Halaman ini menjelaskan tanggung jawab keamanan bersama untuk pelanggan Google dan Google Cloud. Menjalankan aplikasi yang penting bagi bisnis di Google Kubernetes Engine (GKE) memerlukan banyak pihak untuk memiliki tanggung jawab yang berbeda-beda. Meskipun halaman ini bukan daftar lengkap, dokumen ini dapat membantu Anda memahami tanggung jawab Anda.
Dokumen ini ditujukan untuk Spesialis keamanan yang menentukan, mengatur, dan menerapkan kebijakan dan prosedur untuk melindungi data organisasi dari akses yang tidak sah. Untuk mempelajari lebih lanjut peran umum dan contoh tugas yang kami referensikan dalam konten Google Cloud, lihat Peran dan tugas pengguna GKE Enterprise umum.
GKE
Tanggung jawab Google
- Melindungi infrastruktur dasar, termasuk hardware, firmware, kernel, OS, penyimpanan, jaringan, dan lainnya. Hal ini mencakup mengenkripsi data dalam penyimpanan secara default, memberikan enkripsi disk tambahan yang dikelola pelanggan, mengenkripsi data dalam pengiriman, menggunakan hardware yang dirancang khusus, meletakkan kabel jaringan pribadi, melindungi pusat data dari mengakses, melindungi bootloader dan kernel dari modifikasi menggunakan Shielded Node, dan mengikuti praktik pengembangan software yang aman.
- Hardening dan patching sistem operasi node, seperti Container-Optimized OS atau Ubuntu. GKE segera membuat patch apa pun ke image ini. Jika Anda mengaktifkan upgrade otomatis, atau menggunakan saluran rilis, update ini akan otomatis di-deploy. Ini adalah lapisan OS di bawah container Anda. Ini tidak sama dengan sistem operasi yang berjalan di container Anda.
- Membangun dan mengoperasikan deteksi ancaman untuk ancaman khusus container ke dalam kernel dengan Deteksi Ancaman Container (harga terpisah dengan Security Command Center).
- Hardening dan patching komponen node Kubernetes. Semua komponen yang dikelola GKE akan diupgrade secara otomatis saat Anda mengupgrade versi node GKE. Hal ini mencakup:
- Mekanisme bootstrap tepercaya yang didukung vTPM untuk menerbitkan sertifikat TLS kubelet dan rotasi otomatis sertifikat
- Konfigurasi kubelet yang telah melalui proses hardening mengikuti benchmark CIS
- Server metadata GKE untuk Workload identity
- Plugin Container Network Interface dan Calico untuk NetworkPolicy native GKE
- Integrasi penyimpanan Kubernetes GKE seperti driver CSI
- Agen logging dan pemantauan GKE
- Hardening dan patching bidang kontrol. Bidang kontrol mencakup VM bidang kontrol, server API, penjadwal, pengelola pengontrol, CA cluster, penerbitan dan rotasi sertifikat TLS, materi kunci root-of-trust, autentikasi dan otorisasi IAM, konfigurasi logging audit, etcd, dan berbagai pengontrol lainnya. Semua komponen bidang kontrol Anda berjalan pada instance Compute Engine yang dioperasikan Google. Instance ini adalah tenant tunggal, yang berarti setiap instance menjalankan bidang kontrol dan komponennya hanya untuk satu pelanggan.
- Menyediakan integrasi Google Cloud untuk Connect, Identity and Access Management, Cloud Audit Logs, Google Cloud Observability, Cloud Key Management Service, Security Command Center, dan lainnya.
- Batasi dan catat akses administratif Google ke cluster pelanggan untuk tujuan dukungan kontrak dengan Transparansi Akses.
Tanggung jawab pelanggan
- Mempertahankan workload Anda, termasuk kode aplikasi, file build, image container, data, Kebijakan kontrol akses berbasis peran (RBAC), IAM, serta container dan pod yang Anda jalankan.
- Merotasi kredensial cluster.
- Mendaftarkan cluster dalam upgrade otomatis (default) atau upgrade cluster ke versi yang didukung.
- Memantau cluster dan aplikasi serta merespons pemberitahuan dan insiden apa pun menggunakan teknologi seperti dasbor postur keamanan dan Google Cloud Observability.
- Memberikan detail lingkungan kepada Google saat diminta untuk tujuan pemecahan masalah.
- Pastikan Logging dan Monitoring diaktifkan di cluster. Tanpa log, dukungan tersedia berdasarkan upaya terbaik.
Langkah selanjutnya
- Baca Ringkasan keamanan GKE.