Google Kubernetes Engine(GKE)에서 비즈니스에 중요한 애플리케이션을 실행하려면 여러 당사자가 다양한 책임을 져야 합니다. 이 주제에는 전체 목록은 아니지만 Google과 고객의 책임이 나와 있습니다.
GKE
Google의 책임
- 하드웨어, 펌웨어, 커널, OS, 스토리지, 네트워크 등의 기본 인프라 보호. 여기에는 기본적으로 저장 데이터 암호화, 추가 고객 관리형 디스크 암호화 제공, 전송 중 데이터 암호화, 커스텀 설계형 하드웨어 사용, 사설 네트워크 케이블 설치, 물리적 액세스로부터 데이터 센터 보호, 보호된 노드를 사용하고 보안 소프트웨어 개발 사례를 따라 수정으로부터 부트로더와 커널 보호가 포함됩니다.
- Container-Optimized OS 또는 Ubuntu와 같은 노드 운영체제 강화 및 패치. GKE에서 이러한 사용 가능한 이미지에 대한 모든 패치를 즉시 제공합니다. 자동 업그레이드를 사용 설정하거나 출시 채널을 사용하는 경우 이러한 업데이트가 자동으로 배포됩니다. 이는 컨테이너의 기본 OS 레이어이며 컨테이너에서 실행되는 운영체제와는 다릅니다.
- 컨테이너별 위협의 위협 감지를 Container Threat Detection(Security Command Center에서 별도 판매)을 사용하여 커널에 빌드 및 작동
- Kubernetes 노드 구성요소 강화 및 패치. GKE 노드 버전을 업그레이드하면 모든 GKE 관리형 구성요소가 자동으로 업그레이드됩니다. 여기에는 다음이 포함됩니다.
- kubelet TLS 인증서 발급에 사용되는 신뢰할 수 있는 vTPM 지원 부트스트랩 메커니즘 및 인증서 자동 순환
- CIS 벤치마크를 따르는 강화된 kubelet 구성
- 워크로드 아이덴티티용 GKE 메타데이터 서버
- GKE의 기본 컨테이너 네트워크 인터페이스 플러그인 및 Calico for NetworkPolicy
- GKE Kubernetes 스토리지 통합(예: CSI 드라이버)
- GKE 로깅 및 모니터링 에이전트
- 제어 영역 강화 및 패치. 제어 영역에는 제어 영역 VM, API 서버, 스케줄러, 컨트롤러 관리자, 클러스터 CA, TLS 인증서 발급 및 순환, 신뢰할 수 있는 루트 키 자료, CA 순환, 보안 비밀 암호화, IAM 인증자 및 승인자, 감사 로깅 구성, etcd, 기타 다양한 컨트롤러가 포함됩니다. 모든 제어 영역 구성요소는 Google에서 운영하는 Compute Engine 인스턴스에서 실행됩니다. 이러한 인스턴스는 단일 테넌트입니다. 즉, 각 인스턴스는 한 고객을 위해서만 제어 영역과 구성요소를 실행합니다.
- Connect, Identity and Access Management, Cloud 감사 로그, Google Cloud Observability, Cloud Key Management Service, Security Command Center 등의 Google Cloud 통합을 제공합니다.
- 계약 상의 지원을 목적으로 액세스 투명성을 통해 Google이 고객 클러스터에 대한 관리 액세스를 제한하고 로깅합니다.
고객의 책임
- 애플리케이션 코드, 빌드 파일, 컨테이너 이미지, 데이터, 역할 기반 액세스 제어(RBAC)/IAM 정책, 실행 중인 컨테이너 및 pod 등 워크로드를 유지보수합니다.
- 자동 업그레이드(기본값)에 클러스터를 등록하거나 클러스터를 지원되는 버전으로 업그레이드합니다.
- 클러스터를 모니터링하고 보안 상황 대시보드 및 Google Cloud Observability와 같은 기술을 사용하여 알림 및 이슈에 대응합니다.
- 문제 해결을 위해 요청할 때 Google에 환경 세부정보를 제공합니다.
다음 단계
- GKE 보안 개요 읽기