Google Cloud Security Command Center
Auf dem Posten
Veröffentlicht in Ausgabe 11/2025 - PRAXIS
Cloud-Security ist anspruchsvoll: Im Gegensatz zu einem lokalen Rechenzentrum, dessen Perimeter sich klarer abgrenzen lässt, bringt die Cloud durch öffentliche APIs einen deutlich größeren Angriffsvektor mit. Hinzu kommt: Viele Unternehmen betreiben ihre Cloudumgebungen ohne eine zentrale Landing Zone. Die Teams arbeiten oft verteilt in Silos – eine einheitliche Sicht auf die Umgebung und deren Risiken fehlt. Auch unklare Zuständigkeiten können zum Problem werden: Wenn nicht eindeutig ist, wer für eine Komponente verantwortlich ist, lassen sich Sicherheitslücken nur schwer schließen.
Um Sicherheit in der Google Cloud beherrschbar zu machen, stellt Google das Security Command Center (SCC) [1] zur Verfügung. Das Tool unterstützt dabei, Cloudrisiken gezielt zu erkennen und zu bewerten. Es bietet eine ganzheitliche Sicht auf die Cloud und sorgt so für mehr Transparenz. Die Umgebung und ihre Ressourcen werden kontinuierlich überwacht, damit potenzielle Risiken frühzeitig auffallen. Das SCC umfasst unter anderem folgende Funktionen:
- In Kombination mit dem Cloud Asset Inventory verschafft SCC umfassende Visibilität über alle Ressourcen in der Cloud.
Cloud-Security ist anspruchsvoll: Im Gegensatz zu einem lokalen Rechenzentrum, dessen Perimeter sich klarer abgrenzen lässt, bringt die Cloud durch öffentliche APIs einen deutlich größeren Angriffsvektor mit. Hinzu kommt: Viele Unternehmen betreiben ihre Cloudumgebungen ohne eine zentrale Landing Zone. Die Teams arbeiten oft verteilt in Silos – eine einheitliche Sicht auf die Umgebung und deren Risiken fehlt. Auch unklare Zuständigkeiten können zum Problem werden: Wenn nicht eindeutig ist, wer für eine Komponente verantwortlich ist, lassen sich Sicherheitslücken nur schwer schließen.
Um Sicherheit in der Google Cloud beherrschbar zu machen, stellt Google das Security Command Center (SCC) [1] zur Verfügung. Das Tool unterstützt dabei, Cloudrisiken gezielt zu erkennen und zu bewerten. Es bietet eine ganzheitliche Sicht auf die Cloud und sorgt so für mehr Transparenz. Die Umgebung und ihre Ressourcen werden kontinuierlich überwacht, damit potenzielle Risiken frühzeitig auffallen. Das SCC umfasst unter anderem folgende Funktionen:
- In Kombination mit dem Cloud Asset Inventory verschafft SCC umfassende Visibilität über alle Ressourcen in der Cloud.
- Die integrierte Bedrohungserkennung ("Threat Detection") analysiert Sicherheitszustände mit Modulen wie Security Health Analytics, Event Threat Detection, Container Threat Detection und dem Web Security Scanner. Dabei erfolgt ein kontinuierliches Monitoring von Ressourcen und Logdaten, um Schwachstellen und Angriffe zu identifizieren.
- Mithilfe des Compliance Monitorings prüfen Sie, ob Ihre Cloudkonfiguration etablierten Standards wie NIST oder CIS entspricht.
- Über die integrierte Data-Export-Funktion lassen sich alle sicherheitsrelevanten Daten in Drittsysteme übertragen.
SSC in drei Lizenzen verfügbar
Das Security Command Center ist in drei Editionen verfügbar: Standard, Premium und Enterprise. Eine detaillierte Feature-Übersicht finden Sie in der Google-Dokumentation [2]. Im Überblick:
- Standard-Edition: Diese Version ist kostenfrei nutzbar – abgesehen von indirekten Kosten wie Netzwerkverkehr oder Datenspeicherung. Sie erhalten grundlegende Visibilität in Ihre Google-Cloudumgebung, sehen den Compliancestatus und erkennen typische Sicherheitslücken, etwa offene Firewallregeln, fehlende Verschlüsselung oder unsichere IAM-Konfigurationen. Auch eine integrierte Bedrohungserkennung für Anomalien wie verdächtige API-Aufrufe oder ungewöhnliche Netzwerkaktivitäten ist enthalten.
- Premium-Edition: Aktivierbar auf Projekt- oder Organisationsebene, mit Abrechnung im Pay-as-you-Go-Modell. Die Kosten richten sich nach genutzten Ressourcen und Zeit – eine Compute Engine vCPU-Stunde liegt aktuell bei 0,0071 US-Dollar. Die Premium-Edition erweitert die Bedrohungserkennung durch Security Health Analytics und ermöglicht tiefere Analysen auf Basis von KI, etwa zur Erkennung von Kryptomining, unbefugtem Zugriff oder Protokollanomalien. Auch die Complianceprüfung ist umfangreicher: Sie umfasst branchenspezifische Standards wie ISO 27001, PCI DSS und weitere. Webanwendungen lassen sich auf Schwachstellen wie XSS oder SQL-Injection untersuchen. Zudem besteht eine Integration mit Data Loss Prevention (DLP) zum Schutz sensibler Daten.
- Enterprise-Edition: Als Abonnement mit jährlichen Mindestkosten ab 15.000 US-Dollar. Die Variante eignet sich für große Umgebungen und Managed-Service-Provider. Neben der Google Cloud lassen sich auch Azure-, AWS- oder On-Prem-Umgebungen einbeziehen. Über die Integration mit Chronicle, der SIEM-Plattform von Google, sind tiefgehende Sicherheitsanalysen möglich. Zusätzlich enthalten sind proaktive Schutzmaßnahmen und Unterstützung komplexer Organisationen mit mehreren Mandanten.
Erste Schritte im Security Command Center
Wie bei den meisten Google-Diensten ist auch das Security Command Center nahtlos in die Google Cloud Console integriert. Um SCC zu öffnen, klicken Sie in der linken Navigation auf "Security / Risk Overview". Dort landen Sie auf der Startseite des Tools. Über den Button „Settings“ oben rechts (Bild 1) gelangen Sie zu den Einstellungen für Ihr aktuelles Projekt.
Im Tab "Tier Details" sehen Sie, welche SCC-Version aktiv ist. Standardmäßig nutzt Google die kostenfreie Standard-Edition – ein Upgrade auf die Premium- oder Enterprise-Version ist jederzeit möglich. Im Zusammenhang mit Schwachstellenmanagement begegnet Ihnen häufig der Begriff "Findings" – dieser steht für identifizierte Schwachstellen oder sicherheitsrelevante Ereignisse. Auch SCC verwendet diese Terminologie.
Wenn Sie die aktuellen Findings einsehen möchten, kehren Sie auf die Seite "Risk Overview" zurück und scrollen nach unten zu den aktiven Schwachstellen (siehe Bild 2). Alternativ gelangen Sie über den Menüpunkt "Findings" in der linken Navigationsleiste zu einer umfassenden Übersicht. Im nächsten Schritt filtern Sie nach Kategorien oder nutzen eigene Query-Expressions. Alle aktiven Findings für Subnetze zeigen Sie zum Beispiel so an:
state="ACTIVE" AND NOT mute="MUTED" AND resource.type="google.compute.Subnetwork"
Neben der Verwaltung von Findings direkt in SCC stehen verschiedene Exportfunktionen zur Verfügung. Sie können die Daten:
- kontinuierlich in ein BigQuery-Dataset exportieren,
- per Pub/Sub weiterleiten,
- als CSV-Datei herunterladen oder
- im JSON-Format in einem Cloud Storage Bucket speichern.
Export nach BigQuery konfigurieren
Öffnen Sie in der Google Console die Cloud-Shell und legen Sie mit folgendem Befehl ein BigQuery-Dataset an:
PROJECT_ID=$(gcloud config get project)
bq --location=europe-west-3 --apilog=/dev/null mk --dataset \
$PROJECT_ID:continuous_export_ dataset
Konfigurieren Sie anschließend den Export aus SCC:
gcloud scc bqexports create scc- bq-cont-export \
--dataset=projects//datasets/ continuous_export_dataset \
--project=PROJECT_ID
Um nun den Export zu testen, erzeugen Sie drei Serviceaccounts ohne Rollenzuweisung und erstellen jeweils einen zugehörigen Schlüssel:
for i in {0..2}; do
gcloud iam service-accounts create sccp-test-sa-$i;
gcloud iam service-accounts keys create /tmp/sa-key-$i.json \
--iam-account=sccp-test-sa-$i@PROJECT_ID.iam.gserviceaccount.com;
done
Nach wenigen Minuten erscheint im Dataset eine Tabelle namens "Findings". Mit folgendem Befehl führen Sie eine erste Abfrage durch:
bq query --apilog=/dev/null --use_legacy_sql=false \
"SELECT finding_id, event_time, finding.category FROM continuous_ export_dataset.findings"
Compliance im Blick
Zusätzlich zu den Findings stellt das SCC auch Compliancedashboards bereit. Diese unterstützen Sie dabei, Sicherheitsstandards und Benchmarks in der Google Cloud zu bewerten, zu überwachen und zu dokumentieren. SCC prüft Ihre Umgebung automatisch auf Fehlkonfigurationen, die gegen etablierte Vorgaben wie NIST, CIS, PCI DSS oder ISO 27001 verstoßen. Die kontinuierlichen Scans erfolgen agentenlos – Sie müssen keine zusätzliche Software installieren.
Aus den Ergebnissen generiert SCC übersichtliche Complianceberichte. Mit dem integrierten Audit Manager lassen sich zudem automatisiert prüfbare Nachweise erstellen. Falls Sie eigene Erkennungsregeln verwenden möchten, können Sie diese in SCC einbinden. Um sich einen Compliancereport anzeigen zu lassen, öffnen Sie in der Google Cloud Console den Bereich "Security / Compliance". Möchten Sie beispielsweise den aktuellen ISO-27001-Bericht einsehen, klicken Sie auf der Übersichtsseite auf die entsprechende Kachel. Es erscheint ein aktueller Bericht mit den relevanten Kontrollen und deren Status (siehe Bild 3).
Integriertes Schwachstellenmanagement
SCC bietet neben der Erkennung von Findings auch ein integriertes Schwachstellenmanagement. Ziel ist es, Schwachstellen in IT-Systemen, Anwendungen oder Nutzerverhalten frühzeitig zu erkennen und zu beheben – bevor Angreifer sie ausnutzen können. Das Schwachstellenmanagement folgt einem typischen Lebenszyklus mit fünf Phasen:
1. Identifikation: SCC scannt kontinuierlich Netzwerke, Systeme und Anwendungen auf bekannte Schwachstellen.
2. Analyse: Anschließend bewertet SCC die Schwere der Funde und deren potenzielle Auswirkungen.
3. Priorisierung: Kritische Schwachstellen rückt SCC automatisch in den Fokus.
4. Behebung: Sie reagieren mit Patches, Konfigurationsänderungen oder Aktualisierungen des Codes.
5. Berichterstattung: Abschließend erstellt SCC Berichte, um Maßnahmen und Status gegenüber Dritten transparent zu dokumentieren.
Ein zentraler Bestandteil ist der sogenannte Triage- und Analyseprozess. Dabei handelt es sich um einen zweistufigen Ansatz zur Bewertung und Einordnung sicherheitsrelevanter Ereignisse. In der Triage führen Sie eine schnelle Ersteinschätzung durch, um Dringlichkeit und Relevanz zu bestimmen. Die nachgelagerte Analyse liefert tiefere Einblicke in Ursachen und Zusammenhänge.
Um eine Übersicht aller Schwachstellen zu erhalten, öffnen Sie in SCC den Menüpunkt "Risk Overview". Das dort angezeigte Dashboard zeigt sicherheitsrelevante Vorfälle mit hohem Risiko auf und dient als zentraler Einstiegspunkt für die Triage. In Bild 4 sehen Sie die Schwachstellen und Bedrohungen nach Kritikalität kategorisiert. Das folgende Beispiel zeigt, wie Sie mit Schwachstellen im SCC praktisch arbeiten. Dazu erstellen Sie eine VM mit einer bewusst eingeführten Schwachstelle und öffnen die Firewall, sodass der Web Security Scanner diese erkennen kann. Zunächst reservieren Sie eine externe IP-Adresse für die VM und lassen sie sich ausgeben:
gcloud compute addresses create xss-test-ip-address --region=europe-west3
gcloud compute addresses describe xss-test-ip-address \
--region=europe-west3 --format="value(address)"
Merken Sie sich die ausgegebene IP-Adresse und erstellen anschließend eine VM, auf der per Startup-Skript Python Flask als Webserver installiert wird:
gcloud compute instances create xss-test-vm-instance \
--address=xss-test-ip-address --no-service-account \
--no-scopes --machine-type=e2-micro --zone=europe-west3 \
--metadata=startup-script='apt-get update; apt-get install -y python3-flask'
Öffnen Sie nun die Firewall:
gcloud compute firewall-rules create enable-wss-scan \
--direction=INGRESS --priority=1000 \
--network=default --action=ALLOW \
--rules=tcp:8080 --source-ranges=0.0.0.0/0
Danach wechseln Sie in der Google Cloud Console zum Menüpunkt "Compute Engine / VM Instances" und klicken dort bei der neu erstellten VM auf den Punkt "SSH". Sobald Sie verbunden sind, laden Sie die Beispielanwendung herunter und starten sie:
gsutil cp gs://cloud-training/ GCPSEC-ScannerAppEngine/ flask_code.tar . &&
tar xvf flask_code.tar
python3 app.py
Nun testen Sie eine Schwachstelle – in diesem Fall eine Cross-site-Scripting-(XSS)-Schwachstelle. Die Webanwendung ist unter der Adresse "http://<externe IP-Adresse>:8080" erreichbar. Öffnen Sie die Seite, geben Sie im Formular folgenden String ein und klicken Sie auf "POST":
<script>alert('This is an XSS Injection')</script>
Um die Anwendung zu scannen, öffnen Sie in der Google Cloud Console den Bereich "Security / Web Security Scanner", klicken auf "+ New Scan" und tragen unter "Starting URL" die Adresse Ihrer Testseite ein. Die übrigen Einstellungen lassen Sie unverändert und starten den Scan mit "Run". Nach kurzer Zeit können Sie zur Registerkarte "Results" wechseln und das Ergebnis einsehen.
Bedrohungen erkennen
Die Bedrohungserkennung (Threat Detection) ergänzt das Schwachstellenmanagement zu einem umfassenden Sicherheitskonzept in der Cloud. Während das Schwachstellenmanagement proaktiv arbeitet und Angriffe durch frühzeitige Absicherung verhindern soll, konzentriert sich die Threat Detection auf das Erkennen aktiver Angriffe und verdächtiger Aktivitäten.
Typische Bedrohungen im Cloudumfeld sind etwa Datenexfiltration, unbefugter Zugriff, Malware, Cryptojacking oder Denial-of-Service-Angriffe (DoS). Als Administrator stehen Sie in der Cloud häufig vor spezifischen Herausforderungen: Dazu zählen Fehlkonfigurationen von Cloudressourcen, Schwachstellen in APIs oder Angriffe auf Cloudanbieter selbst. Für die Erkennung solcher Bedrohungen nutzt SCC zwei gängige Methoden:
1. Signaturbasierte Erkennung: Hierbei vergleicht SCC Aktivitäten mit bekannten Angriffsmustern, zum Beispiel zur Identifikation von Ransomware.
2. Anomaliebasierte Erkennung: SCC erkennt hier Abweichungen vom typischen Verhalten – etwa ungewöhnliche Loginzeiten oder einen plötzlichen Anstieg von Datenübertragungen.
Damit SCC Bedrohungen erkennen kann, benötigt es Zugriff auf verschiedene Datenquellen, darunter:
- Netzwerk-Logs zur Analyse des Datenverkehrs,
- Endpunkt-Logs, um Aktivitäten auf Servern nachzuvollziehen,
- Cloud-Auditlogs zur Überwachung von Benutzer- und Dienstaktionen sowie
- Anwendungs-Logs zur Identifikation verdächtiger Interaktionen.
Im folgenden Beispiel sehen Sie die Bedrohungserkennung anhand eines IAM-Szenarios, bei dem ein externer Angreifer über eine E-Mail-Adresse außerhalb der GCP-Organisation Zugriff auf Ihre Umgebung erhält – ein mögliches Risiko, wenn Organisationsrichtlinien nicht korrekt gesetzt sind. Wechseln Sie in der Google Cloud Console auf "IAM & Admin / IAM" und klicken Sie auf "Grant Access". Tragen Sie dort unter "New principals" eine externe Adresse ein, zum Beispiel "demouser1@gmail.com", und vergeben Sie die Rolle "BigQuery / BigQuery Admin". Anschließend rufen Sie "Security / Security Command Center / Findings" auf. Begrenzen Sie die Anzeige beispielsweise auf die letzten sechs Stunden. Nun erscheinen verschiedene Findings, darunter:
- Non-org IAM member
- Persistence: IAM anomalous grant
Klicken Sie auf eines der Findings, um die Details aufzurufen. SCC stellt nicht nur die Informationen bereit, sondern unterstützt auch bei der Reaktion: Scrollen Sie nach unten zur Sektion "Next Steps", um konkrete Handlungsempfehlungen zur Behebung der Bedrohung zu erhalten.
Gefahren in Containern
Das Erkennen von Bedrohungen in Container-Umgebungen zählt inzwischen zu den Kernaufgaben von Security-Teams. Aus diesem Grund bietet das Security Command Center in der Premium- und Enterprise-Edition erweiterte Funktionen zur Überwachung von GKE-Clustern und mittlerweile auch von Cloud-Run-Diensten. Die Container Threat Detection (CTD) verwendet ein DaemonSet, das im GKE-Cluster läuft und sicherheitsrelevante Daten sammelt. Sobald CTD eine Auffälligkeit erkennt, meldet es das entsprechende Finding automatisch im SCC. CTD ist insbesondere auf Angriffe zur Container-Laufzeit spezialisiert. Die wichtigsten Funktionen:
- CTD erkennt ungewöhnliche oder potenziell schädliche Binärdateien und Bibliotheken, die innerhalb von Containern ausgeführt werden.
- Durch Natural Language Processing (NLP) analysiert der Dienst auch Bash- und Python-Skripte, um bösartigen Code zu identifizieren.
- CTD erfasst detaillierte Verhaltensdaten auf Kernel-Ebene, um Anomalien frühzeitig zu erkennen.
Die Installation erfolgt in wenigen Schritten: Zunächst prüfen Sie, ob im Cluster genügend Ressourcen für die Pods zur Verfügung stehen – maximal benötigt CTD 0,125 vCPU und bis zu 450 MByte RAM. Anschließend kontrollieren Sie, ob das CTD-Dienstkonto "service-project-PROJECT_NUMBER@gcp-sa-ktd-hpsa. iam.gserviceaccount.com" über die IAM-Rolle "roles/containerthreatdetection.serviceAgent" ("Container Threat Detection-Dienst-Agent") verfügt. Wenn Ihre GKE-Knoten ein benutzerdefiniertes Dienstkonto verwenden, müssen Sie zusätzlich die Rolle "Service Account Token Creator" vergeben:
gcloud iam service-accounts add-iam-policy-binding \
SERVICE_ACCOUNT_NAME \
--member=serviceAccount:service-PROJECT_NUMBER@compute-system.iam.gserviceaccount.com \
--role=roles/iam.serviceAccountTokenCreator
Aktivieren Sie zudem das CTD-API im entsprechenden Projekt mit:
gcloud services enable containerthreatdetection.googleapis.com --project PROJECT_ID
Sie können CTD auch gezielt testen. Die Google-Dokumentation zeigt verschiedene Szenarien [3], mit denen sich Detektoren auslösen lassen. Um beispielsweise einen Container-Escape zu simulieren, melden Sie sich zunächst im Cluster an:
gcloud container clusters get-credentials $CLUSTER_NAME \
--zone $ZONE \
--project $PROJECT
Legen Sie nun eine Binärdatei für ein Container-Exploitation-Tool wie "botb-linux-amd64" ab und führen Sie sie aus:
tag="ktd-test-container-escape- $(date -u +%Y-%m-%d-%H-%M-%S-utc)"
kubectl run \
--restart=Never \
--rm=true -i \
--image marketplace.gcr.io/ google/ubuntu2404:latest \
"$tag" -- bash -c \
"cp /bin/ls /tmp/botb-linux- amd64; /tmp/botb-linux-amd64 -autopwn"
Danach sollte SCC die erkannte Bedrohung melden und als Finding anzeigen.
Validieren von Infrastructure-as-Code
Wenn Sie in Ihrem Unternehmen mit Terraform arbeiten, können Sie Ihre Codeänderungen vor dem Ausführen gegen bestehende Organisationsrichtlinien und die Security Health Analytics validieren. Damit erkennen Sie frühzeitig, ob neue oder geänderte Ressourcendefinitionen gegen Sicherheitsvorgaben verstoßen. Der Validierungsmechanismus basiert auf Terraform-Plan-Dateien und lässt sich sowohl lokal als auch in jeden CLI-gesteuerten Workflow integrieren – etwa in GitLab CI, GitHub Actions, Jenkins oder Cloud Build. So erzeugen Sie einen IaC-Validierungsbericht: Zunächst initialisieren Sie Ihr Terraform-Projekt mit:
terraform init -upgrade
Erstellen Sie dann eine Plan-Datei und konvertieren Sie sie ins JSON-Format:
terraform plan -out TF_PLAN_FILENAME
terraform show -json TF_PLAN_FILENAME > TF_PLAN_JSON_FILENAME.json
Abschließend erzeugen Sie den Validierungsbericht über das gcloud-CLI, der im entsprechenden JSON-File landet:
gcloud scc iac-validation-reports create PARENT \
--tf-plan-file=TF_PLAN_JSON_FILENAME.json
Fazit
Das Security Command Center ist mehr als ein Dashboard für Sicherheitswarnungen – es ist das zentrale Kontrollzentrum für alle sicherheitsrelevanten Vorgänge in der Google-Cloud. Mit Funktionen für Bedrohungserkennung, Schwachstellenmanagement, Complianceprüfung und Infrastructure-as-Code-Validierung deckt SCC die Ebenen moderner Cloudsicherheit ab – integriert, skalierbar und auf Wunsch automatisierbar.
Bereits die kostenfreie Standard-Edition bietet Transparenz und einen Grundschutz. Wer produktive Workloads betreibt, erhält mit der Premium-Edition tiefergehende Analysen, eine KI-gestützte Erkennung und eine automatisierte Reaktion. Die Enterprise-Variante ermöglicht zudem die Absicherung komplexer Multicloud-Umgebungen und ganzer Organisationen.
(dr)
Links
[1] Google Security Command Center: https://cloud.google.com/security/products/security-command-center
[2] Featureübersicht des SCC: https://cloud.google.com/security-command-center/docs/service-tiers?hl=de
[3] Detektoren für Container testen: https://cloud.google.com/security-command-center/docs/how-to-test-container-threat-detection?hl=de#execution_container_escape