Responsabilidad compartida de GKE

La ejecución de una aplicación fundamental para la empresa en Google Kubernetes Engine (GKE) requiere que varias partes tengan diferentes responsabilidades. Si bien no es una lista exhaustiva, en este tema se enumeran las responsabilidades de Google y del cliente.

GKE

Las responsabilidades de Google

• Proteger la infraestructura subyacente, que incluye hardware, firmware, kernel, SO, almacenamiento, red y mucho más Esto incluye los siguientes componentes: encriptar datos en reposo de forma predeterminada, proporcionar encriptación de disco adicional administrada por el cliente, encriptar datos en tránsito, usar hardware de diseño personalizado, cargar cables de red privada, proteger los centros de datos contra el acceso físico, proteger el bootloader y el kernel contra la modificación mediante Nodos protegidos y seguir prácticas de desarrollo seguro de software.
• Endurecer y aplicar parches al sistema operativo de los nodos, como Container-Optimized OS o Ubuntu. GKE pone inmediatamente a disposición cualquier parche para estas imágenes Si tienes habilitada la actualización automática o usas un canal de versiones, estas actualizaciones se implementan de forma automática. Esta es la capa de SO base de tu contenedor; no es lo mismo que el sistema operativo que se ejecuta en tus contenedores.
• Compilar y operar la detección de amenazas para amenazas específicas de contenedores en el kernel con Container Threat Detection (precio por separado con Security Command Center).
• Endurecer y aplicar parches a los componentes del nodo de Kubernetes. Todos los componentes administrados por GKE se actualizan de forma automática cuando actualizas las versiones de nodos de GKE. Incluye lo siguiente:
  • Mecanismo de arranque de confianza respaldado por vTPM para emitir certificados TLS de kubelet y rotación automática de los certificados
  • Configuración de kubelet endurecida con las comparativas de CIS
  • Servidor de metadatos de GKE para Workload Identity
  • El complemento de la interfaz de red de contenedor y Calico para NetworkPolicy nativo de GKE
  • Integraciones del almacenamiento de Kubernetes de GKE, como el controlador CSI
  • Agentes de registro y supervisión de GKE
• Endurecer y aplicar un parche al plano de control. El plano de control incluye la VM del plano de control, el servidor de la API, el programador, el administrador del controlador, la AC del clúster, la emisión y la rotación del certificado TLS, el material de claves de la raíz de confianza, el autenticador y el autorizador de IAM, la configuración del registro de auditoría, etcd y muchos otros controladores. Todos los componentes del plano de control se ejecutan en instancias de Compute Engine operadas por Google. Estas instancias son un usuario único, lo que significa que cada instancia ejecuta el plano de control y sus componentes para un solo cliente.
• Proporciona integraciones de Google Cloud para Connect, Identity and Access Management, Cloud Audit Logs, Google Cloud Observability, Cloud Key Management Service, Security Command Center y otros.
• Restringir y registrar el acceso de administrador de Google a los clústeres del cliente para obtener asistencia contractual con la Transparencia de acceso.

Las responsabilidades del cliente

• Mantener tus cargas de trabajo, incluido el código de la aplicación, los archivos de compilación, las imágenes del contenedor, los datos, el control de acceso basado en roles (RBAC)/la política de IAM, y los contenedores y pods que ejecutas.
• Rota las credenciales del clúster.
• Inscribir los clústeres en la actualización automática (predeterminada) o actualizar los clústeres a versiones compatibles.
• Supervisa el clúster y las aplicaciones, y responde a las alertas y los incidentes con tecnologías como el panel de postura de seguridad y Google Cloud Observability.
• Proporcionar detalles del entorno a Google cuando se solicite para solucionar problemas.

¿Qué sigue?

• Lee la descripción general de la seguridad de GKE.