L'esecuzione di un'applicazione business-critical su Google Kubernetes Engine (GKE) richiede che più parti assumano responsabilità diverse. Questo argomento non è esaustivo, ma elenca le responsabilità sia per Google che per il cliente.
GKE
Responsabilità di Google
- Protezione dell'infrastruttura sottostante, inclusi hardware, firmware, kernel, sistema operativo, archiviazione, rete e altro ancora. Ciò include la crittografia dei dati at-rest per impostazione predefinita, la crittografia aggiuntiva del disco gestito dal cliente, la crittografia dei dati in transito, l'utilizzo di hardware progettato su misura, il posa di cavi di rete privati, la protezione dei data center dall'accesso fisico, la protezione di bootloader e kernel dalle modifiche mediante {10Nodi schermati e pratiche di sviluppo di software sicuri,
- Rafforzamento e applicazione di patch del sistema operativo dei nodi, ad esempio Container-Optimized OS o Ubuntu. GKE rende disponibili prontamente le patch a queste immagini. Se hai abilitato gli upgrade automatici o utilizzi un canale di rilascio, il deployment di questi aggiornamenti verrà eseguito automaticamente. Si tratta del livello del sistema operativo sotto il container, non è uguale al sistema operativo in esecuzione nei container.
- Creare e utilizzare il rilevamento delle minacce per minacce specifiche dei container nel kernel con Container Threat Detection (prezzo separato con Security Command Center).
- Rafforzamento e applicazione di patch ai componenti dei nodi Kubernetes. L'upgrade di tutti i componenti gestiti di GKE
viene eseguito automaticamente quando esegui l'upgrade delle versioni dei nodi GKE. Ad esempio:
- Meccanismo di bootstrap attendibile basato su vTPM per l'emissione di certificati TLS kubelet e rotazione automatica dei certificati
- Configurazione kubelet protetta in base ai benchmark CIS
- Server di metadati GKE per identità carico di lavoro
- Plug-in nativo di Container Network Interface e Calico per NetworkPolicy di GKE
- Integrazioni di spazio di archiviazione di GKE, ad esempio il driver CSI
- Agenti di logging e monitoraggio GKE
- Rafforzamento e applicazione di patch al piano di controllo. Il piano di controllo include la VM del piano di controllo, il server API, lo scheduler, il gestore del controller, la CA del cluster, l'emissione e la rotazione dei certificati TLS, il materiale delle chiavi radice di attendibilità, l'autenticatore e l'autore di autorizzazione IAM, la configurazione dell'audit logging e così via e vari altri controller. Tutti i componenti del piano di controllo vengono eseguiti su istanze di Compute Engine gestite da Google. Queste istanze sono a tenant singolo, il che significa che ogni istanza esegue il piano di controllo e i suoi componenti per un solo cliente.
- Fornisci integrazioni di Google Cloud per Connect, Identity and Access Management, Cloud Audit Logs, Google Cloud Observability, Cloud Key Management Service, Security Command Center e altri ancora.
- Limita e registra l'accesso amministrativo di Google ai cluster dei clienti per scopi di assistenza contrattuale con Access Transparency.
Responsabilità del cliente
- Gestisci i carichi di lavoro, inclusi codice dell'applicazione, file di build, immagini container, dati, criterio di controllo dell'accesso basato su ruoli (RBAC)/IAM, container e pod in esecuzione.
- Ruota le credenziali del cluster.
- Registra i cluster per l'upgrade automatico (impostazione predefinita) o esegui l'upgrade dei cluster alle versioni supportate.
- Monitora il cluster e le applicazioni e rispondi a eventuali avvisi e incidenti utilizzando tecnologie come la dashboard della security posture e Google Cloud Observability.
- Fornisci a Google i dettagli ambientali quando richiesto per la risoluzione dei problemi.
Passaggi successivi
- Leggi la panoramica sulla sicurezza di GKE.