Tanggung jawab bersama GKE

---

Menjalankan aplikasi yang penting bagi bisnis di Google Kubernetes Engine (GKE) memerlukan banyak pihak untuk mengemban tanggung jawab yang berbeda-beda. Meskipun bukan daftar lengkap, topik ini mencantumkan tanggung jawab bagi Google dan pelanggan.

GKE

Tanggung jawab Google

• Melindungi infrastruktur dasar, termasuk hardware, firmware, kernel, OS, penyimpanan, jaringan, dan lainnya. Hal ini mencakup mengenkripsi data dalam penyimpanan secara default, memberikan enkripsi disk tambahan yang dikelola pelanggan, mengenkripsi data dalam pengiriman, menggunakan hardware yang dirancang khusus, meletakkan kabel jaringan pribadi, melindungi pusat data dari mengakses, melindungi bootloader dan kernel dari modifikasi menggunakan Shielded Node, dan mengikuti praktik pengembangan software yang aman.
• Hardening dan patching sistem operasi node, seperti Container-Optimized OS atau Ubuntu. GKE segera membuat patch apa pun ke image ini. Jika Anda mengaktifkan upgrade otomatis, atau menggunakan saluran rilis, update ini akan otomatis di-deploy. Ini adalah lapisan OS di bawah container Anda. Ini tidak sama dengan sistem operasi yang berjalan di container Anda.
• Membangun dan mengoperasikan deteksi ancaman untuk ancaman khusus container ke dalam kernel dengan Deteksi Ancaman Container (harga terpisah dengan Security Command Center).
• Hardening dan patching komponen node Kubernetes. Semua komponen yang dikelola GKE akan diupgrade secara otomatis saat Anda mengupgrade versi node GKE. Hal ini mencakup:
  • Mekanisme bootstrap tepercaya yang didukung vTPM untuk menerbitkan sertifikat TLS kubelet dan rotasi otomatis sertifikat
  • Konfigurasi kubelet yang telah melalui proses hardening mengikuti benchmark CIS
  • Server metadata GKE untuk Workload identity
  • Plugin Container Network Interface dan Calico untuk NetworkPolicy native GKE
  • Integrasi penyimpanan Kubernetes GKE seperti driver CSI
  • Agen logging dan pemantauan GKE
• Hardening dan patching bidang kontrol. Bidang kontrol mencakup VM bidang kontrol, server API, penjadwal, pengelola pengontrol, cluster CA, penerbitan dan rotasi sertifikat TLS, materi kunci root-of-trust, Rotasi CA, enkripsi rahasia, pengautentikasi dan pemberi otorisasi IAM, konfigurasi logging audit, etcd, serta berbagai pengontrol lainnya. Semua komponen bidang kontrol Anda berjalan pada instance Compute Engine yang dioperasikan Google. Instance ini adalah tenant tunggal, yang berarti setiap instance menjalankan bidang kontrol dan komponennya hanya untuk satu pelanggan.
• Menyediakan integrasi Google Cloud untuk Connect, Identity and Access Management, Cloud Audit Logs, Google Cloud Observability, Cloud Key Management Service, Security Command Center, dan lainnya.
• Batasi dan catat akses administratif Google ke cluster pelanggan untuk tujuan dukungan kontrak dengan Transparansi Akses.

Tanggung jawab pelanggan

• Mempertahankan workload Anda, termasuk kode aplikasi, file build, image container, data, Kebijakan kontrol akses berbasis peran (RBAC), IAM, serta container dan pod yang Anda jalankan.
• Mendaftarkan cluster dalam upgrade otomatis (default) atau upgrade cluster ke versi yang didukung.
• Pantau cluster dan aplikasi serta tanggapi pemberitahuan dan insiden menggunakan teknologi seperti dasbor postur keamanan dan Kemampuan Observasi Google Cloud.
• Memberikan detail lingkungan kepada Google saat diminta untuk tujuan pemecahan masalah.

Langkah selanjutnya

• Baca Ringkasan keamanan GKE.