A segurança é uma responsabilidade compartilhada. O Dataflow protege a infraestrutura escalonável usada para executar os pipelines do Dataflow e fornece ferramentas e controles de segurança para proteger dados, códigos e modelos. Embora não seja uma lista completa, este documento lista as responsabilidades do Google e do cliente.
Responsabilidades do Google
Proteger a infraestrutura: o Google é responsável por fornecer infraestrutura segura para os serviços, incluindo segurança física dos data centers, da rede e dos aplicativos.
Proteger a plataforma: o Google é responsável por proteger a plataforma, incluindo o gerenciamento de controles de acesso, o monitoramento de incidentes de segurança e a resposta a eventos de segurança. O Google também fornece aos clientes ferramentas para gerenciar as próprias configurações de segurança.
Manter a conformidade: o Google obedece às leis e regulamentações de proteção de dados relevantes. Saiba mais sobre a conformidade do Google Cloud.
Proteger e corrigir imagens: o Google protege e corrige o sistema operacional de imagens de base usadas pelas imagens pertencentes ao Dataflow. O Google disponibiliza todos os patches dessas imagens. Os boletins de segurança são fornecidos para vulnerabilidades conhecidas.
Responsabilidades do cliente
Use e atualize seu ambiente para as versões mais recentes de contêineres e imagens de VM do Dataflow: o Dataflow fornece contêineres e imagens de VM predefinidos para simplificar o uso dos serviços. O Google vai criar novas versões dessas imagens quando vulnerabilidades forem identificadas. É sua responsabilidade monitorar boletins de segurança e atualizar o ambiente imediatamente quando novas versões estiverem disponíveis.
Você é responsável por garantir que configurou corretamente seus serviços para usar a versão mais recente ou fazer upgrade manualmente para a versão mais recente. Para usar as VMs mais recentes, reinicie jobs de longa duração atualizados. Para mais informações, consulte Fazer upgrade e corrigir VMs do Dataflow. Para gerenciar problemas de segurança de forma responsiva, é recomendável usar imagens de contêiner personalizadas.
Se você estiver usando uma imagem de contêiner personalizada ou um modelo personalizado, você será responsável por verificar e corrigir as imagens personalizadas para reduzir as vulnerabilidades.
Se você estiver usando uma imagem de base do modelo Flex, use imagens de base Distroless sempre que possível para garantir a segurança e reduzir os riscos de vulnerabilidade.
Gerenciar controles de acesso: você é responsável por gerenciar os controles de acesso aos seus dados e serviços. Isso inclui o gerenciamento de controles de autorização, acesso e autenticação do usuário e a proteção dos seus próprios aplicativos e dados. Saiba mais sobre a segurança e as permissões do Dataflow.
Aplicativos seguros: você é responsável por proteger seus próprios aplicativos em execução no Dataflow, incluindo a implementação de práticas de codificação seguras e o teste regular de vulnerabilidades.
Saiba mais sobre as chaves de criptografia gerenciadas pelo cliente, as redes e o VPC Service Controls e as práticas recomendadas para permissões.
Monitorar incidentes de segurança: você é responsável por monitorar seus próprios aplicativos e verificar incidentes no Google, conforme necessário.
- Inscreva-se nos boletins de segurança do Dataflow.
- Siga as notas da versão do Dataflow.
- Siga as notas da versão do Apache Beam.
- Saiba mais sobre o Monitoramento e a geração de registros de auditoria.
A seguir
- Saiba mais sobre as responsabilidades compartilhadas no Google Cloud.
- Saiba como proteger sua cadeia de suprimentos de software.