אחריות משותפת ב-Dataflow

האחריות על האבטחה היא אחריות משותפת. ‫Dataflow מאבטח את התשתית הניתנת להרחבה שבה אתם משתמשים כדי להריץ את צינורות הנתונים של Dataflow, ומספק לכם כלים ואמצעי בקרת אבטחה להגנה על הנתונים, הקוד והמודלים שלכם. הרשימה הזו לא מקיפה, אבל היא כוללת את האחריות של Google ושל הלקוח.

האחריות של Google

• הגנה על התשתית: Google אחראית לספק תשתית מאובטחת לשירותים שלה, כולל אבטחה פיזית של מרכזי נתונים, אבטחת רשת ואבטחת אפליקציות.

• אבטחת הפלטפורמה: Google אחראית לאבטחת הפלטפורמה שלה, כולל ניהול אמצעי בקרת גישה, ניטור אירועי אבטחה ותגובה לאירועי אבטחה. בנוסף, Google מספקת ללקוחות כלים לניהול ההגדרות וההגדרות של האבטחה שלהם.

• שמירה על תאימות: Google שומרת על תאימות לחוקים ולתקנות הרלוונטיים בנושא הגנה על נתונים. מידע נוסף על תאימות ב-Google Cloud

• הקשחה ותיקון של תמונות: Google מקשיחה ומתקנת את מערכת ההפעלה של תמונות בסיס שמשמשות את התמונות בבעלות Dataflow. ‫Google מפרסמת תיקונים לתמונות האלה באופן מיידי. עדכוני אבטחה דחופים מסופקים עבור נקודות חולשה ידועות

האחריות של הלקוח

• שימוש בסביבה ועדכון שלה לגרסאות האחרונות של קונטיינרים של Dataflow וקובצי אימג' של מכונות וירטואליות:‏ Dataflow מספק קונטיינרים וקובצי אימג' של מכונות וירטואליות שנבנו מראש כדי לפשט את השימוש בשירותים שלו. ‫Google תיצור גרסאות חדשות של התמונות האלה כשיזוהו פגיעויות. באחריותכם לעקוב אחרי עדכוני אבטחה ולעדכן את הסביבה שלכם באופן מיידי כשגרסאות חדשות זמינות.

  באחריותכם לוודא שהגדרתם את השירותים בצורה נכונה כך שישתמשו בגרסה העדכנית, או לשדרג ידנית לגרסה העדכנית. כדי להשתמש במכונות הווירטואליות העדכניות, צריך להפעיל מחדש עבודות שפועלות לאורך זמן על ידי עדכון העבודה. מידע נוסף זמין במאמר שדרוג ותיקון של מכונות וירטואליות ב-Dataflow. כדי לנהל בעיות אבטחה בצורה יעילה, מומלץ להשתמש בתמונות קונטיינר בהתאמה אישית.

  אם אתם משתמשים בקובץ אימג' של קונטיינר בהתאמה אישית או בתבנית בהתאמה אישית, אתם אחראים לסרוק את התמונות המותאמות אישית ולתקן אותן כדי לצמצם את נקודות החולשה.

  אם אתם משתמשים בתמונת בסיס של תבנית Flex, מומלץ להשתמש בתמונות בסיס ללא הפצה (Distroless) כשזה אפשרי, כדי להבטיח אבטחה ולצמצם את הסיכון לנקודות חולשה.

• ניהול אמצעי בקרת גישה: אתם אחראים לניהול אמצעי בקרת הגישה לנתונים ולשירותים שלכם. הפעולות האלה כוללות ניהול של גישת משתמשים, אימות ובקרות הרשאה, ואבטחה של האפליקציות והנתונים שלכם. מידע נוסף על אבטחה והרשאות ב-Dataflow

• אבטחת אפליקציות: אתם אחראים לאבטחת האפליקציות שלכם שפועלות ב-Dataflow, כולל הטמעה של שיטות קידוד מאובטחות ובדיקה קבועה של נקודות חולשה.

  מידע נוסף על מפתחות הצפנה בניהול הלקוח, על רשתות ו-VPC Service Controls ועל שיטות מומלצות להרשאות

• מעקב אחרי אירועי אבטחה: אתם אחראים למעקב אחרי אירועי אבטחה באפליקציות שלכם ולדיווח על אירועים כאלה ל-Google לפי הצורך.

  • נרשמים לעדכוני האבטחה הדחופים של Dataflow.
  • הערות המוצר של Dataflow
  • אפשר לעיין בהערות המוצר של Apache Beam.
  • מידע נוסף על מעקב ועל רישום ביומן ביקורת

המאמרים הבאים

• מידע נוסף על חלוקת האחריות ב-Google Cloud
• איך להגן על שרשרת אספקת התוכנה