Responsabilità condivisa GKE


Questa pagina spiega le responsabilità condivise in materia di sicurezza sia per Google che per i clienti diGoogle Cloud . L'esecuzione di un'applicazione fondamentale per l'attività su Google Kubernetes Engine (GKE) richiede che più parti abbiano responsabilità diverse. Sebbene questa pagina non sia un elenco esaustivo, questo documento può aiutarti a comprendere le tue responsabilità.

Questo documento è destinato agli specialisti della sicurezza che definiscono, gestiscono e implementano policy e procedure per proteggere i dati di un'organizzazione da accessi non autorizzati. Per scoprire di più sui ruoli comuni e sulle attività di esempio a cui facciamo riferimento nei contenuti di Google Cloud , consulta Ruoli utente e attività comuni di GKE Enterprise.

Responsabilità di Google

Responsabilità del cliente

  • Gestisci i tuoi carichi di lavoro, inclusi il codice dell'applicazione, i file di build, le immagini dei container, i dati, i criteri di controllo dell'accesso basato sui ruoli (RBAC)/IAM e i container e i pod in esecuzione.
  • Ruota le credenziali dei cluster.
  • Mantieni i pool di nodi Standard registrati per gli upgrade automatici.
  • Nelle seguenti situazioni, esegui l'upgrade manuale dei cluster e dei pool di nodi per correggere le vulnerabilità entro le tempistiche di applicazione delle patch della tua organizzazione:
    • Gli upgrade automatici vengono posticipati a causa di fattori quali le policy di manutenzione.
    • Devi applicare una patch prima che diventi disponibile nel canale di rilascio selezionato. Per maggiori informazioni, vedi Eseguire versioni patch da un canale più recente.
  • Monitora il cluster e le applicazioni e rispondi a eventuali avvisi e incidenti utilizzando tecnologie come la dashboard della postura di sicurezza e Google Cloud Observability.
  • Fornire a Google i dettagli ambientali quando richiesti per la risoluzione dei problemi.
  • Assicurati che il logging e il monitoraggio siano abilitati sui cluster. Senza log, l'assistenza è disponibile secondo il criterio del "best effort".

Passaggi successivi