Alcune o tutte le informazioni in questa pagina potrebbero non essere applicabili a Cloud de Confiance di S3NS. Per maggiori dettagli, consulta Differenze rispetto a Google Cloud.

Responsabilità condivisa GKE

Autopilot Standard

Questo documento spiega le responsabilità condivise in materia di sicurezza sia per Google che per i clienti diCloud de Confiance . L'esecuzione di un'applicazione fondamentale per l'attività su Google Kubernetes Engine (GKE) richiede che più parti abbiano responsabilità diverse. Sebbene questo documento non sia un elenco esaustivo, può aiutarti a comprendere le tue responsabilità.

Questo documento è destinato agli esperti di sicurezza che definiscono, regolano e implementano policy e procedure per proteggere i dati di un'organizzazione da accessi non autorizzati. Per scoprire di più sui ruoli comuni e sulle attività di esempio a cui facciamo riferimento nei contenuti di Cloud de Confiance by S3NS , consulta Ruoli utente e attività comuni di GKE.

Responsabilità di Google

Protezione dell'infrastruttura sottostante, inclusi hardware, firmware, kernel, sistema operativo, archiviazione, rete e altro ancora. Ciò include la crittografia dei dati at-rest per impostazione predefinita, la fornitura di crittografia del disco gestita dal cliente aggiuntiva, la crittografia dei dati in transito, l'utilizzo di hardware progettato su misura, la posa di cavi di rete privati, la protezione dei data center dall'accesso fisico, la protezione del bootloader e del kernel da modifiche mediante nodi schermati e il rispetto di pratiche di sviluppo software sicure.
Rafforzamento e applicazione di patch al sistema operativo dei nodi, ad esempio Container-Optimized OS o Ubuntu. GKE rende immediatamente disponibili le patch per queste immagini. Se hai attivato l'upgrade automatico o utilizzi un canale di rilascio, questi aggiornamenti vengono implementati automaticamente. Questo è il livello del sistema operativo sotto il container, non è lo stesso del sistema operativo in esecuzione nei container.
Creazione e gestione del rilevamento delle minacce specifiche per i container nel kernel con Container Threat Detection (prezzo separato con Security Command Center).
Rafforzamento e applicazione di patch ai componenti dei nodi Kubernetes. Tutti i componenti gestiti da GKE vengono aggiornati automaticamente quando esegui l'upgrade delle versioni dei nodi GKE. Ad esempio:
- Meccanismo di bootstrap attendibile basato su vTPM per l'emissione di certificati TLS kubelet e rotazione automatica dei certificati
- Configurazione di kubelet rafforzata in conformità con i benchmark CIS
- Server metadati GKE per Workload Identity
- Plug-in Container Network Interface e Calico per NetworkPolicy nativi di GKE
- Integrazioni di archiviazione GKE Kubernetes come il driver CSI
- Agenti di logging e monitoraggio di GKE
Rafforzamento e applicazione di patch al control plane. Il control plane include la VM del control plane, l'API server, lo scheduler, il gestore del controller, la CA del cluster, l'emissione e la rotazione dei certificati TLS, il materiale delle chiavi root-of-trust, l'autenticatore e l'autorizzatore IAM, la configurazione della registrazione degli audit, etcd e vari altri controller. Tutti i componenti del piano di controllo vengono eseguiti su istanze di Compute Engine gestite da Google. Queste istanze sono single-tenant, il che significa che ogni istanza esegue il piano di controllo e i relativi componenti per un solo cliente.
Fornisci Cloud de Confiance integrazioni per Connect, Identity and Access Management, Cloud Audit Logs, Google Cloud Observability, Cloud Key Management Service, Security Command Center e altri.
Limita e registra l'accesso amministrativo di Google ai cluster dei clienti per scopi di assistenza contrattuale con Access Transparency.

Responsabilità del cliente

Gestisci i tuoi carichi di lavoro, inclusi il codice dell'applicazione, i file di build, le immagini container, i dati, i criteri dicontrollo dell'accessoi basato sui ruoli (RBAC)/IAM e i container e i pod in esecuzione.
Ruota le credenziali dei cluster.
Mantieni i pool di nodi Standard registrati per gli upgrade automatici.
Nelle seguenti situazioni, esegui l'upgrade manuale dei cluster e dei pool di nodi per correggere le vulnerabilità entro le tempistiche di applicazione delle patch della tua organizzazione:
- Gli upgrade automatici vengono posticipati a causa di fattori quali le policy di manutenzione.
- Devi applicare una patch prima che diventi disponibile nel canale di rilascio selezionato. Per maggiori informazioni, vedi Eseguire versioni patch da un canale più recente.
Monitora il cluster e le applicazioni e rispondi a eventuali avvisi e incidenti utilizzando tecnologie come la dashboard della postura di sicurezza e Google Cloud Observability.
Fornire a Google i dettagli ambientali quando richiesti per la risoluzione dei problemi.
Assicurati che il logging e il monitoraggio siano abilitati sui cluster. Se non attivi la registrazione e il monitoraggio e se il personale di assistenza non può accedere a questi log, l'assistenza è disponibile in base alle migliori intenzioni.

Passaggi successivi

Leggi la panoramica sulla sicurezza di GKE.