Responsabilità condivisa GKE

Questa pagina spiega le responsabilità condivise in materia di sicurezza sia per Google che per i clienti diGoogle Cloud . L'esecuzione di un'applicazione fondamentale per l'attività su Google Kubernetes Engine (GKE) richiede che più parti abbiano responsabilità diverse. Sebbene questa pagina non sia un elenco esaustivo, questo documento può aiutarti a comprendere le tue responsabilità.

Questo documento è destinato agli esperti di sicurezza che definiscono, gestiscono e implementano policy e procedure per proteggere i dati di un'organizzazione da accessi non autorizzati. Per scoprire di più sui ruoli comuni e sulle attività di esempio a cui facciamo riferimento nei contenuti, consulta Ruoli e attività comuni degli utenti GKE. Google Cloud

Responsabilità di Google

• Protezione dell'infrastruttura sottostante, inclusi hardware, firmware, kernel, sistema operativo, archiviazione, rete e altro ancora. Ciò include la crittografia dei dati at-rest per impostazione predefinita, la fornitura di crittografia del disco gestita dal cliente aggiuntiva, la crittografia dei dati in transito, l'utilizzo di hardware progettato su misura, la posa di cavi di rete privati, la protezione dei data center dall'accesso fisico, la protezione del bootloader e del kernel da modifiche mediante nodi schermati e il rispetto di pratiche di sviluppo software sicure.
• Rafforzamento e applicazione di patch al sistema operativo dei nodi, ad esempio Container-Optimized OS o Ubuntu. GKE rende immediatamente disponibili le patch per queste immagini. Se hai attivato l'upgrade automatico o utilizzi un canale di rilascio, questi aggiornamenti vengono implementati automaticamente. Questo è il livello del sistema operativo sottostante il container, non è lo stesso del sistema operativo in esecuzione nei container.
• Creazione e gestione del rilevamento delle minacce specifiche per i container nel kernel con Container Threat Detection (prezzo separato con Security Command Center).
• Rafforzamento e applicazione di patch ai componenti dei nodi Kubernetes. Tutti i componenti gestiti di GKE vengono aggiornati automaticamente quando esegui l'upgrade delle versioni dei nodi GKE. Ad esempio:
  • Meccanismo di bootstrap attendibile basato su vTPM per l'emissione di certificati TLS kubelet e rotazione automatica dei certificati
  • Configurazione di kubelet rafforzata in conformità con i benchmark CIS
  • Server metadati GKE per Workload Identity
  • Plug-in Container Network Interface e Calico per NetworkPolicy nativi di GKE
  • Integrazioni di archiviazione GKE Kubernetes come il driver CSI
  • GKE agenti di logging e monitoraggio
• Rafforzamento e applicazione di patch al control plane. Il control plane include la VM del control plane, l'API server, lo scheduler, il gestore del controller, la CA del cluster, l'emissione e la rotazione dei certificati TLS, il materiale della chiave root-of-trust, l'autenticatore e l'autorizzatore IAM, la configurazione della registrazione degli audit, etcd e vari altri controller. Tutti i componenti del piano di controllo vengono eseguiti su istanze di Compute Engine gestite da Google. Queste istanze sono single-tenant, il che significa che ogni istanza esegue il piano di controllo e i relativi componenti per un solo cliente.
• Fornisci Google Cloud integrazioni per Connect, Identity and Access Management, Cloud Audit Logs, Google Cloud Observability, Cloud Key Management Service, Security Command Center e altri.
• Limita e registra l'accesso amministrativo di Google ai cluster dei clienti per scopi di assistenza contrattuale con Access Transparency.

Responsabilità del cliente

• Gestisci i tuoi carichi di lavoro, inclusi il codice dell'applicazione, i file di build, le immagini dei container, i dati, i criteri di controllo dell'accesso basato sui ruoli (RBAC)/IAM e i container e i pod in esecuzione.
• Ruota le credenziali dei cluster.
• Mantieni i pool di nodi Standard registrati per gli upgrade automatici.
• Nelle seguenti situazioni, esegui l'upgrade manuale dei cluster e dei pool di nodi per correggere le vulnerabilità entro le tempistiche di applicazione delle patch della tua organizzazione:
  • Gli upgrade automatici vengono posticipati a causa di fattori quali le policy di manutenzione.
  • Devi applicare una patch prima che diventi disponibile nel canale di rilascio selezionato. Per maggiori informazioni, consulta Eseguire versioni patch da un canale più recente.
• Monitora il cluster e le applicazioni e rispondi a eventuali avvisi e incidenti utilizzando tecnologie come la dashboard della postura di sicurezza e Google Cloud Observability.
• Fornisci a Google i dettagli ambientali quando richiesti per la risoluzione dei problemi.
• Assicurati che il logging e il monitoraggio siano abilitati sui cluster. Senza log, l'assistenza è disponibile secondo il criterio del "best effort".

Passaggi successivi

• Leggi la panoramica sulla sicurezza di GKE.