Dataflow 공유 책임

보안은 공동의 책임입니다. Dataflow는 Dataflow 파이프라인을 실행하는 데 사용하는 확장 가능한 인프라를 보호하고 데이터, 코드, 모델을 보호하는 도구와 보안 제어를 제공합니다. 이 문서에는 전체 목록은 아니지만 Google과 고객 모두의 책임이 나와 있습니다.

Google의 책임

• 인프라 보호: Google은 데이터 센터의 물리적 보안, 네트워크 보안, 애플리케이션 보안을 비롯한 서비스에 대한 보안 인프라를 제공합니다.

• 플랫폼 보호: Google은 액세스 제어 관리, 보안 사고 모니터링, 보안 이벤트 대응을 포함하여 플랫폼 보안을 담당합니다. 또한 Google은 자체 보안 설정 및 구성을 관리할 수 있는 도구를 고객에게 제공합니다.

• 규정 준수 유지: Google은 관련 데이터 보호법 및 규정을 준수합니다. Google Cloud 규정 준수를 자세히 알아보세요.

• 이미지 강화 및 패치: Google은 Dataflow 소유 이미지에서 사용하는 기본 이미지의 운영체제를 강화하고 패치합니다. Google은 이러한 사용 가능한 이미지에 대한 모든 패치를 즉시 제공합니다. 알려진 취약점을 위해 보안 게시판이 제공됩니다.

고객의 책임

• 최신 버전의 Dataflow 컨테이너와 VM 이미지 사용 및 환경 업데이트: Dataflow는 사전 빌드된 컨테이너 및 VM 이미지를 제공하여 서비스 사용을 간소화합니다. 취약점이 식별되면 Google에서 이러한 이미지의 새 버전을 만듭니다. 보안 게시판을 모니터링하고 새 버전이 출시되면 즉시 환경을 업데이트하는 것은 개발자 책임입니다.

  개발자는 최신 버전을 사용하도록 서비스를 올바르게 구성하거나 최신 버전으로 수동으로 업그레이드해야 합니다. 최신 VM을 사용하려면 작업을 업데이트하여 장기 실행 작업을 다시 시작합니다. 자세한 내용은 Dataflow VM 업그레이드 및 패치 적용을 참조하세요. 보안 문제를 신속하게 관리하려면 커스텀 컨테이너 이미지를 사용하는 것이 좋습니다.

  커스텀 컨테이너 이미지 또는 커스텀 템플릿을 사용하는 경우 취약점이 완화되도록 개발자가 커스텀 이미지를 스캔하고 패치해야 합니다.

  Flex 템플릿 기본 이미지를 사용하는 경우 보안을 강화하고 취약점 위험을 줄이려면 Distroless 기본 이미지를 사용합니다(가능한 경우).

• 액세스 제어 관리: 사용자는 자체 데이터 및 서비스에 대한 액세스 제어를 관리해야 합니다. 여기에는 사용자 액세스, 인증, 승인 제어를 관리하고 자체 애플리케이션과 데이터를 보호하는 작업이 포함됩니다. Dataflow 보안 및 권한을 자세히 알아보세요.

• 보안 애플리케이션: 개발자는 보안 코딩 관행 구현 및 취약점에 대한 정기 테스트를 포함하여 Dataflow에서 실행되는 자체 애플리케이션을 보호해야 합니다.

  고객 관리 암호화 키, 네트워크 및 VPC 서비스 제어, 권한 권장사항을 자세히 알아보세요.

• 보안 사고 모니터링: 자체 애플리케이션의 보안 사고를 모니터링하고 필요에 따라 Google에 이슈를 보고할 책임은 사용자에게 있습니다.

  • Dataflow 보안 게시판을 구독합니다.
  • Dataflow 출시 노트를 따릅니다.
  • Apache Beam 출시 노트를 따릅니다.
  • Monitoring 및 감사 로깅을 자세히 알아보세요.

다음 단계

• Google Cloud의 공유 책임 자세히 알아보기
• 소프트웨어 공급망 보호 방법 알아보기