Dataproc-Modell der geteilten Verantwortung

Für das Ausführen geschäftskritischer Arbeitslasten in Dataproc sind mehrere Parteien erforderlich, Auf dieser Seite werden die Verantwortlichkeiten von Google und dem Kunden aufgeführt. Die Liste ist jedoch nicht vollständig.

Dataproc: Verantwortlichkeiten von Google

• Schutz der zugrunde liegenden Infrastruktur, einschließlich Hardware, Firmware, Kernel, Betriebssystem, Speicher, Netzwerk und mehr. Dazu zählen:

  • Ruhende Daten standardmäßig verschlüsseln
  • Zusätzliche vom Kunden verwaltete Laufwerkverschlüsselung bereitstellen
  • Daten bei der Übertragung verschlüsseln
  • Kundenspezifische Hardware verwenden
  • Private Netzwerkkabel verlegen
  • Rechenzentren vor physischem Zugriff schützen
  • Bootloader und Kernel mit Shielded Nodes vor Änderungen schützen
  • Netzwerkschutz mit VPC Service Controls bereitstellen
  • Sichere Softwareentwicklungspraktiken befolgen

• Sicherheitspatches für Dataproc-Images veröffentlichen . Dazu zählen:

  • Patches für die in Dataproc-Images enthaltenen Basisbetriebssysteme (Ubuntu, Debian und Rocky Linux)

• Integrationen für Connect, Identity and Access Management, Cloud-Audit-Logs, Cloud Key Management Service, Security Command Center und andere bereitstellen. Google Cloud

• Administrativen Zugriff von Google auf Kundencluster für vertragliche Supportzwecke mit Access Transparency und Access Approval beschränken und protokollieren

• Best Practices für die Konfiguration von Dataproc und der in Dataproc-Images enthaltenen Open-Source- Komponenten empfehlen

Dataproc: Pflichten der Kunden

• Verwalten der Arbeitslasten, einschließlich Anwendungscode, benutzerdefinierter Images, Daten, IAM-Richtlinie und der von Ihnen ausgeführten Cluster

• Cluster mit aktuellen Dataproc-Images ausführen, indem Sie die neueste Sub-Minor-Version des Images, Ihre benutzerdefinierten Images umgehend aktualisieren und so bald wie möglich zur neuesten Minor-Version des Images migrieren. Die Image-Metadaten enthalten das previous-subminor Label, das auf true gesetzt ist, wenn der Cluster nicht die neueste Sub-Minor-Version des Images verwendet. Informationen zum Aufrufen von Image-Metadaten finden Sie unter Wichtige Hinweise zu Versionen.

• Google auf Anfrage Details zur Umgebung zur Verfügung stellen, damit Probleme behoben werden können

• Best Practices für die Konfiguration von Dataproc und anderen Google Cloud Diensten sowie für die Konfiguration von Open-Source-Komponenten befolgen, die in Dataproc-Images enthalten sind