Cette page explique les responsabilités partagées en termes de sécurité pour Google et les clientsGoogle Cloud . L'exécution d'une application critique sur Google Kubernetes Engine (GKE) nécessite que plusieurs parties assument différentes responsabilités. Bien que cette page ne soit pas exhaustive, elle peut vous aider à comprendre vos responsabilités.
Ce document s'adresse aux spécialistes de la sécurité qui définissent, régissent et mettent en œuvre des règles et des procédures permettant de protéger les données d'une organisation contre tout accès non autorisé. Pour en savoir plus sur les rôles courants et les exemples de tâches que nous citons dans le contenu Google Cloud , consultez Rôles utilisateur et tâches courantes de GKE.
Renforcer et appliquer les correctifs au système d'exploitation des nœuds, tel que Container-Optimized OS ou Ubuntu. GKE effectue rapidement n'importe quel correctif pour ces images disponibles. Si la mise à niveau automatique est activée ou si vous utilisez une version disponible, ces mises à jour sont déployées automatiquement. Il s'agit ici de la couche du système d'exploitation sous votre conteneur. Le procédé est différent lorsque le système d'exploitation s'exécute dans vos conteneurs.
Développer et exploiter la détection des menaces pour les menaces spécifiques aux conteneurs dans le noyau avec Container Threat Detection (facturé séparément avec Security Command Center).
Renforcer et appliquer les correctifs aux composants de nœud Kubernetes. Tous les composants gérés de GKE sont mis à niveau automatiquement lorsque vous mettez à niveau les versions de nœuds GKE. Par exemple :
Renforcer et appliquer les correctifs au plan de contrôle. Le plan de contrôle inclut la VM du plan de contrôle, le serveur d'API, le programmeur, le gestionnaire du contrôleur, l'autorité de certification du cluster, l'émission et la rotation des certificats TLS, le matériel de clé racine de confiance, la rotation de l'autorité de certification, le chiffrement des secrets, l'authentificateur et l'approbateur IAM, la configuration des journaux d'audit, etcd, et d'autres contrôleurs divers. Tous les composants du plan de contrôle s'exécutent sur des instances Compute Engine gérées par Google. Ces instances sont à locataire unique, ce qui signifie que chaque instance exécute le plan de contrôle et ses composants pour un seul client.
Fournir des Google Cloud intégrations pour Connect, Identity and Access Management, Cloud Audit Logs, Google Cloud Observability, Cloud Key Management Service, Security Command Center, etc.
Limiter et consigner l'accès administrateur Google aux clusters de client à des fins d'assistance contractuelle avec Access Transparency.
Responsabilités du client
Gestion de vos charges de travail, y compris votre code d'application, vos fichiers de compilation, vos images de conteneurs, vos données, vos stratégies de contrôle des accès basé sur les rôles (RBAC)/IAM, ainsi que les conteneurs et les pods que vous exécutez.
Dans les situations suivantes, mettez à niveau manuellement vos clusters et vos pools de nœuds pour corriger les failles dans les délais de correction de votre organisation :
Les mises à niveau automatiques sont reportées en raison de facteurs tels que les règles de maintenance.
Partage avec Google des informations concernant l'environnement lorsqu'elles sont demandées à des fins de dépannage.
Assurez-vous que la journalisation et la surveillance sont activées sur les clusters. Sans journaux, l'assistance est disponible dans la mesure du possible.
Sauf indication contraire, le contenu de cette page est régi par une licence Creative Commons Attribution 4.0, et les échantillons de code sont régis par une licence Apache 2.0. Pour en savoir plus, consultez les Règles du site Google Developers. Java est une marque déposée d'Oracle et/ou de ses sociétés affiliées.
Dernière mise à jour le 2025/09/01 (UTC).
[[["Facile à comprendre","easyToUnderstand","thumb-up"],["J'ai pu résoudre mon problème","solvedMyProblem","thumb-up"],["Autre","otherUp","thumb-up"]],[["Difficile à comprendre","hardToUnderstand","thumb-down"],["Informations ou exemple de code incorrects","incorrectInformationOrSampleCode","thumb-down"],["Il n'y a pas l'information/les exemples dont j'ai besoin","missingTheInformationSamplesINeed","thumb-down"],["Problème de traduction","translationIssue","thumb-down"],["Autre","otherDown","thumb-down"]],["Dernière mise à jour le 2025/09/01 (UTC)."],[],[],null,["[Autopilot](/kubernetes-engine/docs/concepts/autopilot-overview) [Standard](/kubernetes-engine/docs/concepts/choose-cluster-mode)\n\n*** ** * ** ***\n\nThis page explains the shared security responsibilities for both Google and\nGoogle Cloud customers. Running a business-critical application on Google Kubernetes Engine (GKE) requires\nmultiple parties to have different responsibilities. Although this page is not an exhaustive\nlist, this document can help you understand your responsibilities.\n\nThis document is for Security specialists\nwho define, govern and implement policies and procedures\nto protect an organization's data from unauthorized access. To learn more about\ncommon roles and example tasks that we reference in Google Cloud content, see\n[Common GKE user roles and tasks](/kubernetes-engine/enterprise/docs/concepts/roles-tasks).\n\nGoogle's responsibilities\n\n- Protecting the underlying infrastructure, including hardware, firmware, kernel, OS, storage, network, and more. This includes [encrypting data at rest by default](/security/encryption-at-rest/default-encryption), providing [additional customer-managed disk encryption](/kubernetes-engine/docs/how-to/using-cmek), [encrypting data in transit](/security/encryption-in-transit), using [custom-designed hardware](/docs/security/titan-hardware-chip), laying [private network cables](/about/locations#network-tab), protecting data centers from physical access, protecting the bootloader and kernel against modification using [Shielded Nodes](/kubernetes-engine/docs/how-to/shielded-gke-nodes), and following secure software development practices.\n- [Hardening](/container-optimized-os/docs/concepts/security) and [patching](/kubernetes-engine/docs/resources/security-patching) the nodes' operating system, such as Container-Optimized OS or Ubuntu. GKE promptly makes any patches to these images available. If you have auto-upgrade enabled, or are using a [release channel](/kubernetes-engine/docs/concepts/release-channels), these updates are automatically deployed. This is the OS layer underneath your container---it's not the same as the operating system running in your containers.\n- Building and operating threat detection for container-specific threats into the kernel with [Container Threat Detection](/security-command-center/docs/concepts-container-threat-detection-overview) (priced separately with Security Command Center).\n- Hardening and [patching](/kubernetes-engine/docs/resources/security-patching) Kubernetes node components. All GKE managed components are upgraded automatically when you upgrade GKE node versions. This includes:\n - [vTPM-backed trusted bootstrap mechanism for issuing kubelet TLS certificates](/kubernetes-engine/docs/how-to/shielded-gke-nodes) and auto-rotation of the certificates\n - Hardened kubelet configuration [following CIS benchmarks](/kubernetes-engine/docs/concepts/cis-benchmarks)\n - GKE metadata server for [Workload identity](/kubernetes-engine/docs/how-to/workload-identity)\n - GKE's native [Container Network Interface plugin and Calico for NetworkPolicy](/kubernetes-engine/docs/concepts/network-overview)\n - GKE Kubernetes storage integrations such as the [CSI driver](/kubernetes-engine/docs/how-to/persistent-volumes/gce-pd-csi-driver)\n - GKE [logging and monitoring agents](/stackdriver/docs/solutions/gke)\n- Hardening and [patching](/kubernetes-engine/docs/resources/security-patching) the control plane. The control plane includes the control plane VM, API server, scheduler, controller manager, [cluster CA, TLS certificate issuance and rotation, root-of-trust key material](/kubernetes-engine/docs/concepts/cluster-trust), IAM authenticator and authorizer, audit logging configuration, etcd, and various other controllers. All of your control plane components run on Google-operated Compute Engine instances. These instances are single tenant, meaning each instance runs the control plane and its components for only one customer.\n- Provide Google Cloud integrations for Connect, Identity and Access Management, Cloud Audit Logs, Google Cloud Observability, Cloud Key Management Service, Security Command Center, and others.\n- Restrict and log Google administrative access to customer clusters for contractual support purposes with [Access Transparency](/access-transparency).\n\nCustomer's responsibilities\n\n- Maintain your workloads, including your application code, build files, container images, data, Role-based access control (RBAC)/IAM policy, and containers and pods that you are running.\n- [Rotate your clusters credentials](/kubernetes-engine/docs/how-to/credential-rotation#overview).\n- Keep Standard node pools enrolled in [automatic upgrades](/kubernetes-engine/upgrades#automatic_node_upgrades).\n- In the following situations, manually upgrade your clusters and node pools to remediate vulnerabilities within your organization's patching timelines:\n - Auto-upgrades are postponed because of factors like maintenance policies.\n - You need to apply a patch before it becomes available in your selected release channel. For more information, see [Run patch versions from a newer channel](/kubernetes-engine/docs/concepts/release-channels#newer-patch-versions).\n- Monitor the cluster and applications and respond to any alerts and incidents using technologies such as the [security posture dashboard](/kubernetes-engine/docs/concepts/about-security-posture-dashboard) and [Google Cloud Observability](/stackdriver/docs).\n- Provide Google with environmental details when requested for troubleshooting purposes.\n- Ensure Logging and Monitoring are enabled on clusters. *Without logs, support is available on a best-effort\n basis*.\n\nWhat's next\n\n- Read the GKE [Security overview](/kubernetes-engine/docs/concepts/security-overview)."]]
