本頁說明 Google 和客戶共同承擔的安全責任。Google Cloud 在 Google Kubernetes Engine (GKE) 上執行業務關鍵應用程式時,需要多方承擔不同責任。雖然這個頁面並未列出所有責任,但這份文件有助於您瞭解自己的責任。
這份文件適用於安全專家,他們負責定義、管理及實作政策和程序,以防機構的資料遭到未經授權的存取。如要進一步瞭解 Google Cloud 內容中提及的常見角色和範例工作,請參閱常見的 GKE Enterprise 使用者角色和工作。
Google 的責任
- 保護底層基礎架構,包括硬體、韌體、核心、作業系統、儲存空間、網路等。包括預設加密靜態資料、提供額外的客戶管理磁碟加密、加密傳輸中的資料、使用專為安全設計的硬體、鋪設私有網路線、防止實體存取資料中心、使用 Shielded Nodes 保護開機載入程式和核心,避免遭到修改,以及遵循安全的軟體開發做法。
- 強化和修補節點的作業系統,例如 Container-Optimized OS 或 Ubuntu。GKE 會及時提供這些映像檔的任何修補程式。如果啟用自動升級功能,或是使用發布版本,系統會自動部署這些更新。這是容器底下的 OS 層,與容器中執行的作業系統不同。
- 透過 Container Threat Detection,在核心中建構及運作容器專屬威脅的威脅偵測功能 (需搭配 Security Command Center,並另行付費)。
- 強化及修補 Kubernetes 節點元件。升級 GKE 節點版本時,所有 GKE 管理的元件都會自動升級。包括:
- 以 vTPM 為基礎的信任啟動機制,用於核發 kubelet TLS 憑證,以及自動輪替憑證
- 強化 kubelet 設定 (遵循 CIS 基準)
- 適用於工作負載身分的 GKE 中繼資料伺服器
- GKE 的原生容器網路介面外掛程式和 Calico for NetworkPolicy
- GKE Kubernetes 儲存空間整合,例如 CSI 驅動程式
- GKE 記錄和監控代理程式
- 強化及修補控制層。控制層包括控制層 VM、API 伺服器、排程器、控制器管理工具、叢集 CA、TLS 憑證核發和輪替、信任根金鑰材料、IAM 驗證器和授權者、稽核記錄設定、etcd,以及各種其他控制器。所有控制層元件都會在 Google 運作的 Compute Engine 執行個體上執行。這些執行個體是單一租戶,也就是說,每個執行個體只會為一位客戶執行控制層及其元件。
- 提供 Connect、Identity and Access Management、Cloud 稽核記錄、Google Cloud Observability、Cloud Key Management Service、Security Command Center 等服務的整合功能。 Google Cloud
- 透過資料存取透明化控管機制,限制並記錄 Google 對客戶叢集的管理存取權,以利合約支援。
客戶責任
- 維護工作負載,包括應用程式程式碼、建構檔案、容器映像檔、資料、角色式存取控管 (RBAC)/IAM 政策,以及您執行的容器和 Pod。
- 輪替叢集憑證。
- 讓標準節點集區加入自動升級。
- 在下列情況下,請在貴機構的修補時間表內,手動升級叢集和節點集區,以修正安全性弱點:
- 自動升級作業因維護政策等因素而延後。
- 您必須先套用修補程式,才能在所選發布管道中使用。詳情請參閱「從較新的管道執行修補程式版本」。
- 使用安全狀態資訊主頁和 Google Cloud Observability 等技術,監控叢集和應用程式,並回應任何快訊和事件。
- 如果 Google 要求提供環境詳細資料以利疑難排解,請配合提供。
- 確認叢集已啟用記錄和監控功能。如果沒有記錄,我們只能盡力提供支援。
後續步驟
- 閱讀 GKE 安全性總覽。