La seguridad es una responsabilidad compartida. Dataflow protege la infraestructura escalable que usas para ejecutar tus canalizaciones de Dataflow y te proporciona herramientas y controles de seguridad para proteger tus datos, código y modelos. Si bien no es una lista exhaustiva, en este documento se enumeran las responsabilidades de Google y del cliente.
Las responsabilidades de Google
Proteger la infraestructura: Google es responsable de proporcionar una infraestructura segura para sus servicios, incluida la seguridad física de los centros de datos, la seguridad de la red y la seguridad para la aplicaciones.
Proteger la plataforma: Google es responsable de proteger su plataforma, lo que incluye administrar los controles de acceso, supervisar los incidentes de seguridad y responder a los eventos de seguridad. Google también proporciona a los clientes herramientas para administrar su propia configuración de seguridad.
Mantener el cumplimiento: Google mantiene el cumplimiento de las leyes y reglamentaciones pertinentes de protección de datos. Obtén más información sobre el cumplimiento de Google Cloud.
Protección y aplicación de parches a las imágenes: Google protege y aplica parches al sistema operativo de las imágenes base que usan las imágenes propiedad de Dataflow. Google pone inmediatamente a disposición cualquier parche para estas imágenes. Se proporcionan boletines de seguridad para las vulnerabilidades conocidas.
En el caso de las dependencias de código abierto, como Apache Beam, Dataflow proporciona imágenes base y actualiza el SDK de Apache Beam según su mejor esfuerzo para mayor comodidad. Dado que Dataflow depende de la comunidad de código abierto para estas correcciones, Google no tiene control total sobre la priorización ni los tiempos de las correcciones. Las correcciones para las vulnerabilidades y exposiciones comunes (CVE) suelen incluirse en los próximos lanzamientos de Apache Beam.
Las responsabilidades del cliente
Usa y actualiza tu entorno a las versiones más recientes de los contenedores y las imágenes de VM de Dataflow: Dataflow proporciona contenedores y imágenes de VM prediseñados para simplificar el uso de sus servicios. Google creará versiones nuevas de estas imágenes cuando se identifiquen vulnerabilidades. Es tu responsabilidad supervisar los boletines de seguridad y actualizar tu entorno de inmediato cuando haya nuevas versiones disponibles.
Es tu responsabilidad asegurarte de haber configurado tus servicios de forma correcta para que usen la versión más reciente o actualizar manualmente a la versión más reciente. Para usar las VMs más recientes, reinicia los trabajos de larga duración actualizando el trabajo. Para obtener más información, consulta Actualiza y aplica parches a las VMs de Dataflow. Para administrar los problemas de seguridad de forma responsable, te recomendamos que uses imágenes de contenedor personalizado. Si tienes requisitos estrictos de Acuerdo de Nivel de Servicio (ANS) de seguridad, como los de cumplimiento del FedRAMP, el uso de contenedores personalizados te permite administrar tus propias versiones de Apache Beam y ciclos de parches, en lugar de depender del programa de lanzamiento de código abierto de Apache Beam.
Si usas un contenedor personalizado o una plantilla personalizada, eres responsable de analizar y corregir las imágenes personalizadas para mitigar las vulnerabilidades.
Si usas una imagen base de plantilla de Flex, para garantizar la seguridad y reducir los riesgos de vulnerabilidad, usa imágenes base de Distroless siempre que sea posible.
Administra los controles de acceso: Eres responsable de administrar los controles de acceso a tus propios datos y servicios. Esto incluye la administración de los controles de acceso, autenticación y autorización de los usuarios, y la protección de tus propias aplicaciones y datos. Obtén más información sobre la seguridad y los permisos de Dataflow.
Aplicaciones seguras: Eres responsable de proteger tus propias aplicaciones que se ejecutan en Dataflow, lo que incluye implementar prácticas de codificación segura y realizar pruebas de vulnerabilidades con regularidad.
Obtén más información sobre las claves de encriptación administradas por el cliente, las redes y los Controles del servicio de VPC, y las prácticas recomendadas para los permisos.
Supervisa los incidentes de seguridad: Eres responsable de supervisar tus propias aplicaciones en busca de incidentes de seguridad y de informar a Google sobre cualquier incidente según sea necesario.
- Suscríbete a los boletines de seguridad de Dataflow.
- Sigue las notas de la versión de Dataflow.
- Sigue las notas de la versión de Apache Beam.
- Obtén más información sobre Monitoring y el registro de auditoría.
¿Qué sigue?
- Obtén más información sobre las responsabilidades compartidas en Google Cloud.
- Obtén información para proteger tu cadena de suministro de software.