責任共有モデル

Google Distributed Cloud(GDC)エアギャップ アプライアンスは、アプライアンスのベアメタル サーバーで管理クラスタを直接実行します。メンテナンスと管理の目的で、これらのクラスタとベアメタルホストの基盤となる OS にアクセスするための認証情報が提供されています。

ワークロードとベアメタル ホストの OS の間に強力なセキュリティ境界がないため、このモデルではワークロードがホスト OS にアクセスできると想定されます。その結果、ワークロードが OS 設定を変更し、デバイス全体のセキュリティが低下する可能性があります。また、アプライアンス上の Google 管理アプリケーションにアクセスできるため、これらのアプリケーションやその更新メカニズムを破損する可能性があります。

これは、GKE Enterprise プロダクトが提供する共有責任モデルに似ています。Google は安全なデフォルトで安全なバイナリを提供しますが、それらを安全に実行して更新するのはお客様の責任です。

コンポーネント Google の責任 お客様の責任
ハードウェア
  • 改ざん防止デバイスを提供する
  • 物理デバイスへのアクセスを制限する
ファームウェア + OS
  • 頻繁な OS とファームウェアのアップデートをダウンロード可能にして、安全な OS を提供する
  • セキュリティの脆弱性をタイムリーに修正する
  • デバイスは初期の安全な OS 設定で出荷されます
  • 初期設定用のアクセス認証情報を安全な方法で提供
  • セキュリティ アップデートが利用可能になったら確認してインストールする
  • 初期管理者認証情報へのアクセスを制限して保護する
  • 初期設定と構成に関するドキュメントに記載されている推奨事項に従って、OS ファイアウォール ルールを構成する
  • 安全な設定を維持する、または設定の変更に責任を負う
  • GDC コンソールを使用して OS のセキュリティ通知、イベント、アラートをモニタリングする
ワークロード
  • Google アプリケーション バイナリとアップデートを提供する
  • 安全な Kubernetes ディストリビューションとコンテナ ランタイムを提供する
  • Google システム ソフトウェア アップデートがダウンロード可能になる
  • システム ソフトウェアのアップデートが利用可能になったら、確認してインストールする
  • 設定の変更やプロセスの停止など、Google 提供のアプリケーションの変更を回避し、変更から保護します。これには、システム アップデートの変更やブロックも含まれます。
  • GDC コンソールを使用してソフトウェア セキュリティの通知、イベント、アラートをモニタリングする
ストレージ
  • デバイスとの間でデータやログを安全に転送する手段を提供する
  • GDC コンソールを使用してローカル デバイスのストレージ使用量、通知、イベント、アラートをモニタリングする
  • デバイスの個々のユーザーのユースケースに沿って、利用可能なストレージ容量を維持するプロセスを開発し、それに従う
  • 個々の顧客のユースケースの要件に応じて、顧客が決定した一元管理されたモニタリング スキームへのシステムログ転送の適切なスケジュールを設定する
  • デバイス上のデータ転送タスクのアクセス認証情報を構成、維持、制限する