En esta página se explican las responsabilidades de seguridad compartidas entre Google y los clientes deTrusted Cloud . Para ejecutar una aplicación crucial para la empresa en Google Kubernetes Engine (GKE), es necesario que varias partes tengan responsabilidades diferentes. Aunque esta página no es una lista exhaustiva, este documento puede ayudarte a entender tus responsabilidades.
Este documento está dirigido a especialistas en seguridad que definen, gestionan e implementan políticas y procedimientos para proteger los datos de una organización frente a accesos no autorizados. Para obtener más información sobre los roles habituales y las tareas de ejemplo a las que hacemos referencia en el contenido, consulta Roles y tareas habituales de los usuarios de GKE. Trusted Cloud by S3NS
Responsabilidades de Google
- Protege la infraestructura subyacente, incluido el hardware, el firmware, el kernel, el SO, el almacenamiento, la red y más. Esto incluye: cifrar los datos en reposo de forma predeterminada, proporcionar cifrado de disco adicional gestionado por el cliente, cifrar los datos en tránsito, usar hardware diseñado a medida, instalar cables de red privada, proteger los centros de datos contra el acceso físico, proteger el gestor de arranque y el kernel contra modificaciones mediante nodos protegidos y seguir prácticas de desarrollo de software seguras.
- Refuerzo y aplicación de parches al sistema operativo de los nodos, como Container-Optimized OS o Ubuntu. GKE aplica rápidamente los parches a estas imágenes. Si tienes habilitada la actualización automática o usas un canal de lanzamiento, estas actualizaciones se implementan automáticamente. Esta es la capa del SO que hay debajo del contenedor. No es lo mismo que el sistema operativo que se ejecuta en los contenedores.
- Desarrollar y operar la detección de amenazas específicas de contenedores en el kernel con Container Threat Detection (se vende por separado con Security Command Center).
- Refuerzo y
aplicación de parches
a los componentes de los nodos de Kubernetes. Todos los componentes gestionados de GKE se actualizan automáticamente cuando actualizas las versiones de los nodos de GKE. Esto incluye lo siguiente:
- Mecanismo de arranque de confianza respaldado por vTPM para emitir certificados TLS de kubelet y rotación automática de los certificados
- Configuración de kubelet reforzada siguiendo los estándares de CIS
- Servidor de metadatos de GKE para Workload Identity
- El complemento Container Network Interface nativo de GKE y Calico para NetworkPolicy
- Integraciones de almacenamiento de Kubernetes de GKE, como el controlador de CSI
- Agentes de monitorización y almacenamiento de registros de GKE
- Refuerzo y aplicación de parches al plano de control. El plano de control incluye la VM del plano de control, el servidor de la API, el programador, el gestor de controladores, la AC del clúster, la emisión y la rotación de certificados TLS, el material de la clave raíz de confianza, el autenticador y el autorizador de gestión de identidades y accesos, la configuración del registro de auditoría, etcd y varios controladores. Todos los componentes de tu plano de control se ejecutan en instancias de Compute Engine operadas por Google. Estas instancias son de un solo arrendatario, lo que significa que cada instancia ejecuta el plano de control y sus componentes para un solo cliente.
- Proporcionar Trusted Cloud integraciones para Connect, Gestión de Identidades y Accesos, Registros de Auditoría de Cloud, Observabilidad de Google Cloud, Cloud Key Management Service, Security Command Center y otros.
- Restringe y registra el acceso administrativo de Google a los clústeres de los clientes con fines de asistencia contractual mediante Transparencia de acceso.
Responsabilidades del cliente
- Mantener tus cargas de trabajo, incluido el código de tu aplicación, los archivos de compilación, las imágenes de contenedor, los datos, la política de control de acceso basado en roles (RBAC) o de gestión de identidades y accesos (IAM), y los contenedores y pods que estés ejecutando.
- Rota las credenciales de tus clústeres.
- Mantén los grupos de nodos Estándar registrados en las actualizaciones automáticas.
- En las siguientes situaciones, actualiza manualmente tus clústeres y grupos de nodos
para corregir las vulnerabilidades dentro de los plazos de aplicación de parches de tu organización:
- Las actualizaciones automáticas se posponen debido a factores como las políticas de mantenimiento.
- Debes aplicar un parche para que esté disponible en el canal de lanzamiento que hayas seleccionado. Para obtener más información, consulta Ejecutar versiones de parche de un canal más reciente.
- Monitoriza el clúster y las aplicaciones, y responde a las alertas e incidentes con tecnologías como el panel de control de postura de seguridad y Google Cloud Observability.
- Proporcionar a Google detalles sobre el entorno cuando se soliciten para solucionar problemas.
- Asegúrate de que Logging y Monitoring estén habilitados en los clústeres. Sin registros, la asistencia está disponible en la medida de lo posible.
Siguientes pasos
- Consulta la descripción general de la seguridad de GKE.