Gemeinsame Verantwortung für Dataflow

Sicherheit ist eine geteilte Verantwortung. Dataflow sichert die skalierbare Infrastruktur, die Sie zum Ausführen Ihrer Dataflow-Pipelines verwenden. Außerdem bietet es Ihnen Tools und Sicherheitskontrollen zum Schutz Ihrer Daten, Codes und Modelle. In diesem Dokument sind die Verantwortlichkeiten für Google und den Kunden aufgeführt. Die Liste ist jedoch nicht vollständig.

Verantwortlichkeiten von Google

  • Infrastruktur schützen: Google ist für die Bereitstellung einer sicheren Infrastruktur für die zugehörigen Dienste verantwortlich, einschließlich der physischen Sicherheit der Rechenzentren, der Netzwerksicherheit und der Anwendungssicherheit.

  • Plattform sichern: Google ist für die Sicherung der Plattform verantwortlich, einschließlich der Verwaltung der Zugriffssteuerungen, der Überwachung von Sicherheitsvorfällen und der Reaktion auf Sicherheitsereignisse. Google bietet Kunden auch Tools zur Verwaltung ihrer eigenen Sicherheitseinstellungen und -konfigurationen.

  • Einhaltung der Compliance: Google hält die relevanten Datenschutzgesetze und -bestimmungen ein. Weitere Informationen zur Google Cloud-Compliance

  • Images härten und patchen: Google härtet und patcht das Betriebssystem der Basis-Images, die von den zu Dataflow gehörenden Images verwendet werden. Google stellt umgehend alle Patches für diese Images zur Verfügung. Für bekannte Sicherheitslücken werden Sicherheitsbulletins bereitgestellt.

Verantwortlichkeiten des Kunden

  • Neueste Versionen von Dataflow-Containern und VM-Images verwenden und Ihre Umgebung aktualisieren: Dataflow bietet vordefinierte Container und VM-Images, um die Verwendung der Dienste zu vereinfachen. Google erstellt neue Versionen dieser Bilder, wenn Sicherheitslücken erkannt werden. Es liegt in Ihrer Verantwortung, Sicherheitsbulletins zu beobachten und Ihre Umgebung umgehend zu aktualisieren, wenn neue Versionen verfügbar sind.

    Sie sind dafür verantwortlich, dass Ihre Dienste ordnungsgemäß für die Verwendung der neuesten Version konfiguriert werden oder Sie manuell ein Upgrade auf die neueste Version durchführen. Wenn Sie die neuesten VMs verwenden möchten, starten Sie langlaufende Jobs neu, indem Sie den Job aktualisieren. Weitere Informationen finden Sie unter Dataflow-VMs aktualisieren und patchen. Um Sicherheitsprobleme reaktionsschnell zu beheben, sollten Sie benutzerdefinierte Container-Images verwenden.

    Wenn Sie ein benutzerdefiniertes Container-Image oder eine benutzerdefinierte Vorlage verwenden, sind Sie dafür verantwortlich, die benutzerdefinierten Images zu scannen und zu patchen, um Sicherheitslücken zu schließen.

    Wenn Sie ein Flex-Vorlagen-Basis-Image verwenden, sollten Sie nach Möglichkeit Distroless-Basis-Images verwenden, um die Sicherheit zu gewährleisten und Sicherheitsrisiken zu reduzieren.

  • Zugriffssteuerungen verwalten: Sie sind für die Verwaltung der Zugriffssteuerungen für Ihre eigenen Daten und Dienste verantwortlich. Dies umfasst die Verwaltung von Nutzerzugriff, Authentifizierung und Autorisierungskontrollen sowie den Schutz Ihrer eigenen Anwendungen und Daten. Weitere Informationen zu Sicherheit und Berechtigungen in Dataflow

  • Sichere Anwendungen: Sie sind für die Sicherung Ihrer eigenen Anwendungen verantwortlich, die auf Dataflow ausgeführt werden, einschließlich der Implementierung sicherer Programmierpraktiken und der regelmäßigen Prüfung auf Sicherheitslücken.

    Weitere Informationen zu vom Kunden verwalteten Verschlüsselungsschlüsseln, Netzwerken und VPC Service Controls sowie Best Practices für Berechtigungen

  • Auf Sicherheitsvorfälle überwachen: Sie sind dafür verantwortlich, Ihre eigenen Anwendungen auf Sicherheitsvorfälle zu überwachen und Google bei Bedarf alle Vorfälle zu melden.

Nächste Schritte