Beim Ausführen geschäftskritischer Arbeitslasten in Dataproc müssen mehrere Parteien unterschiedliche Verantwortlichkeiten tragen. Diese Seite ist zwar keine vollständige Liste, aber sie enthält auch die Verantwortlichkeiten für Google und den Kunden.
Dataproc: Verantwortlichkeiten von Google
Schützen der zugrunde liegenden Infrastruktur, einschließlich Hardware, Firmware, Kernel, Betriebssystem, Speicher, Netzwerk und mehr Dazu zählen:
- standardmäßige Verschlüsselung ruhender Daten
- Bereitstellen einer zusätzlichen vom Kunden verwalteten Laufwerksverschlüsselung
- Verschlüsselung von Daten bei der Übertragung
- mit maßgeschneiderter Hardware
- Verlegen von privaten Netzwerkkabeln
- Schutz von Rechenzentren vor physischem Zugang
- Bootloader und Kernel vor Änderungen mithilfe von Shielded Knoten schützen
- Bereitstellung des Netzwerkschutzes mit VPC Service Controls
- dem Befolgen von Praktiken zur sicheren Softwareentwicklung
Sicherheits-Patches für Dataproc-Images veröffentlichen Dazu zählen:
- Patches für die Basisbetriebssysteme in Dataproc-Images (Ubuntu, Debian und Rocky Linux)
- Patches und Fehlerkorrekturen für die Open-Source-Komponenten in Dataproc-Images
Bereitstellung von Google Cloud-Integrationen für Connect, Identity and Access Management, Cloud-Audit-Logs, Cloud Key Management Service, Security Command Center und andere.
Einschränkung und Logging des Administratorzugriffs von Google auf Kundencluster für vertragliche Supportzwecke mit Access Transparency und Access Approval
Best Practices für die Konfiguration von Dataproc und der Open-Source-Komponenten in Dataproc-Images empfehlen
Dataproc: Verantwortung des Kunden
Verwalten Ihrer Arbeitslasten, einschließlich Anwendungscode, benutzerdefinierter Images, Daten, IAM-Richtlinie und ausgeführter Cluster
Führen Sie Cluster auf aktuellen Dataproc-Images aus, indem Sie die neueste Sub-Minor-Image-Version nutzen, Ihre benutzerdefinierten Images umgehend aktualisieren und so schnell wie möglich zur neuesten Neben-Image-Version migrieren. Image-Metadaten enthalten das Label
previous-subminor
, das auftrue
gesetzt ist, wenn der Cluster nicht die neueste Sub-Minor-Image-Version verwendet. Informationen zum Aufrufen von Image-Metadaten finden Sie unter Wichtige Hinweise zur Versionsverwaltung.Bereitstellung von Umgebungsdetails für Google zur Fehlerbehebung, wenn dazu aufgefordert
Nach Best Practices für die Konfiguration von Dataproc und anderen Google Cloud-Diensten sowie für die Konfiguration von Open-Source-Komponenten in Dataproc-Images