このページでは、Google とGoogle Cloud をご利用のお客様のセキュリティに関する共有責任について説明します。Google Kubernetes Engine(GKE)でビジネス クリティカルなアプリケーションを実行するには、複数の当事者がそれぞれ異なる責任を持つ必要があります。このページはすべてを網羅したリストではありませんが、このドキュメントはお客様の責任を理解するうえで役立ちます。
このドキュメントは、組織のデータを不正アクセスから保護するためのポリシーと手順を定義、管理、実装するセキュリティ スペシャリストを対象としています。 Google Cloud のコンテンツで参照する一般的なロールの詳細とタスクの例については、一般的な GKE Enterprise ユーザーのロールとタスクをご覧ください。
Google の責任
- ハードウェア、ファームウェア、カーネル、OS、ストレージ、ネットワークなど、基盤となるインフラストラクチャを保護する。これには、デフォルトでの保存データの暗号化、顧客管理による追加のディスク暗号化の提供、転送中のデータの暗号化、カスタム設計されたハードウェアの使用、プライベート ネットワーク ケーブルの敷設、物理的なアクセスからのデータセンターの保護、シールドノードによるブートローダーとカーネルの変更からの保護、安全なソフトウェア開発プラクティスの遵守などが含まれます。
- ノードのオペレーティング システム(Container-Optimized OS や Ubuntu など)の強化とパッチ適用を行う。GKE は、これらのイメージに対するパッチを速やかに使用可能にします。自動アップグレードを有効にしている場合、またはリリース チャンネルを使用している場合は、これらの更新が自動的にデプロイされます。これはコンテナより下位の OS レイヤであり、コンテナで動作しているオペレーティング システムとは異なります。
- Container Threat Detection(Security Command Center とは別料金)を使用して、カーネル内部にコンテナ固有の脅威を検出する仕組みの構築と運用を行う。
- Kubernetes ノード コンポーネントの強化とパッチ適用を行う。GKE ノードのバージョンをアップグレードすると、すべての GKE マネージド コンポーネントが自動的にアップグレードされます。これには、次のものが含まれます。
- kubelet TLS 証明書を発行するための vTPM に基づく信頼できるブートストラップ メカニズムと証明書の自動ローテーション
- CIS ベンチマークに沿って強化された kubelet 構成
- Workload Identity 用の GKE メタデータ サーバー
- GKE のネイティブな Container Network Interface プラグインと Calico for NetworkPolicy
- CSI ドライバなどの GKE Kubernetes ストレージの統合
- GKE のロギングとモニタリングのエージェント
- コントロール プレーンの強化とパッチ適用を行う。コントロール プレーンには、コントロール プレーン VM、API サーバー、スケジューラ、コントローラ マネージャー、クラスタ CA、TLS 証明書の発行とローテーション、ルート オブ トラスト鍵のマテリアル、IAM 認証システムと承認者、監査ロギング構成、etcd、他のさまざまなコントローラが含まれています。すべてのコントロール プレーン コンポーネントは、Google が運用する Compute Engine インスタンスで動作します。これらのインスタンスは単一テナントです。つまり、各インスタンスは、コントロール プレーンとそのコンポーネントを単一のお客様に対してのみ実行します。
- Connect、Identity and Access Management、Cloud Audit Logs、Google Cloud Observability、Cloud Key Management Service、Security Command Center などと Google Cloud とのインテグレーションを提供する。
- Google が契約上のサポート目的で、お客様のクラスタに管理者権限でアクセスすることを制限し、アクセスの透明性を使用してログに記録する。
お客様の責任
- アプリケーション コード、ビルドファイル、コンテナ イメージ、データ、ロールベース アクセス制御(RBAC) / IAM ポリシー、実行中のコンテナと Pod などのワークロードを管理する。
- クラスタの認証情報をローテーションする。
- Standard ノードプールの自動アップグレードへの登録を維持する。
- 次の状況で、組織のパッチ適用タイムラインにおける脆弱性を修復するために、クラスタとノードプールを手動でアップグレードする。
- メンテナンス ポリシーなどの要因により、自動アップグレードが延期された。
- 選択したリリース チャンネルでパッチが利用可能になる前に、パッチを適用する必要がある。詳細については、新しいチャンネルからパッチ バージョンを実行するをご覧ください。
- セキュリティ ポスチャー ダッシュボードや Google Cloud Observability などのテクノロジーを使用して、クラスタとアプリケーションをモニタリングし、アラートやインシデントに対応する。
- トラブルシューティング目的で Google から環境の詳細を求められた場合に提供する。
- クラスタで Logging と Monitoring が有効になっていることを確認する。ログが使用できない場合、サポートはベスト エフォートで行われます。
次のステップ
- GKE セキュリティの概要を確認する。