Responsabilité partagée Dataflow

La sécurité est une responsabilité partagée. Dataflow sécurise l'infrastructure évolutive que vous utilisez pour exécuter vos pipelines Dataflow, et fournit des outils et des contrôles de sécurité pour protéger vos données, votre code et vos modèles. Bien qu'il ne s'agisse pas d'une liste exhaustive, ce document répertorie les responsabilités de Google et du client.

Responsabilités de Google

  • Protéger l'infrastructure : Google est chargé de fournir une infrastructure sécurisée pour ses services, y compris la sécurité physique des centres de données, la sécurité réseau et la sécurité des applications.

  • Sécuriser la plate-forme : Google est responsable de la sécurisation de sa plate-forme, y compris de la gestion des contrôles des accès, de la surveillance des incidents de sécurité et de la réponse aux événements liés à la sécurité. Google fournit également aux clients des outils pour gérer leurs propres paramètres et configurations de sécurité.

  • Assurer la conformité : Google assure la conformité avec les lois et les réglementations liées à la protection des données. En savoir plus sur la conformité Google Cloud

  • Renforcement et correction des images: Google renforce et corrige le système d'exploitation des images de base utilisées par les images appartenant à Dataflow. Google effectue rapidement n'importe quel correctif pour ces images disponibles. Des bulletins de sécurité sont fournis pour les failles connues.

Responsabilités du client

  • Utilisez les dernières versions des conteneurs et des images de VM Dataflow, et mettez à jour votre environnement : Dataflow fournit des conteneurs et des images de VM prédéfinis pour simplifier l'utilisation de ses services. Google créera des versions de ces images lorsque des failles seront identifiées. Il vous incombe de surveiller les bulletins de sécurité et de mettre à jour votre environnement rapidement lorsque de nouvelles versions sont disponibles.

    Vous devez vous assurer d'avoir correctement configuré vos services de manière à ce qu'ils utilisent la dernière version, ou effectuer une mise à niveau manuelle vers la dernière version. Pour utiliser les dernières VM, redémarrez les jobs de longue durée en mettant à jour le job. Pour en savoir plus, consultez la section Mettre à niveau et appliquer des correctifs sur des VM Dataflow. Pour gérer les problèmes de sécurité de manière réactive, nous vous recommandons d'utiliser des images de conteneur personnalisées.

    Si vous utilisez une image de conteneur personnalisée ou un modèle personnalisé, vous êtes responsable de l'analyse et du correctif des images personnalisées pour atténuer les failles.

    Si vous utilisez une image de base de modèle Flex, utilisez des images de base Distroless dans la mesure du possible pour assurer la sécurité et réduire les risques de failles.

  • Gérer les contrôles d'accès : vous êtes responsable de la gestion des contrôles des accès sur vos propres données et services. Cela inclut la gestion des contrôles d'accès, d'authentification et d'autorisation des utilisateurs, ainsi que la sécurisation de vos propres applications et données. En savoir plus sur la sécurité et les autorisations pour Dataflow

  • Applications sécurisées: vous êtes responsable de la sécurité de vos propres applications exécutées sur Dataflow, y compris de la mise en œuvre de pratiques de codage sécurisé et de vérifications des failles régulières.

    En savoir plus sur les clés de chiffrement gérées par le client, les réseaux et VPC Service Controls, et les bonnes pratiques concernant les autorisations

  • Surveiller les incidents liés à la sécurité : vous devez surveiller vos propres applications afin de détecter les incidents liés à la sécurité et les signaler à Google si nécessaire.

Étape suivante