责任共担模型

Google Distributed Cloud (GDC) 经过网闸隔离的设备直接在设备裸机服务器上运行其管理集群。出于维护和管理目的,我们为您提供了访问这些集群以及裸金属主机底层操作系统的凭据。

由于工作负载与裸金属主机操作系统之间缺乏强大的安全边界,因此假设此模型会导致工作负载能够访问主机操作系统。因此,工作负载可能会更改操作系统设置,从而降低设备的整体安全性。此外,您还可以访问设备上的任何 Google 管理的应用,这可能会破坏这些应用或其更新机制。

这与 GKE Enterprise 产品提供的责任共担模型类似:Google 提供具有安全默认设置的安全二进制文件,而客户负责安全地运行和更新这些文件。

组件 Google 责任 客户责任
硬件
  • 提供防篡改设备
  • 限制对实体设备的访问
固件 + 操作系统
  • 提供安全的操作系统,并经常提供可供下载的操作系统和固件更新
  • 及时修复安全漏洞
  • 设备出厂时搭载初始安全操作系统设置
  • 以安全的方式提供初始设置的访问凭据
  • 在安全更新发布后查看并安装
  • 限制并保护对初始管理员凭据的访问权限
  • 按照初始设置和配置文档中的建议配置操作系统防火墙规则
  • 保持安全设置,并/或对任何设置更改负责
  • 使用 GDC 控制台监控设备的操作系统安全通知、事件和提醒
工作负载
  • 提供 Google 应用二进制文件和更新
  • 提供安全的 Kubernetes 发行版和容器运行时
  • Google 系统软件更新可供下载
  • 在系统软件更新可用时查看并安装
  • 避免修改 Google 提供的应用(例如更改设置或停止进程),并采取相应措施来防范此类修改。这包括修改或阻止任何系统更新
  • 使用 GDC 控制台监控设备的软件安全通知、事件和提醒
存储
  • 提供一种安全地将数据和日志传输到设备或从设备传输数据和日志的方法
  • 使用 GDC 控制台监控本地设备存储空间用量、通知、事件和提醒
  • 制定并遵循相应流程,以确保可用存储空间与设备的各个客户用例保持一致
  • 根据各个客户用例的要求,为系统日志传输到客户确定的集中式监控方案设置适当的时间表
  • 配置、维护和限制对设备上数据传输任务的访问凭据