L'exécution d'une application critique sur Google Kubernetes Engine (GKE) nécessite que plusieurs parties assument différentes responsabilités. Bien qu'il ne s'agisse pas d'une liste exhaustive cette rubrique répertorie les responsabilités respectives de Google et du client.
GKE
Responsabilités de Google
- Protéger l'infrastructure sous-jacente, y compris le matériel, le micrologiciel, le noyau, l'OS, le stockage, le réseau, etc. Cela inclut le chiffrement des données au repos par défaut, le chiffrement des disques gérés par le client supplémentaires, le chiffrement des données en transit, l'utilisation de matériel conçu sur mesure, la mise en place de câbles de réseau privés, la protection des centres de données contre l'accès physique, la protection du bootloader et du noyau contre les modifications à l'aide de nœuds protégés, et la mise en œuvre de pratiques de développement logiciel sécurisées.
- Renforcer et appliquer les correctifs au système d'exploitation des nœuds, tel que Container-Optimized OS ou Ubuntu. GKE effectue rapidement n'importe quel correctif pour ces images disponibles. Si la mise à niveau automatique est activée ou si vous utilisez une version disponible, ces mises à jour sont déployées automatiquement. Il s'agit ici de la couche du système d'exploitation sous votre conteneur. Le procédé est différent lorsque le système d'exploitation s'exécute dans vos conteneurs.
- Développer et exploiter la détection des menaces pour les menaces spécifiques aux conteneurs dans le noyau avec Container Threat Detection (facturé séparément avec Security Command Center).
- Renforcer et appliquer les correctifs aux composants de nœud Kubernetes. Tous les composants gérés de GKE sont mis à niveau automatiquement lorsque vous mettez à niveau les versions de nœuds GKE. Par exemple :
- Mécanisme d'amorçage approuvé par vTPM pour l'émission des certificats TLS kubelet et la rotation automatique des certificats
- Configuration renforcée de kubelet conformément aux benchmarks CIS
- Serveur de métadonnées GKE pour Workload Identity
- Plug-in de CNI native (Container Network Interface) de GKE et Calico pour NetworkPolicy
- Intégrations de stockage Kubernetes GKE, telles que le pilote CSI
- Agents de journalisation et de surveillance GKE
- Renforcer et appliquer les correctifs au plan de contrôle. Le plan de contrôle inclut la VM du plan de contrôle, le serveur d'API, le programmeur, le gestionnaire du contrôleur, l'autorité de certification du cluster, l'émission et la rotation des certificats TLS, le matériel de clé racine de confiance, la rotation de l'autorité de certification, le chiffrement des secrets, l'authentificateur et l'approbateur IAM, la configuration des journaux d'audit, etcd, et d'autres contrôleurs divers. Tous les composants du plan de contrôle s'exécutent sur des instances Compute Engine gérées par Google. Ces instances sont à locataire unique, ce qui signifie que chaque instance exécute le plan de contrôle et ses composants pour un seul client.
- Fournir des intégrations Google Cloud pour Connect, Identity and Access Management, Cloud Audit Logging, Google Cloud Observability, Cloud Key Management Service, Security Command Center, etc.
- Limiter et consigner l'accès administrateur Google aux clusters de client à des fins d'assistance contractuelle avec Access Transparency.
Responsabilités du client
- Gestion de vos charges de travail, y compris votre code d'application, vos fichiers de compilation, vos images de conteneurs, vos données, vos stratégies de contrôle des accès basé sur les rôles (RBAC)/IAM, ainsi que les conteneurs et les pods que vous exécutez.
- Rotation des identifiants du cluster.
- Enregistrement des clusters dans une mise à niveau automatique (par défaut) ou mise à niveau des clusters vers des versions compatibles.
- Surveiller le cluster et les applications, et répondre aux alertes et aux incidents éventuels à l'aide de technologies telles que le tableau de bord de stratégie de sécurité et Google Cloud Observability.
- Partage avec Google des informations concernant l'environnement lorsqu'elles sont demandées à des fins de dépannage.
- Assurez-vous que la journalisation et la surveillance sont activées sur les clusters. Sans journaux, l'assistance est disponible dans la mesure du possible.
Étape suivante
- Consultez la présentation de la sécurité dans GKE.