Responsabilité partagée de GKE

Restez organisé à l'aide des collections Enregistrez et classez les contenus selon vos préférences.

---

Cette page explique les responsabilités de sécurité partagées entre Google et les clientsGoogle Cloud . L'exécution d'une application critique sur Google Kubernetes Engine (GKE) nécessite que plusieurs parties assument différentes responsabilités. Bien que cette page ne soit pas une liste exhaustive, ce document peut vous aider à comprendre vos responsabilités.

Ce document s'adresse aux spécialistes de la sécurité qui définissent, régissent et mettent en œuvre des règles et des procédures permettant de protéger les données d'une organisation contre tout accès non autorisé. Pour en savoir plus sur les rôles courants et les exemples de tâches que nous citons dans le contenu Google Cloud , consultez la section Rôles utilisateur et tâches courantes de l'utilisateur dans GKE Enterprise.

Responsabilités de Google

• Protéger l'infrastructure sous-jacente, y compris le matériel, le micrologiciel, le noyau, l'OS, le stockage, le réseau, etc. Cela inclut le chiffrement des données au repos par défaut, le chiffrement des disques gérés par le client supplémentaires, le chiffrement des données en transit, l'utilisation de matériel conçu sur mesure, la mise en place de câbles de réseau privés, la protection des centres de données contre l'accès physique, la protection du bootloader et du noyau contre les modifications à l'aide de nœuds protégés, et la mise en œuvre de pratiques de développement logiciel sécurisées.
• Renforcer et appliquer les correctifs au système d'exploitation des nœuds, tel que Container-Optimized OS ou Ubuntu. GKE effectue rapidement n'importe quel correctif pour ces images disponibles. Si la mise à niveau automatique est activée ou si vous utilisez une version disponible, ces mises à jour sont déployées automatiquement. Il s'agit ici de la couche du système d'exploitation sous votre conteneur. Le procédé est différent lorsque le système d'exploitation s'exécute dans vos conteneurs.
• Développer et exploiter la détection des menaces pour les menaces spécifiques aux conteneurs dans le noyau avec Container Threat Detection (facturé séparément avec Security Command Center).
• Renforcer et appliquer les correctifs aux composants de nœud Kubernetes. Tous les composants gérés de GKE sont mis à niveau automatiquement lorsque vous mettez à niveau les versions de nœuds GKE. Par exemple :
  • Mécanisme d'amorçage approuvé par vTPM pour l'émission des certificats TLS kubelet et la rotation automatique des certificats
  • Configuration renforcée de kubelet conformément aux benchmarks CIS
  • Serveur de métadonnées GKE pour Workload Identity
  • Plug-in de CNI native (Container Network Interface) de GKE et Calico pour NetworkPolicy
  • Intégrations de stockage Kubernetes GKE, telles que le pilote CSI
  • Agents de journalisation et de surveillance GKE
• Renforcer et appliquer les correctifs au plan de contrôle. Le plan de contrôle inclut la VM du plan de contrôle, le serveur d'API, le programmeur, le gestionnaire du contrôleur, l'autorité de certification du cluster, l'émission et la rotation des certificats TLS, le matériel de clé racine de confiance, la rotation de l'autorité de certification, le chiffrement des secrets, l'authentificateur et l'approbateur IAM, la configuration des journaux d'audit, etcd, et d'autres contrôleurs divers. Tous les composants du plan de contrôle s'exécutent sur des instances Compute Engine gérées par Google. Ces instances sont à locataire unique, ce qui signifie que chaque instance exécute le plan de contrôle et ses composants pour un seul client.
• Fournir des Google Cloud intégrations pour Connect, Identity and Access Management, Cloud Audit Logs, Google Cloud Observability, Cloud Key Management Service, Security Command Center, etc.
• Limiter et consigner l'accès administrateur Google aux clusters de client à des fins d'assistance contractuelle avec Access Transparency.

Responsabilités du client

• Gestion de vos charges de travail, y compris votre code d'application, vos fichiers de compilation, vos images de conteneurs, vos données, vos stratégies de contrôle des accès basé sur les rôles (RBAC)/IAM, ainsi que les conteneurs et les pods que vous exécutez.
• Rotation des identifiants du cluster.
• Enregistrement des clusters dans une mise à niveau automatique (par défaut) ou mise à niveau des clusters vers des versions compatibles.
• Surveiller le cluster et les applications, et répondre aux alertes et aux incidents éventuels à l'aide de technologies telles que le tableau de bord de stratégie de sécurité et Google Cloud Observability.
• Partage avec Google des informations concernant l'environnement lorsqu'elles sont demandées à des fins de dépannage.
• Assurez-vous que la journalisation et la surveillance sont activées sur les clusters. Sans journaux, l'assistance est disponible dans la mesure du possible.

Étape suivante

• Consultez la présentation de la sécurité dans GKE.