L'esecuzione di un'applicazione business-critical su Google Kubernetes Engine (GKE) richiede responsabilità diverse a più parti. Sebbene non sia un elenco esaustivo, questo argomento elenca le responsabilità sia di Google sia del cliente.
GKE
Responsabilità di Google
- Protezione dell'infrastruttura sottostante, inclusi hardware, firmware, kernel, sistema operativo, archiviazione, rete e altro ancora. Ciò include la crittografia dei dati at-rest per impostazione predefinita, la crittografia aggiuntiva dei dischi gestiti dal cliente, la crittografia dei dati in transito, l'utilizzo di hardware progettato su misura, la posa di cavi di rete privata, la protezione dei data center dall'accesso fisico, la protezione del bootloader e del kernel dalle modifiche mediante Nodi schermati dopo pratiche di sviluppo sicuro.
- Protezione e applicazione di patch del sistema operativo dei nodi, ad esempio Container-Optimized OS o Ubuntu. GKE rende subito disponibili eventuali patch a queste immagini. Se hai abilitato l'upgrade automatico o utilizzi un canale di rilascio, il deployment di questi aggiornamenti viene eseguito automaticamente. Questo è il livello del sistema operativo sotto il container, non è uguale al sistema operativo in esecuzione nei tuoi container.
- Creare e gestire il rilevamento delle minacce nel kernel per minacce specifiche dei container con Container Threat Detection (a pagamento con Security Command Center).
- Protezione e applicazione di patch dei componenti dei nodi Kubernetes. L'upgrade di tutti i componenti gestiti di GKE
viene eseguito automaticamente quando esegui l'upgrade delle versioni dei nodi GKE. Ad esempio:
- Meccanismo di bootstrap attendibile supportato da vTPM per l'emissione di certificati TLS kubelet e rotazione automatica dei certificati
- Configurazione kubelet protetta conforme ai benchmark CIS
- Server metadati GKE per identità carico di lavoro
- Plug-in Container Network Interface e Calico per NetworkPolicy nativo di GKE
- Integrazioni di archiviazione GKE Kubernetes, come il driver CSI
- Agenti di logging e monitoraggio GKE
- Protezione e applicazione di patch del piano di controllo. Il piano di controllo include la VM del piano di controllo, il server API, lo scheduler, il gestore del controller, la CA del cluster, l'emissione e la rotazione del certificato TLS, il materiale della chiave di attendibilità, la rotazione della CA, la crittografia dei secret, l'autenticatore e l'autore dell'autorizzazione IAM, la configurazione dell'audit logging e così via e vari altri controller. Tutti i componenti del piano di controllo vengono eseguiti su istanze Compute Engine gestite da Google. Queste istanze sono tenant singoli, ovvero ogni istanza esegue il piano di controllo e i relativi componenti per un solo cliente.
- Fornisce le integrazioni di Google Cloud per Connect, Identity and Access Management, Cloud Audit Logs, Google Cloud Observability, Cloud Key Management Service, Security Command Center e altri ancora.
- Limita e registra l'accesso amministrativo di Google ai cluster dei clienti per scopi di assistenza contrattuale con Access Transparency.
Responsabilità del cliente
- Gestisci i tuoi carichi di lavoro, inclusi codice dell'applicazione, file di build, immagini container, dati, controllo dell'accesso basato sui ruoli (RBAC)/IAM, container e pod in esecuzione.
- Registra i cluster nell'upgrade automatico (predefinito) o esegui l'upgrade dei cluster alle versioni supportate.
- Monitora il cluster e le applicazioni e rispondi a qualsiasi avviso e incidente utilizzando tecnologie come la dashboard della postura di sicurezza e l'osservabilità di Google Cloud.
- Quando richiesto, fornisci a Google dettagli sull'ambiente per la risoluzione dei problemi.
Passaggi successivi
- Leggi la panoramica sulla sicurezza di GKE.