Für die Ausführung einer geschäftskritischen Anwendung in Google Kubernetes Engine (GKE) müssen mehrere Parteien unterschiedliche Verantwortlichkeiten übernehmen. Auf dieser Seite werden die Verantwortlichkeiten aufgeführt, die Google und dem Kunden obliegen. Die Liste ist jedoch nicht vollständig.
GKE
Verantwortlichkeiten von Google
- Schutz der zugrunde liegenden Infrastruktur, einschließlich Hardware, Firmware, Kernel, Betriebssystem, Speicher, Netzwerk und mehr. Dazu gehören die standardmäßige Verschlüsselung inaktiver Daten, die Bereitstellung einer zusätzlichen vom Kunden verwalteten Laufwerkverschlüsselung, die Verschlüsselung von Daten bei der Übertragung mithilfe eigens entwickelter Hardware, das Verlegen privater Netzwerkkabel, der Schutz von Rechenzentren vor physischem Zugriff, der Schutz des Bootloader und Kernel vor Änderungen mithilfe von Shielded-Knoten und die Einhaltung von Best Practices für die sichere Softwareentwicklung.
- Härtung und Patchen des Betriebssystems der Knoten, z. B. Container-Optimized OS oder Ubuntu GKE stellt umgehend alle Patches für diese Images zur Verfügung. Wenn Sie das automatische Upgrade aktiviert haben oder eine Release-Version verwenden, werden diese Updates automatisch bereitgestellt. Dies ist die Basisebene des Containers. Sie ist nicht mit dem Betriebssystem identisch, das in den Containern ausgeführt wird.
- Erstellen und Nutzen von Bedrohungserkennung für Container-spezifische Bedrohungen im Kernel mit Container Threat Detection (wird separat mit Security Command Center abgerechnet).
- Kubernetes-Knotenkomponenten härten und patchen. Für alle von GKE verwalteten Komponenten wird beim Upgrade der GKE-Knotenversionen automatisch ein Upgrade ausgeführt. Dazu zählen:
- vTPM-gestützter Bootstrapping-Mechanismus zur Ausgabe von Kubelet-TLS-Zertifikaten und automatische Rotation der Zertifikate
- Gehärtete Kubelet-Konfiguration entsprechend den CIS-Benchmarks
- GKE-Metadatenserver für Workload Identity
- Natives Container Network Interface-Plug-in und Calico for NetworkPolicy von GKE
- Integration von GKE-Kubernetes-Speichern wie den CSI-Treiber
- GKE-Logging- und -Monitoring-Agents
- Härten und Patchen der Steuerungsebene. Die Steuerungsebene umfasst die VM der Steuerungsebene, den API-Server, den Planer, den Controller-Manager, die Clusterzertifizierungsstelle, die Ausgabe und Rotation von TLS-Zertifikaten, Root-of-Trust-Schlüsselmaterial, CA-Rotation, Secret-Verschlüsselung, IAM-Authentifizierung und -Autorisierung, Audit-Logging-Konfiguration, etcd und verschiedene andere Controller. Alle Komponenten der Steuerungsebene werden auf von Google verwalteten Compute Engine-Instanzen ausgeführt. Diese Instanzen sind ein einzelner Mandant. Das bedeutet, dass jede Instanz die Steuerungsebene und ihre Komponenten für nur einen Kunden ausführt.
- Bereitstellen von Google Cloud-Integrationen für Connect, Identity and Access Management, Cloud-Audit-Logs, Google Cloud Beobachtbarkeit, Cloud Key Management Service, Security Command Center und andere.
- Beschränken und Protokollieren des administrativen Zugriffs von Google auf Kundencluster mit Access Transparency für vertragliche Supportzwecke.
Verantwortlichkeiten des Kunden
- Verwalten der Arbeitslasten, einschließlich des Anwendungscodes, der Build-Dateien, Container-Images, Daten, der rollenbasierten Zugriffssteuerung (Role-Based Access Control, RBAC)/IAM und der Container und Pods, die Sie ausführen.
- Registrieren von Clustern für automatische Upgrades (Standard) oder Upgrade von Clustern auf unterstützte Versionen.
- Überwachen Sie den Cluster und die Anwendungen und reagieren Sie auf Warnungen und Vorfälle mit Technologien wie dem Sicherheitsstatus-Dashboard und Google Cloud-Beobachtbarkeit.
- Google auf Anfrage Details zur Umgebung zur Verfügung stellen, damit Probleme behoben werden können.
Nächste Schritte
- GKE-Sicherheitsübersicht lesen