La sicurezza è una responsabilità condivisa. Dataflow protegge l'infrastruttura scalabile che utilizzi per eseguire le pipeline Dataflow e ti fornisce strumenti e controlli di sicurezza per proteggere dati, codice e modelli. Sebbene non sia un elenco esaustivo, questo documento elenca le responsabilità di Google e del cliente.
Responsabilità di Google
Proteggere l'infrastruttura: Google è responsabile della fornitura di un'infrastruttura sicura per i suoi servizi, inclusi la sicurezza fisica dei data center, la sicurezza di rete e la sicurezza delle applicazioni.
Proteggere la piattaforma: Google è responsabile della protezione della sua piattaforma, inclusa la gestione dei controlli di accesso, il monitoraggio degli incidenti di sicurezza e la risposta agli eventi di sicurezza. Google fornisce inoltre ai clienti strumenti per gestire le proprie impostazioni e configurazioni di sicurezza.
Mantenere la conformità: Google mantiene la conformità alle leggi e ai regolamenti pertinenti in materia di protezione dei dati. Scopri di più sulla conformità di Google Cloud.
Protezione avanzata e applicazione di patch alle immagini: Google protegge e applica patch al sistema operativo delle immagini di base utilizzate dalle immagini di proprietà di Dataflow. Google rende immediatamente disponibili eventuali patch per queste immagini. Vengono forniti bollettini sulla sicurezza per le vulnerabilità note.
Per le dipendenze open source come Apache Beam, Dataflow fornisce immagini di base e aggiorna l'SDK Apache Beam in base al principio del best effort per comodità. Poiché Dataflow si basa sulla community open source per queste correzioni, Google non ha il pieno controllo della priorità o della tempistica delle correzioni. Le correzioni per le vulnerabilità ed esposizioni comuni (CVE) sono in genere incluse nelle prossime release di Apache Beam.
Responsabilità del cliente
Utilizza e aggiorna il tuo ambiente alle versioni più recenti di container e immagini VM Dataflow: Dataflow fornisce container e immagini VM predefiniti per semplificare l'utilizzo dei suoi servizi. Google creerà nuove versioni di queste immagini quando vengono identificate vulnerabilità. È tua responsabilità monitorare i bollettini sulla sicurezza e aggiornare tempestivamente il tuo ambiente quando sono disponibili nuove versioni.
È tua responsabilità assicurarti di aver configurato correttamente i tuoi servizi per utilizzare l'ultima versione o di eseguire manualmente l'upgrade all'ultima versione. Per utilizzare le VM più recenti, riavvia i job a lunga esecuzione aggiornando il job. Per saperne di più, consulta Esegui l'upgrade e applica patch alle VM Dataflow. Per gestire i problemi di sicurezza in modo reattivo, ti consigliamo di utilizzare immagini container personalizzate. Se hai requisiti rigorosi per l'accordo sul livello del servizio (SLA) di sicurezza, come quelli per la conformità FedRAMP, l'utilizzo di container personalizzati ti consente di gestire le tue versioni di Apache Beam e i cicli di patch, anziché fare affidamento alla pianificazione delle release open source di Apache Beam.
Se utilizzi un container personalizzato o un modello personalizzato, hai la responsabilità di eseguire la scansione e l'applicazione di patch alle immagini personalizzate per mitigare le vulnerabilità.
Se utilizzi un'immagine di base del modello flessibile, per garantire la sicurezza e ridurre i rischi di vulnerabilità, utilizza le immagini di base Distroless, se possibile.
Gestisci i controlli di accesso: sei responsabile della gestione dei controlli di accesso ai tuoi dati e servizi. Ciò include la gestione dell'accesso degli utenti, i controlli di autenticazione e autorizzazione e la protezione delle tue applicazioni e dei tuoi dati. Scopri di più su sicurezza e autorizzazioni di Dataflow.
Applicazioni sicure: sei responsabile della sicurezza delle tue applicazioni in esecuzione su Dataflow, inclusa l'implementazione di pratiche di codifica sicure e il test regolare delle vulnerabilità.
Scopri di più sulle chiavi di crittografia gestite dal cliente, sulle reti e sui Controlli di servizio VPC e sulle best practice per le autorizzazioni.
Monitoraggio degli incidenti di sicurezza: sei responsabile del monitoraggio delle tue applicazioni per rilevare incidenti di sicurezza e della segnalazione a Google di eventuali incidenti, se necessario.
- Iscriviti ai bollettini sulla sicurezza di Dataflow.
- Segui le note di rilascio di Dataflow.
- Segui le note di rilascio di Apache Beam.
- Scopri di più su Monitoring e audit logging.
Passaggi successivi
- Scopri di più sulle responsabilità condivise su Google Cloud.
- Scopri di più su come proteggere la catena di fornitura del software.