Mantieni tutto organizzato con le raccolte
Salva e classifica i contenuti in base alle tue preferenze.
L'appliance con air gap di Google Distributed Cloud (GDC) esegue i cluster di amministrazione direttamente sui server bare metal dell'appliance. Per scopi amministrativi e di manutenzione, ti sono state fornite le credenziali per accedere a questi cluster, nonché al sistema operativo sottostante degli host bare metal.
A causa della mancanza di un limite di sicurezza rigido tra i tuoi carichi di lavoro e il sistema operativo per gli host bare metal, si presume che questo modello consenta ai tuoi carichi di lavoro di accedere al sistema operativo host. Di conseguenza, i tuoi carichi di lavoro potrebbero modificare le impostazioni del sistema operativo, riducendo la sicurezza complessiva del dispositivo. Inoltre, hai accesso a tutte le applicazioni gestite da Google sull'appliance, con la possibilità di interrompere il funzionamento di queste applicazioni o dei relativi meccanismi di aggiornamento.
Questo è simile al
modello di responsabilità condivisa
fornito dai prodotti GKE Enterprise: Google fornisce binari sicuri con
impostazioni predefinite sicure ed è responsabilità del cliente eseguirli e aggiornarli in modo sicuro.
Componente
Responsabilità di Google
Responsabilità del cliente
Hardware
Fornire un dispositivo antimanomissione
Limitare l'accesso al dispositivo fisico
Firmware + sistema operativo
Fornire un sistema operativo sicuro con aggiornamenti frequenti del sistema operativo e del firmware disponibili per il download
Risolvere le vulnerabilità di sicurezza in modo tempestivo
Il dispositivo viene spedito con le impostazioni iniziali sicure del sistema operativo
Credenziali di accesso per la configurazione iniziale fornite in modo sicuro
Controllare e installare gli aggiornamenti della sicurezza quando vengono resi disponibili
Limitare e proteggere l'accesso alle credenziali di amministratore iniziali
Configura le regole firewall del sistema operativo come consigliato nella documentazione di configurazione e configurazione iniziale
Mantenere impostazioni sicure e/o assumersi la responsabilità di eventuali modifiche alle impostazioni
Monitorare il dispositivo per le notifiche, gli eventi e gli avvisi di sicurezza del sistema operativo utilizzando la console GDC
Workload
Fornire aggiornamenti e binari delle applicazioni Google
Fornire runtime container e distribuzione Kubernetes sicuri
Gli aggiornamenti del software di sistema Google vengono resi disponibili per il download
Esaminare e installare gli aggiornamenti del software di sistema quando vengono resi disponibili
Evita e proteggiti dalla modifica delle applicazioni fornite da Google, ad esempio la modifica delle impostazioni o l'interruzione dei processi. Ciò include la modifica o il blocco di qualsiasi aggiornamento del sistema
Monitorare il dispositivo per ricevere notifiche, eventi e avvisi di sicurezza del software utilizzando la console GDC
Archiviazione
Fornire un mezzo per trasferire in modo sicuro dati e log da/al dispositivo
Monitorare il consumo di spazio di archiviazione locale del dispositivo, le notifiche, gli eventi e gli avvisi utilizzando la console GDC
Sviluppare e seguire una procedura per mantenere lo spazio di archiviazione disponibile coerente con lo scenario di utilizzo del dispositivo del singolo cliente
Imposta pianificazioni appropriate per il trasferimento dei log di sistema a uno schema di monitoraggio centralizzato determinato dal cliente, come richiesto dal caso d'uso del singolo cliente
Configurare, gestire e limitare le credenziali di accesso per le attività di trasferimento dei dati sul dispositivo
[[["Facile da capire","easyToUnderstand","thumb-up"],["Il problema è stato risolto","solvedMyProblem","thumb-up"],["Altra","otherUp","thumb-up"]],[["Difficile da capire","hardToUnderstand","thumb-down"],["Informazioni o codice di esempio errati","incorrectInformationOrSampleCode","thumb-down"],["Mancano le informazioni o gli esempi di cui ho bisogno","missingTheInformationSamplesINeed","thumb-down"],["Problema di traduzione","translationIssue","thumb-down"],["Altra","otherDown","thumb-down"]],["Ultimo aggiornamento 2025-09-04 UTC."],[[["\u003cp\u003eGoogle Distributed Cloud (GDC) air-gapped appliance administration clusters run directly on bare metal servers, granting users access to both the clusters and the underlying operating system.\u003c/p\u003e\n"],["\u003cp\u003eDue to the lack of a strict security barrier, workloads on the appliance may have access to the host OS, creating the potential for changes to OS settings that can reduce device security.\u003c/p\u003e\n"],["\u003cp\u003eSimilar to GKE Enterprise's Shared Responsibility Model, Google provides secure binaries and defaults, while customers are responsible for securely running and updating them.\u003c/p\u003e\n"],["\u003cp\u003eGoogle is responsible for providing secure hardware, firmware, operating systems, and application binaries, while customers are responsible for managing access, updating software, and configuring secure settings.\u003c/p\u003e\n"],["\u003cp\u003eCustomers must manage local device storage and log transfers, while Google provides secure data transfer methods to and from the device.\u003c/p\u003e\n"]]],[],null,["# Shared responsibility model\n\nGoogle Distributed Cloud (GDC) air-gapped appliance runs its administration clusters directly on the\nappliance bare metal servers. For maintenance and administrative purposes, you\nhave been provided credentials for accessing these clusters as well as the underlying OS of the bare metal hosts.\n\nDue to the lack of a strong security boundary between your workloads and the OS for the bare metal hosts, it's assumed that this model results in your workloads having access to the host OS. As a result, your workloads could potentially change OS settings, reducing overall device security. Additionally, you have access to any Google-managed applications on the appliance, with the potential to break those applications or their update mechanisms.\n\nThis is similar to the\n[Shared Responsibility Model](/anthos/docs/concepts/gke-shared-responsibility)\nprovided by GKE Enterprise products: Google provides secure binaries with\nsecure defaults, and it's up to the customer to securely run and update them."]]
