L'esecuzione di un'applicazione business-critical su Google Kubernetes Engine (GKE) richiede diverse parti assumono responsabilità diverse. Sebbene non sia esaustivo questo elenco illustra le responsabilità sia di Google sia del cliente.
GKE
Responsabilità di Google
- Protezione dell'infrastruttura sottostante, inclusi hardware, firmware, kernel, sistema operativo, archiviazione, rete e altro ancora. Sono inclusi criptare i dati at-rest per impostazione predefinita, fornendo crittografia aggiuntiva gestita dal cliente, la crittografia dei dati in transito, utilizzando hardware personalizzato, posa cavi di rete privata, proteggere i data center dall'accesso fisico, proteggere il bootloader il kernel alla modifica mediante Nodi schermati, e seguire pratiche di sviluppo software sicuro.
- Intensificazione e applicazione di patch i nodi ad esempio Container-Optimized OS, Ubuntu. GKE applica tempestivamente le patch a queste immagini disponibili. Se hai attivato l'upgrade automatico o utilizzi un canale di rilascio, questi aggiornamenti vengono implementati automaticamente. Si tratta del livello del sistema operativo sotto il tuo contenitore, non è lo stesso del sistema operativo in esecuzione nei contenitori.
- Creazione e gestione del rilevamento delle minacce per minacce specifiche dei container nel kernel con Container Threat Detection (prezzo separato con Security Command Center).
- Rafforzamento
applicazione di patch
componenti dei nodi di Kubernetes. Tutti i componenti gestiti di GKE vengono sottoposti ad upgrade automaticamente quando esegui l'upgrade delle versioni dei nodi GKE. Ad esempio:
- Meccanismo di bootstrap attendibile basato su vTPM per l'emissione di certificati TLS di kubelet e la rotazione automatica dei certificati
- Configurazione rafforzata di kubelet in base ai benchmark CIS
- Server metadati GKE per Workload Identity
- Plug-in Container Network Interface e Calico per NetworkPolicy nativi di GKE
- Integrazioni di archiviazione Kubernetes GKE come il driver CSI
- GKE agenti di logging e monitoraggio
- Rafforzamento applicazione di patch il piano di controllo. Il piano di controllo include la VM del piano di controllo, l'API server, lo scheduler, il gestore del controller, l'autorità di certificazione del cluster, l'emissione e la rotazione dei certificati TLS, il materiale della chiave radice della attendibilità, l'autenticatore e l'autorizzatore IAM, la configurazione dei log di controllo, etcd e vari altri controller. Tutti i componenti del piano di controllo vengono eseguiti su istanze Compute Engine gestite da Google. Queste istanze sono monoutente, il che significa che ogni istanza esegue il piano di controllo e i relativi componenti per un solo cliente.
- Fornire integrazioni di Google Cloud per Connect, Identity and Access Management, Cloud Audit Logs, Google Cloud Observability, Cloud Key Management Service, Security Command Center e altri.
- Limita e registra l'accesso amministrativo di Google ai cluster dei clienti per scopi di assistenza contrattuale con Access Transparency.
Responsabilità del cliente
- Gestisci i tuoi carichi di lavoro, inclusi il codice dell'applicazione, i file di build immagini container, dati, controllo dell'accesso basato su ruoli (RBAC)/IAM nonché i container e i pod in esecuzione.
- Ruota le credenziali dei cluster.
- Registra i cluster per l'upgrade automatico (impostazione predefinita) o esegui l'upgrade dei cluster alle versioni supportate.
- Monitora il cluster e le applicazioni e rispondi a eventuali avvisi incidenti usando tecnologie quali la dashboard della security posture e Google Cloud Observability.
- Fornire a Google i dettagli sull'ambiente, se richiesti, per la risoluzione dei problemi.
- Assicurati che Logging e Monitoring siano attivati sui cluster. In assenza di log, l'assistenza viene fornita al meglio delle possibilità.
Passaggi successivi
- Leggi la documentazione di GKE Panoramica sulla sicurezza.