Dataproc-Modell der geteilten Verantwortung

Für das Ausführen geschäftskritischer Arbeitslasten in Dataproc müssen mehrere Parteien unterschiedliche Verantwortlichkeiten übernehmen. Auf dieser Seite werden die Verantwortlichkeiten aufgeführt, die Google und dem Kunden obliegen. Die Liste ist jedoch nicht vollständig.

Dataproc: Verantwortlichkeiten von Google

• Schutz der zugrunde liegenden Infrastruktur, einschließlich Hardware, Firmware, Kernel, Betriebssystem, Speicher, Netzwerk und mehr. Dazu zählen:

  • Ruhende Daten standardmäßig verschlüsseln
  • Zusätzliche vom Kunden verwaltete Laufwerkverschlüsselung
  • Daten bei der Übertragung verschlüsseln
  • speziell entwickelter Hardware
  • Verlegen von Kabeln für private Netzwerke
  • Schutz von Rechenzentren vor physischem Zugriff
  • Schutz des Bootloaders und des Kernels vor Änderungen durch Shielded Nodes
  • Netzwerkschutz mit VPC Service Controls
  • Best Practices für die sichere Softwareentwicklung

• Sicherheitspatches für Dataproc-Images werden veröffentlicht . Dazu zählen:

  • Patches für die in Dataproc-Images (Ubuntu, Debian und Rocky Linux) enthaltenen Basisbetriebssysteme
  • Patches und Korrekturen für die in Dataproc-Images enthaltenen Open-Source-Komponenten

• Bereitstellung von Google Cloud Integrationen für Connect, Identity and Access Management, Cloud-Audit-Logs, Cloud Key Management Service, Security Command Center und andere.

• Beschränken und Protokollieren des administrativen Zugriffs von Google auf Kundencluster mit Access Transparency und Access Approval für vertragliche Supportzwecke

• Empfehlungen für Best Practices für die Konfiguration von Dataproc und der in Dataproc-Images enthaltenen Open-Source-Komponenten

Dataproc: Verantwortlichkeiten des Kunden

• Verwalten Ihrer Arbeitslasten, einschließlich Anwendungscode, benutzerdefinierte Images, Daten, IAM-Richtlinie und Cluster, die Sie ausführen

• Cluster mit aktuellen Dataproc-Images ausführen, indem Sie die neueste Sub-Minor-Image-Version verwenden, Ihre benutzerdefinierten Images umgehend aktualisieren und so bald wie möglich zur neuesten Minor-Image-Version migrieren. Die Bildmetadaten enthalten das Label previous-subminor, das auf true gesetzt ist, wenn im Cluster nicht die neueste Sub-Minor-Version des Images verwendet wird. Informationen zum Aufrufen von Bildmetadaten finden Sie unter Wichtige Hinweise zur Versionsverwaltung.

• Google auf Anfrage Details zur Umgebung zur Verfügung stellen, damit Probleme behoben werden können

• Best Practices für die Konfiguration von Dataproc und anderen Google Cloud-Diensten sowie für die Konfiguration von Open-Source-Komponenten, die in Dataproc-Images enthalten sind