Signaturen zu erstellen, die bei Anfragen an Cloud Storage mitgesendet werden. Generell sollten Sie HMAC-Schlüssel nur für Dienstkonten und nicht für die Konten von Nutzerinnen und Nutzern einsetzen. Dadurch vermeiden Sie die mit den Konten einzelner Nutzer:innen verbundenen Datenschutz- und Sicherheitsrisiken. Außerdem verringern Sie das Risiko von Dienstzugriffsausfällen, da die Konten von Nutzerinnen und Nutzern deaktiviert werden können, wenn die betreffende Person aus dem Projekt aussteigt oder das Unternehmen verlässt.

Für noch mehr Sicherheit empfehlen wir folgende Maßnahmen:

Ändern Sie die Schlüssel regelmäßig gemäß einer Richtlinie zur Schlüsselrotation.

Gewähren Sie Dienstkonten nur die minimal notwendigen Zugriffsberechtigungen, um eine Aufgabe zu erledigen (Prinzip der geringsten Berechtigung).

Legen Sie angemessene Ablaufzeiten fest, falls Sie noch V2-Signaturen verwenden, oder migrieren Sie zu V4-Signaturen, die automatisch für maximal eine Woche gelten.

Weitere Informationen zu Cloud Storage und den Möglichkeiten, Ihre Daten zu schützen und dabei alle rechtlichen Vorgaben einzuhalten, finden Sie in der Cloud Storage-Dokumentation unter Übersicht über die Zugriffssteuerung. Zusätzlich finden Sie unserer Breakout-Session im Rahmen der Google Cloud Next 2020 weitere Informationen zu diesem Thema.

Acht Gründe für Unternehmen in die Cloud zu migrieren

Sun, 18 Nov 2018 18:04:00 +0000

[Anmerkung der Redaktion: Dieser Beitrag erschien ursprünglich im Velostrata-Blog. Inzwischen gehört Velostrata zu Google Cloud, und wir freuen uns, Velostratas Erfahrung bei der Entscheidung für eine Cloud-Migration mit Ihnen zu teilen. Weitere Informationen zur Velostrata-Technologie für eine beschleunigte Migration finden Sie hier.]

Bei Velostrata haben wir viel darüber gesprochen, wie der Migrationsprozess in die Cloud optimiert werden kann. In diesem Zusammenhang wird uns häufig folgende Frage gestellt: Welche Gründe bewegen Unternehmen zu einer Migration in die Cloud? Um das herauszufinden haben wir mit unseren Kunden gesprochen, Daten analysiert, und Marktanalysen von Unternehmen wie z. B. RightScale untersucht. Wenn Sie eine Migration in die Cloud erwägen, erfahren Sie in diesem Artikel welche Ereignisse zur Erstellung eines Migrationsplans führen können.

1. Vertragsverlängerungen mit Rechenzentren

Viele Unternehmen haben Verträge mit privaten Rechenzentren, die regelmäßig erneuert werden müssen. Doch vor der Erneuerung dieser Verträge sehen sich Unternehmen häufig mit notwendigen Kosteneinsparungen oder anderen Einschränkungen konfrontiert – und denken deswegen über eine Migration in die Cloud nach.

2. Akquisitionen

Bei der Fusion von Unternehmen ist es schwierig, Anwendungsumgebungen und -daten aufeinander abzustimmen – besonders, wenn dies über mehrere lokale Rechenzentren erfolgen muss. Viele Unternehmen machen bei Fusionen die Erfahrung, dass die Verschiebung von Schlüsselanwendungen und -daten in die Cloud den Prozess einfacher gestaltet. Die Nutzung der Cloud erleichtert auch die Anpassung an neue Standorte und Mitarbeiter*innen, was letztlich zu einem reibungsloseren Übergang führt.

3. Steigende Kapazitätsanforderungen

Unabhängig davon, ob es sich um die üblichen Wachstumsprozesse eines Unternehmens handelt oder ob große Kapazitätssprünge während saisonaler Verschiebungen zu bewältigen sind: Ihr Unternehmen profitiert von der Möglichkeit die Rechenleistung schnell zu erhöhen oder zu verringern. Statt den Höchstbetrag für lokale Kapazitäten zu bezahlen, können Sie Ihre Kapazität nach Bedarf in die Cloud verlagern und bezahlen nur für Ihre tatsächliche Nutzung.

4. Aktualisierungszyklen von Software und Hardware

Wenn Sie ein lokales Rechenzentrum verwalten, sind Sie dafür verantwortlich alles auf dem neuesten Stand zu halten. Die dabei erforderlichen Software-Upgrades gehen oft mit hohen Kosten für lokale Softwarelizenzen und Hardware-Upgrades einher. Nach unseren Erfahrungen erkennen viele Unternehmen bei der Evaluierung eines bevorstehenden Aktualisierungszyklus, dass es wesentlich kostengünstiger ist, die lokale Software und Hardware auszumustern und stattdessen ein SaaS-Abonnement oder ein Lift-and-Shift dieser Anwendung in die öffentliche Cloud in Betracht zu ziehen. Wofür Sie sich entscheiden, hängt stark von der Anwendung (und den verfügbaren SaaS-Optionen) ab. In beiden Fällen ist dies der Beginn eines Cloud-Migrationsprojekts.

5. Sicherheitsbedrohungen

Da Sicherheitsbedrohungen in Umfang und Schwere immer weiter zunehmen, migrieren viele Unternehmen zur Risikominimierung in die Cloud. Anbieter öffentlicher Clouds bieten umfangreiche Ressourcen für den Schutz vor Bedrohungen – mehr als es den meisten Unternehmen möglich ist zu investieren.

6. Compliance-Anforderungen

Wenn Sie in Branchen wie dem Finanzdienstleistungssektor oder dem Gesundheitswesen tätig sind, ist die sichere Einhaltung der Datenschutzrichtlinien für den Geschäftsbetrieb unerlässlich. Mit dem Wechsel in die Cloud nutzen Unternehmen bereits konforme, Cloud-basierte Tools und Dienste und tragen so dazu bei, die IT-Teams der Unternehmen bei der Einhaltung der Richtlinien zu entlasten.

7. Vorteile durch Produktentwicklungen

Durch die Nutzung von Vorteilen, wie dem Pay-as-you-go-Kostenmodell und der dynamischen Bereitstellung für Produktentwicklung und -tests, stellen viele Unternehmen fest, dass die Cloud ihnen hilft, Produkte schneller auf den Markt zu bringen. Wir beobachten, dass Unternehmen nicht nur aus Gründen der Zeit- und Kostenersparnis in die Cloud migrieren, sondern auch um schneller Umsätze zu generieren.

8. Ablauf des Lebenszyklus

Alles hat ein Ende – auch die Lebensdauer von Software. Insbesondere am Ende des Lebenszyklus einer geschäftskritischen Software eines Rechenzentrums liegt es nahe, dass IT-Teams von Unternehmen nach Möglichkeiten suchen, um diese Dienste in der Cloud zu replizieren, anstatt zu versuchen, ihren Lebenszyklus lokal zu verlängern. Das bedeutet, dass Unternehmen alte Lizenzen und Hardware ausmustern und gleichzeitig die Vorteile der Cloud nutzen können.

Wie Sie sehen gibt es diverse Gründe, die Unternehmen dazu bewegen, in die Cloud zu migrieren. In einigen Fällen befinden sich Unternehmen bereits im Migrationsprozess und erkennen noch weitere Möglichkeiten, wie sie Cloud-Dienste bestmöglich nutzen können. Mit dem Wissen der häufigsten Gründe für eine Cloud-Migration können Sie nun die richtige Cloud-Architektur und Migrationsstrategie festlegen, um Ihre Workloads in die Cloud zu verlagern.

Weitere Informationen über die Cloud-Migration mit Velostrata finden Sie hier.