Responsabilidade partilhada do GKE

Esta página explica as responsabilidades de segurança partilhadas entre a Google e os Google Cloud clientes. A execução de uma aplicação essencial para a empresa no Google Kubernetes Engine (GKE) requer que várias partes tenham responsabilidades diferentes. Embora esta página não seja uma lista exaustiva, este documento pode ajudar a compreender as suas responsabilidades.

Este documento destina-se a especialistas de segurança que definem, regem e implementam políticas e procedimentos para proteger os dados de uma organização contra o acesso não autorizado. Para saber mais sobre as funções comuns e as tarefas de exemplo que referimos no conteúdo, consulte o artigo Funções e tarefas comuns do utilizador do GKE. Google Cloud

Responsabilidades da Google

• Proteger a infraestrutura subjacente, incluindo hardware, firmware, kernel, SO, armazenamento, rede e muito mais. Isto inclui: encriptar dados em repouso por predefinição, fornecer encriptação de disco adicional gerida pelo cliente, encriptar dados em trânsito, usar hardware concebido à medida, instalar cabos de rede privados, proteger os centros de dados contra acesso físico, proteger o carregador de arranque e o kernel contra modificação através de nós protegidos, e seguir práticas de desenvolvimento de software seguras.
• Reforço e aplicação de patches ao sistema operativo dos nós, como o SO otimizado para contentores ou o Ubuntu. O GKE disponibiliza imediatamente todos os patches para estas imagens. Se tiver a atualização automática ativada ou estiver a usar um canal de lançamento, estas atualizações são implementadas automaticamente. Esta é a camada do SO abaixo do seu contentor. Não é igual ao sistema operativo em execução nos seus contentores.
• Criação e funcionamento da deteção de ameaças para ameaças específicas de contentores no kernel com a deteção de ameaças de contentores (preço em separado com o Security Command Center).
• Reforço e aplicação de patches aos componentes dos nós do Kubernetes. Todos os componentes geridos do GKE são atualizados automaticamente quando atualiza as versões dos nós do GKE. Isto inclui:
  • Mecanismo de arranque fidedigno suportado por vTPM para emitir certificados TLS kubelet e rotação automática dos certificados
  • Configuração do kubelet reforçada de acordo com as referências do CIS
  • Servidor de metadados do GKE para a identidade da carga de trabalho
  • O plug-in de interface de rede de contentores nativo do GKE e o Calico para NetworkPolicy
  • Integrações de armazenamento do GKE Kubernetes, como o controlador CSI
  • GKE Agentes de registo e monitorização
• Reforço e aplicação de patches ao plano de controlo. O plano de controlo inclui a VM do plano de controlo, o servidor API, o agendador, o gestor de controladores, a AC do cluster, a emissão e a rotação de certificados TLS, o material de chaves de raiz de confiança, o autenticador e o autorizador da IAM, a configuração do registo de auditoria, o etcd e vários outros controladores. Todos os componentes do plano de controlo são executados em instâncias do Compute Engine operadas pela Google. Estas instâncias são de inquilino único, o que significa que cada instância executa o plano de controlo e os respetivos componentes apenas para um cliente.
• Oferecer Google Cloud integrações para o Connect, a gestão de identidade e acesso, os registos de auditoria da nuvem, a observabilidade do Google Cloud, o Cloud Key Management Service, o Security Command Center e outros.
• Restrinja e registe o acesso administrativo da Google a clusters de clientes para fins de apoio técnico contratual com a Transparência de acesso.

Responsabilidades do cliente

• Manter as suas cargas de trabalho, incluindo o código da aplicação, ficheiros de compilação, imagens de contentores, dados, política de controlo de acesso baseado em funções (CABF)/IAM e contentores e pods que está a executar.
• Alterne as credenciais dos clusters.
• Mantenha os node pools padrão inscritos em atualizações automáticas.
• Nas seguintes situações, atualize manualmente os clusters e os node pools para corrigir vulnerabilidades nos prazos de aplicação de patches da sua organização:
  • As atualizações automáticas são adiadas devido a fatores como as políticas de manutenção.
  • Tem de aplicar uma correção antes de esta ficar disponível no canal de lançamento selecionado. Para mais informações, consulte o artigo Execute versões de patch a partir de um canal mais recente.
• Monitorize o cluster e as aplicações, e responda a quaisquer alertas e incidentes através de tecnologias como o painel de controlo da postura de segurança e a observabilidade do Google Cloud.
• Fornecer à Google detalhes ambientais quando solicitados para fins de resolução de problemas.
• Certifique-se de que o registo e a monitorização estão ativados nos clusters. Sem registos, o apoio técnico está disponível com base no melhor esforço possível.

O que se segue?

• Leia a vista geral de segurança do GKE.