Modello di responsabilità condivisa Dataproc

L'esecuzione di carichi di lavoro business-critical su Dataproc richiede che più parti si assumano responsabilità diverse. Sebbene non sia un elenco esaustivo, questa pagina elenca le responsabilità di Google e del cliente.

Dataproc: responsabilità di Google

• Protezione dell'infrastruttura sottostante, inclusi hardware, firmware, kernel, sistema operativo, archiviazione, rete e altro ancora. È incluso quanto segue:

  • crittografia dei dati inattivi per impostazione predefinita
  • fornendo ulteriore crittografia del disco gestita dal cliente
  • crittografia dei dati in transito
  • utilizzando hardware progettato su misura
  • posa di cavi di rete privati
  • protezione dei data center dall'accesso fisico
  • proteggere il bootloader e il kernel da modifiche utilizzando i nodi schermati
  • fornendo protezione di rete con i controlli di servizio VPC
  • seguendo pratiche di sviluppo software sicure

• Rilascio di patch di sicurezza per le immagini Dataproc . È incluso quanto segue:

  • patch per i sistemi operativi di base inclusi nelle immagini Dataproc (Ubuntu, Debian e Rocky Linux)
  • patch e correzioni disponibili per i componenti open source inclusi nelle immagini Dataproc

• Fornisce Google Cloud integrazioni per Connect, Identity and Access Management, Cloud Audit Logs, Cloud Key Management Service, Security Command Center e altri.

• Limitazione e registrazione dell'accesso amministrativo di Google ai cluster dei clienti per scopi di assistenza contrattuale con Access Transparency e Approvazione accesso

• Consigliamo le best practice per la configurazione di Dataproc e dei componenti open source inclusi nelle immagini Dataproc

Dataproc: responsabilità del cliente

• Manutenzione dei workload, inclusi codice dell'applicazione, immagini personalizzate, dati, policy IAM e cluster che esegui

• Esegui i cluster su immagini Dataproc aggiornate sfruttando l'ultima versione secondaria dell'immagine, aggiornando tempestivamente le immagini personalizzate ed eseguendo la migrazione alla versione secondaria dell'immagine più recente non appena possibile. I metadati dell'immagine includono un'etichetta previous-subminor, impostata su true se il cluster non utilizza la versione secondaria più recente dell'immagine. Per informazioni su come visualizzare i metadati delle immagini, consulta Note importanti sul controllo delle versioni.

• Fornire a Google i dettagli ambientali quando richiesti per la risoluzione dei problemi

• Seguendo le best practice per la configurazione di Dataproc e di altri Google Cloud servizi, nonché per la configurazione dei componenti open source inclusi nelle immagini Dataproc