GKE の共有責任

このページでは、Google と Google Cloud のお客様の両方が負うセキュリティの責任について説明します。Google Kubernetes Engine（GKE）でビジネス クリティカルなアプリケーションを実行するには、複数の当事者がそれぞれ異なる責任を持つ必要があります。このページに記載されている内容がすべてではありませんが、このドキュメントは責任を理解するうえで役立ちます。

このドキュメントは、組織のデータを不正アクセスから保護するためのポリシーと手順を定義、管理、実装するセキュリティ スペシャリストを対象としています。Google Cloud のコンテンツで参照する一般的なロールとタスク例の詳細については、一般的な GKE Enterprise ユーザーロールとタスクをご覧ください。

GKE

Google の責任

• ハードウェア、ファームウェア、カーネル、OS、ストレージ、ネットワークなど、基盤となるインフラストラクチャを保護する。これには、デフォルトでの保存データの暗号化、顧客管理による追加のディスク暗号化の提供、転送中のデータの暗号化、カスタム設計されたハードウェアの使用、プライベート ネットワーク ケーブルの敷設、物理的なアクセスからのデータセンターの保護、シールドノードによるブートローダーとカーネルの変更からの保護、安全なソフトウェア開発プラクティスの遵守などが含まれます。
• ノードのオペレーティング システム（Container-Optimized OS や Ubuntu など）の強化とパッチ適用を行う。GKE は、これらのイメージに対するパッチを速やかに使用可能にします。自動アップグレードを有効にしている場合、またはリリース チャンネルを使用している場合は、これらの更新が自動的にデプロイされます。これはコンテナより下位の OS レイヤであり、コンテナで動作しているオペレーティング システムとは異なります。
• Container Threat Detection（Security Command Center とは別料金）を使用して、カーネル内部にコンテナ固有の脅威を検出する仕組みの構築と運用を行う。
• Kubernetes ノード コンポーネントの強化とパッチ適用を行う。GKE ノードのバージョンをアップグレードすると、すべての GKE マネージド コンポーネントが自動的にアップグレードされます。これには、次のものが含まれます。
  • kubelet TLS 証明書を発行するための vTPM に基づく信頼できるブートストラップ メカニズムと証明書の自動ローテーション
  • CIS ベンチマークに沿って強化された kubelet 構成
  • Workload Identity 用の GKE メタデータ サーバー
  • GKE のネイティブな Container Network Interface プラグインと Calico for NetworkPolicy
  • CSI ドライバなどの GKE Kubernetes ストレージの統合
  • GKE のロギングとモニタリングのエージェント
• コントロール プレーンの強化とパッチ適用を行う。コントロール プレーンには、コントロール プレーン VM、API サーバー、スケジューラ、コントローラ マネージャー、クラスタ CA、TLS 証明書の発行とローテーション、ルート オブ トラスト鍵のマテリアル、IAM 認証システムと承認者、監査ロギング構成、etcd、他のさまざまなコントローラが含まれています。すべてのコントロール プレーン コンポーネントは、Google が運用する Compute Engine インスタンスで動作します。これらのインスタンスは単一テナントです。つまり、各インスタンスは、コントロール プレーンとそのコンポーネントを単一のお客様に対してのみ実行します。
• Connect、Identity and Access Management、Cloud Audit Logs、Google Cloud Observability、Cloud Key Management Service、Security Command Center などと Google Cloud とのインテグレーションを提供する。
• Google が契約上のサポート目的で、お客様のクラスタに管理者権限でアクセスすることを制限し、アクセスの透明性を使用してログに記録する。

お客様の責任

• アプリケーション コード、ビルドファイル、コンテナ イメージ、データ、ロールベース アクセス制御（RBAC） / IAM ポリシー、実行中のコンテナと Pod などのワークロードを管理する。
• クラスタの認証情報をローテーションする。
• クラスタを自動アップグレード（デフォルト）に登録するか、サポートされているバージョンにクラスタをアップグレードする。
• セキュリティ対策ダッシュボードや Google Cloud Observability などのテクノロジーを使用して、クラスタとアプリケーションをモニタリングし、アラートやインシデントに対応する。
• トラブルシューティング目的で Google から環境の詳細を求められた場合に提供する。
• クラスタで Logging と Monitoring が有効になっていることを確認する。ログが使用できない場合、サポートはベスト エフォートで行われます。

次のステップ

• GKE セキュリティの概要を確認する。