L'esecuzione di un'applicazione business-critical su Google Kubernetes Engine (GKE) richiede diverse parti assumono responsabilità diverse. Sebbene non sia esaustivo questo elenco illustra le responsabilità sia di Google sia del cliente.
GKE
Responsabilità di Google
- Protezione dell'infrastruttura sottostante, inclusi hardware, firmware kernel, sistema operativo, archiviazione, rete e altro ancora. Sono inclusi criptare i dati at-rest per impostazione predefinita, fornendo crittografia aggiuntiva gestita dal cliente, la crittografia dei dati in transito, utilizzando hardware personalizzato, posa cavi di rete privata, proteggere i data center dall'accesso fisico, proteggere il bootloader il kernel alla modifica mediante Nodi schermati, e seguire pratiche di sviluppo software sicure.
- Intensificazione e applicazione di patch i nodi ad esempio Container-Optimized OS, Ubuntu. GKE applica tempestivamente le patch a queste immagini disponibili. Se hai attivato gli upgrade automatici o utilizzi una canale di rilascio, il deployment di questi aggiornamenti viene eseguito automaticamente. Questo è il livello del sistema operativo sottostante del tuo container, non è uguale al sistema operativo in esecuzione containerizzati.
- Creare e gestire il rilevamento delle minacce per minacce specifiche dei container nel kernel con Rilevamento delle minacce di container (prezzo separatamente con Security Command Center).
- Rafforzamento
applicazione di patch
componenti dei nodi di Kubernetes. Viene eseguito l'upgrade di tutti i componenti gestiti di GKE
automaticamente quando esegui l'upgrade delle versioni dei nodi GKE. Sono inclusi:
- Meccanismo di bootstrap attendibile supportato da vTPM per l'emissione di certificati TLS kubelet e la rotazione automatica dei certificati
- Configurazione kubelet protetta rispetto ai benchmark CIS
- il server di metadati GKE per Identità del carico di lavoro
- L'architettura nativa di GKE plug-in di Container Network Interface e Calico per NetworkPolicy
- le integrazioni di archiviazione di GKE Kubernetes come Conducente CSI
- GKE agenti di logging e monitoraggio
- Rafforzamento applicazione di patch il piano di controllo. Il piano di controllo include la VM, l'API e l'API server, scheduler, gestore del controller CA cluster, emissione e rotazione dei certificati TLS, materiale delle chiavi radice di attendibilità, Autenticazione e autorizzazione IAM, audit logging configurazione ecc. e da vari altri controller. Tutto il controllo che vengono eseguiti su istanze di Compute Engine gestite da Google. Questi Le istanze sono a tenant singolo, il che significa che ogni istanza esegue il piano di controllo e i relativi componenti per un solo cliente.
- Fornire integrazioni di Google Cloud per Connect, Identity and Access Management, Cloud Audit Logs, Google Cloud Observability, Cloud Key Management Service, Security Command Center e altri.
- Limita e registra l'accesso amministrativo di Google ai cluster del cliente per per gli scopi di supporto contrattuale Access Transparency.
Responsabilità del cliente
- Gestisci i tuoi carichi di lavoro, inclusi il codice dell'applicazione, i file di build immagini container, dati, controllo dell'accesso basato su ruoli (RBAC)/IAM nonché i container e i pod in esecuzione.
- Ruota le credenziali del cluster.
- Registra i cluster per l'upgrade automatico (impostazione predefinita) o esegui l'upgrade dei cluster a versioni supportate.
- Monitora il cluster e le applicazioni e rispondi a eventuali avvisi incidenti usando tecnologie quali la dashboard della security posture e Google Cloud Observability.
- Fornisci a Google dettagli ambientali quando richiesto per la risoluzione dei problemi scopi.
Passaggi successivi
- Leggi la documentazione di GKE Panoramica sulla sicurezza.