Mit Sammlungen den Überblick behalten
Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.
Die Air-Gap-Appliance von Google Distributed Cloud (GDC) führt ihre Administratorcluster direkt auf den Bare-Metal-Servern der Appliance aus. Zu Wartungs- und Verwaltungszwecken haben Sie Anmeldedaten für den Zugriff auf diese Cluster sowie auf das zugrunde liegende Betriebssystem der Bare-Metal-Hosts erhalten.
Da es keine starke Sicherheitsgrenze zwischen Ihren Arbeitslasten und dem Betriebssystem für die Bare-Metal-Hosts gibt, wird davon ausgegangen, dass Ihre Arbeitslasten Zugriff auf das Hostbetriebssystem haben. Dadurch können Ihre Arbeitslasten möglicherweise Betriebssystemeinstellungen ändern, was die Gerätesicherheit insgesamt verringert. Außerdem haben Sie Zugriff auf alle von Google verwalteten Anwendungen auf dem Gerät, was dazu führen kann, dass diese Anwendungen oder ihre Aktualisierungsmechanismen nicht mehr funktionieren.
Dies ähnelt dem Modell der geteilten Verantwortung, das von GKE Enterprise-Produkten bereitgestellt wird: Google stellt sichere Binärdateien mit sicheren Standardeinstellungen bereit und es liegt am Kunden, diese sicher auszuführen und zu aktualisieren.
Komponente
Verantwortlichkeiten von Google
Verantwortlichkeiten des Kunden
Hardware
Manipulationssicheres Gerät bereitstellen
Physischen Gerätezugriff einschränken
Firmware + Betriebssystem
Ein sicheres Betriebssystem mit regelmäßigen Betriebssystem- und Firmware-Updates bereitstellen, die zum Download verfügbar sind
Sicherheitslücken rechtzeitig beheben
Das Gerät wird mit sicheren Betriebssystemeinstellungen ausgeliefert.
Zugangsdaten für die Ersteinrichtung werden auf sichere Weise bereitgestellt
Sicherheitsupdates prüfen und installieren, wenn sie verfügbar sind
Zugriff auf die anfänglichen Administratoranmeldedaten einschränken und schützen
Konfigurieren Sie die Firewallregeln des Betriebssystems gemäß der Dokumentation zur Ersteinrichtung und Konfiguration.
Sichere Einstellungen beibehalten und/oder die Verantwortung für alle Einstellungsänderungen übernehmen
Gerät über die GDC-Konsole auf Sicherheitsbenachrichtigungen, Ereignisse und Warnungen des Betriebssystems überwachen
Arbeitslasten
Binärdateien und Updates für Google-Anwendungen bereitstellen
Sichere Kubernetes-Distribution und Containerlaufzeit bereitstellen
Google-Systemsoftware-Updates werden zum Download zur Verfügung gestellt
Systemsoftwareupdates prüfen und installieren, wenn sie verfügbar sind
Vermeiden Sie es, von Google bereitgestellte Anwendungen zu ändern, z. B. Einstellungen zu ändern oder Prozesse zu beenden, und schützen Sie sich davor. Dazu gehört auch das Ändern oder Blockieren von Systemupdates.
Gerät über die GDC-Konsole auf Software-Sicherheitsbenachrichtigungen, ‑ereignisse und ‑warnungen überwachen
Speicher
Eine Möglichkeit zum sicheren Übertragen von Daten und Protokollen zum/vom Gerät bereitstellen
Verbrauch des lokalen Gerätespeichers, Benachrichtigungen, Ereignisse und Warnungen mit der GDC-Konsole überwachen
Entwickeln und befolgen Sie einen Prozess zur Aufrechterhaltung des verfügbaren Speicherplatzes, der mit dem individuellen Anwendungsfall des Geräts durch den Kunden übereinstimmt.
Legen Sie geeignete Zeitpläne für die Übertragung von Systemprotokollen an ein vom Kunden festgelegtes zentrales Überwachungsschema fest, wie für den jeweiligen Anwendungsfall des Kunden erforderlich.
Zugangsdaten für Datenübertragungsaufgaben auf dem Gerät konfigurieren, verwalten und einschränken
[[["Leicht verständlich","easyToUnderstand","thumb-up"],["Mein Problem wurde gelöst","solvedMyProblem","thumb-up"],["Sonstiges","otherUp","thumb-up"]],[["Schwer verständlich","hardToUnderstand","thumb-down"],["Informationen oder Beispielcode falsch","incorrectInformationOrSampleCode","thumb-down"],["Benötigte Informationen/Beispiele nicht gefunden","missingTheInformationSamplesINeed","thumb-down"],["Problem mit der Übersetzung","translationIssue","thumb-down"],["Sonstiges","otherDown","thumb-down"]],["Zuletzt aktualisiert: 2025-09-04 (UTC)."],[[["\u003cp\u003eGoogle Distributed Cloud (GDC) air-gapped appliance administration clusters run directly on bare metal servers, granting users access to both the clusters and the underlying operating system.\u003c/p\u003e\n"],["\u003cp\u003eDue to the lack of a strict security barrier, workloads on the appliance may have access to the host OS, creating the potential for changes to OS settings that can reduce device security.\u003c/p\u003e\n"],["\u003cp\u003eSimilar to GKE Enterprise's Shared Responsibility Model, Google provides secure binaries and defaults, while customers are responsible for securely running and updating them.\u003c/p\u003e\n"],["\u003cp\u003eGoogle is responsible for providing secure hardware, firmware, operating systems, and application binaries, while customers are responsible for managing access, updating software, and configuring secure settings.\u003c/p\u003e\n"],["\u003cp\u003eCustomers must manage local device storage and log transfers, while Google provides secure data transfer methods to and from the device.\u003c/p\u003e\n"]]],[],null,["# Shared responsibility model\n\nGoogle Distributed Cloud (GDC) air-gapped appliance runs its administration clusters directly on the\nappliance bare metal servers. For maintenance and administrative purposes, you\nhave been provided credentials for accessing these clusters as well as the underlying OS of the bare metal hosts.\n\nDue to the lack of a strong security boundary between your workloads and the OS for the bare metal hosts, it's assumed that this model results in your workloads having access to the host OS. As a result, your workloads could potentially change OS settings, reducing overall device security. Additionally, you have access to any Google-managed applications on the appliance, with the potential to break those applications or their update mechanisms.\n\nThis is similar to the\n[Shared Responsibility Model](/anthos/docs/concepts/gke-shared-responsibility)\nprovided by GKE Enterprise products: Google provides secure binaries with\nsecure defaults, and it's up to the customer to securely run and update them."]]
