GKE 共同責任

本頁說明 Google 和客戶共同承擔的安全責任。Google Cloud 在 Google Kubernetes Engine (GKE) 上執行業務關鍵應用程式時，需要多方承擔不同責任。雖然這個頁面並未列出所有責任，但這份文件有助於您瞭解自己的責任。

這份文件適用於安全專家，他們負責定義、管理及實作政策和程序，以防機構的資料遭到未經授權的存取。如要進一步瞭解我們在內容中提及的常見角色和範例工作，請參閱「常見的 GKE 使用者角色和工作」。 Google Cloud

Google 的責任

• 保護底層基礎架構，包括硬體、韌體、核心、作業系統、儲存空間、網路等。包括預設加密靜態資料、提供額外的客戶管理磁碟加密、加密傳輸中的資料、使用專為 Google 設計的硬體、鋪設私有網路線、防止實體存取資料中心、使用 Shielded Nodes 保護開機載入程式和核心，防止遭到修改，以及遵循安全的軟體開發做法。
• 強化和修補節點的作業系統，例如 Container-Optimized OS 或 Ubuntu。GKE 會及時提供這些映像檔的任何修補程式。如果啟用自動升級功能，或是使用發布版本，系統會自動部署這些更新。這是容器底下的 OS 層，與容器中執行的作業系統不同。
• 透過 Container Threat Detection，在核心中建構及運作容器專屬威脅的威脅偵測功能 (需搭配 Security Command Center，並另行付費)。
• 強化及修補 Kubernetes 節點元件。升級 GKE 節點版本時，所有 GKE 管理的元件都會自動升級。包括：
  • 以 vTPM 為基礎的信任啟動機制，用於核發 kubelet TLS 憑證，以及自動輪替憑證
  • 強化 kubelet 設定 (遵循 CIS 基準)
  • 適用於工作負載身分的 GKE 中繼資料伺服器
  • GKE 的原生容器網路介面外掛程式和 Calico for NetworkPolicy
  • GKE Kubernetes 儲存空間整合，例如 CSI 驅動程式
  • GKE 記錄和監控代理程式
• 強化及修補控制層。控制層包括控制層 VM、API 伺服器、排程器、控制器管理工具、叢集 CA、TLS 憑證核發和輪替、信任根金鑰材料、IAM 驗證器和授權者、稽核記錄設定、etcd，以及各種其他控制器。所有控制層元件都會在 Google 運作的 Compute Engine 執行個體上執行。這些執行個體是單一租戶，也就是說，每個執行個體只會為一位客戶執行控制層及其元件。
• 提供 Connect、Identity and Access Management、Cloud 稽核記錄、Google Cloud Observability、Cloud Key Management Service、Security Command Center 等服務的整合功能。 Google Cloud
• 透過資料存取透明化控管機制，限制並記錄 Google 對客戶叢集的管理存取權，以利合約支援。

客戶責任

• 維護工作負載，包括應用程式程式碼、建構檔案、容器映像檔、資料、角色式存取控管 (RBAC)/IAM 政策，以及您執行的容器和 Pod。
• 輪替叢集憑證。
• 讓標準節點集區加入自動升級。
• 在下列情況下，請在貴機構的修補時間表內，手動升級叢集和節點集區，以修正安全性弱點：
  • 由於維護政策等因素，自動升級作業已延後。
  • 您必須先套用修補程式，才能在所選發布管道中使用。詳情請參閱「從較新的管道執行修補程式版本」。
• 使用安全狀態資訊主頁和 Google Cloud Observability 等技術，監控叢集和應用程式，並回應任何快訊和事件。
• 如果 Google 要求提供環境詳細資料以利疑難排解，請配合提供。
• 確認叢集已啟用記錄和監控功能。如果沒有記錄，我們只能盡力提供支援。

後續步驟

• 閱讀 GKE 安全性總覽。