Questa pagina è stata tradotta dall'API Cloud Translation.

Responsabilità condivisa GKE

Autopilot Standard

Questa pagina illustra le responsabilità condivise in materia di sicurezza per Google e per i clienti Google Cloud. L'esecuzione di un'applicazione aziendale fondamentale su Google Kubernetes Engine (GKE) richiede che più parti abbiano responsabilità diverse. Anche se questa pagina non è un elenco completo, questo documento può aiutarti a comprendere le tue responsabilità.

Questo documento è rivolto a specialisti della sicurezza che definiscono, gestiscono e implementano criteri e procedure per proteggere i dati di un'organizzazione da accessi non autorizzati. Per scoprire di più sui ruoli comuni e sugli esempi di attività a cui facciamo riferimento nei contenuti di Google Cloud, consulta Ruoli e attività comuni degli utenti di GKE Enterprise.

GKE

Responsabilità di Google

Protezione dell'infrastruttura sottostante, inclusi hardware, firmware, kernel, sistema operativo, archiviazione, rete e altro ancora. Sono incluse la crittografia dei dati at-rest per impostazione predefinita, la crittografia aggiuntiva dei dischi gestita dal cliente, la crittografia dei dati in transito, l'utilizzo di hardware progettato su misura, la posa di cavi di rete privati, la protezione dei data center dall'accesso fisico, la protezione del bootloader e del kernel da eventuali modifiche mediante Nodi protetti e il rispetto di pratiche di sviluppo software sicure.
Ottimizzazione e applicazione di patch al sistema operativo dei nodi, ad esempio Container-Optimized OS o Ubuntu. GKE rende disponibili tempestivamente eventuali patch per queste immagini. Se hai attivato l'upgrade automatico o utilizzi un canale di rilascio, questi aggiornamenti vengono implementati automaticamente. Si tratta del livello del sistema operativo sotto il tuo contenitore, non è lo stesso del sistema operativo in esecuzione nei contenitori.
Creazione e gestione del rilevamento delle minacce per minacce specifiche dei container nel kernel con Container Threat Detection (prezzo separato con Security Command Center).
Rafforzamento e applicazione di patch ai componenti dei nodi Kubernetes. Tutti i componenti gestiti di GKE vengono sottoposti ad upgrade automaticamente quando esegui l'upgrade delle versioni dei nodi GKE. Ad esempio:
- Meccanismo di bootstrap attendibile basato su vTPM per l'emissione di certificati TLS di kubelet e la rotazione automatica dei certificati
- Configurazione di kubelet rafforzata in base ai benchmark CIS
- Server metadati GKE per Workload Identity
- Il plug-in Container Network Interface e Calico per NetworkPolicy nativi di GKE
- Integrazioni di archiviazione Kubernetes GKE come il driver CSI
- Agenti di monitoraggio e logging GKE
Rafforzamento e applicazione di patch al piano di controllo. Il piano di controllo include la VM del piano di controllo, l'API server, lo scheduler, il gestore del controller, l'autorità di certificazione del cluster, l'emissione e la rotazione dei certificati TLS, il materiale della chiave radice della attendibilità, l'autenticatore e l'autorizzatore IAM, la configurazione dei log di controllo, etcd e vari altri controller. Tutti i componenti del piano di controllo vengono eseguiti su istanze Compute Engine gestite da Google. Queste istanze sono monotenant, il che significa che ogni istanza esegue il piano di controllo e i relativi componenti per un solo cliente.
Fornisci integrazioni di Google Cloud per Connect, Identity and Access Management, Cloud Audit Logs, Google Cloud Observability, Cloud Key Management Service, Security Command Center e altri.
Limita e registra l'accesso amministrativo di Google ai cluster dei clienti per scopi di assistenza contrattuale con Access Transparency.

Responsabilità del cliente

Gestisci i tuoi carichi di lavoro, inclusi il codice dell'applicazione, i file di compilazione, le immagini dei container, i dati, i criteri di IAM/controllo dell'accesso basato sui ruoli (RBAC) e i container e i pod in esecuzione.
Ruota le credenziali dei cluster.
Registra i cluster per l'upgrade automatico (impostazione predefinita) o esegui l'upgrade dei cluster alle versioni supportate.
Monitora il cluster e le applicazioni e rispondi ad avvisi e incidenti utilizzando tecnologie come la dashboard della posizione di sicurezza e Google Cloud Observability.
Fornire a Google i dettagli sull'ambiente, se richiesti, per la risoluzione dei problemi.
Assicurati che Logging e Monitoring siano attivati sui cluster. In assenza di log, l'assistenza è disponibile al meglio delle possibilità.

Passaggi successivi

Leggi la Panoramica della sicurezza di GKE.