Gemeinsame Verantwortung für GKE

Auf dieser Seite wird die geteilte Verantwortung für die Sicherheit von Google undGoogle Cloud -Kunden erläutert. Für die Ausführung einer geschäftskritischen Anwendung in Google Kubernetes Engine (GKE) müssen mehrere Parteien unterschiedliche Verantwortlichkeiten übernehmen. Diese Seite ist zwar keine vollständige Liste, kann Ihnen aber helfen, Ihre Verantwortlichkeiten zu verstehen.

Dieses Dokument richtet sich an Sicherheitsexperten, die Richtlinien und Verfahren zum Schutz der Daten einer Organisation vor unbefugtem Zugriff definieren, verwalten und implementieren. Weitere Informationen zu gängigen Rollen und Beispielaufgaben, auf die wir in Google Cloud -Inhalten verweisen, finden Sie unter Häufig verwendete GKE-Nutzerrollen und ‑Aufgaben.

Verantwortlichkeiten von Google

• Schutz der zugrunde liegenden Infrastruktur, einschließlich Hardware, Firmware, Kernel, Betriebssystem, Speicher, Netzwerk und mehr. Dazu gehören die standardmäßige Verschlüsselung inaktiver Daten, die Bereitstellung einer zusätzlichen vom Kunden verwalteten Laufwerkverschlüsselung, die Verschlüsselung von Daten bei der Übertragung mithilfe eigens entwickelter Hardware, das Verlegen privater Netzwerkkabel, der Schutz von Rechenzentren vor physischem Zugriff, der Schutz des Bootloader und Kernel vor Änderungen mithilfe von Shielded-Knoten und die Einhaltung von Best Practices für die sichere Softwareentwicklung.
• Härtung und Patchen des Betriebssystems der Knoten, z. B. Container-Optimized OS oder Ubuntu GKE stellt umgehend alle Patches für diese Images zur Verfügung. Wenn Sie das automatische Upgrade aktiviert haben oder eine Release-Version verwenden, werden diese Updates automatisch bereitgestellt. Dies ist die Basisebene des Containers. Sie ist nicht mit dem Betriebssystem identisch, das in den Containern ausgeführt wird.
• Erstellen und Nutzen von Bedrohungserkennung für Container-spezifische Bedrohungen im Kernel mit Container Threat Detection (wird separat mit Security Command Center abgerechnet).
• Kubernetes-Knotenkomponenten härten und patchen. Für alle von GKE verwalteten Komponenten wird beim Upgrade der GKE-Knotenversionen automatisch ein Upgrade ausgeführt. Dazu zählen:
  • vTPM-gestützter Bootstrapping-Mechanismus zur Ausgabe von Kubelet-TLS-Zertifikaten und automatische Rotation der Zertifikate
  • Gehärtete Kubelet-Konfiguration entsprechend den CIS-Benchmarks
  • GKE-Metadatenserver für Workload Identity
  • Natives Container Network Interface-Plug-in und Calico for NetworkPolicy von GKE
  • Integration von GKE-Kubernetes-Speichern wie den CSI-Treiber
  • GKE-Logging- und -Monitoring-Agents
• Härten und Patchen der Steuerungsebene. Die Steuerungsebene umfasst die VM der Steuerungsebene, den API-Server, den Planer, den Controller-Manager, die Clusterzertifizierungsstelle, die Ausgabe und Rotation von TLS-Zertifikaten, Root-of-Trust-Schlüsselmaterial, CA-Rotation, Secret-Verschlüsselung, IAM-Authentifizierung und -Autorisierung, Audit-Logging-Konfiguration, etcd und verschiedene andere Controller. Alle Komponenten der Steuerungsebene werden auf von Google verwalteten Compute Engine-Instanzen ausgeführt. Diese Instanzen sind ein einzelner Mandant. Das bedeutet, dass jede Instanz die Steuerungsebene und ihre Komponenten für nur einen Kunden ausführt.
• Bereitstellen von Google Cloud Integrationen für Connect, Identity and Access Management, Cloud-Audit-Logs, Google Cloud Observability, Cloud Key Management Service, Security Command Center und andere.
• Beschränken und Protokollieren des administrativen Zugriffs von Google auf Kundencluster mit Access Transparency für vertragliche Supportzwecke.

Verantwortlichkeiten des Kunden

• Verwalten der Arbeitslasten, einschließlich des Anwendungscodes, der Build-Dateien, Container-Images, Daten, der rollenbasierten Zugriffssteuerung (Role-Based Access Control, RBAC)/IAM und der Container und Pods, die Sie ausführen.
• Anmeldedaten des Clusters rotieren.
• Registrieren Sie Standard-Knotenpools für automatische Upgrades.
• In den folgenden Situationen müssen Sie Ihre Cluster und Knotenpools manuell upgraden, um Sicherheitslücken innerhalb der Patching-Zeitpläne Ihrer Organisation zu beheben:
  • Automatische Upgrades werden aufgrund von Faktoren wie Wartungsrichtlinien verschoben.
  • Sie müssen einen Patch anwenden, bevor er in Ihrem ausgewählten Release-Channel verfügbar ist. Weitere Informationen finden Sie unter Patchversionen aus einem neueren Kanal ausführen.
• Überwachen des Clusters und der Anwendungen und Reaktion auf Warnungen und Vorfälle mit Technologien wie dem Sicherheitsstatus-Dashboard und Google Cloud Observability.
• Google auf Anfrage Details zur Umgebung zur Verfügung stellen, damit Probleme behoben werden können.
• Logging und Monitoring müssen auf Clustern aktiviert sein. Ohne Logs ist der Support auf Best-Effort-Basis verfügbar.

Nächste Schritte

• GKE-Sicherheitsübersicht lesen