מודל האחריות המשותפת ב-Dataproc

כדי להריץ עומסי עבודה קריטיים לעסק ב-Dataproc, נדרשים כמה צדדים שנושאים באחריות שונה. בדף הזה מפורטים תחומי האחריות של Google ושל הלקוח.

Dataproc: האחריות של Google

• הגנה על התשתית הבסיסית, כולל חומרה, קושחה, ליבת מערכת ההפעלה, מערכת הפעלה, אחסון, רשת ועוד. למשל:

  • הצפנה של נתונים באחסון כברירת מחדל
  • הצפנת דיסקים נוספת בניהול הלקוח
  • הצפנת נתונים במעבר
  • שימוש בחומרה שתוכננה בהתאמה אישית
  • הנחת כבלים של רשת פרטית
  • הגנה על מרכזי נתונים מפני גישה פיזית
  • הגנה על טוען האתחול והליבה מפני שינויים באמצעות צמתים מוגנים
  • הגנה על הרשת באמצעות VPC Service Controls
  • פעולה בהתאם לשיטות מומלצות לפיתוח תוכנה מאובטח

• פרסום תיקוני אבטחה לקובצי אימג' של Dataproc . למשל:

  • תיקוני אבטחה למערכות ההפעלה הבסיסיות שכלולות בקובצי האימג' של Dataproc (Ubuntu,‏ Debian ו-Rocky Linux)
  • תיקוני אבטחה ותיקונים אחרים שזמינים עבור רכיבי קוד פתוח שכלולים בתמונות של Dataproc

• השירות מספק Google Cloud שילובים עם Connect, ניהול זהויות והרשאות גישה, יומני ביקורת של Cloud,‏ Cloud Key Management Service,‏ Security Command Center ועוד.

• הגבלת גישת אדמין של Google לאשכולות של לקוחות ורישום הגישה למטרות תמיכה חוזיות באמצעות Access Transparency ו-Access Approval

• המלצות לשיטות מומלצות להגדרת Dataproc ורכיבי הקוד הפתוח שכלולים בתמונות Dataproc

Dataproc: באחריות הלקוח

• תחזוקה של עומסי העבודה, כולל קוד האפליקציה, תמונות מותאמות אישית, נתונים, מדיניות IAM ואשכולות שמופעלים

• הפעלת אשכולות בתמונות Dataproc עדכניות באמצעות גרסת המשנה האחרונה של התמונה, רענון מהיר של התמונות בהתאמה אישית ומעבר לגרסת המשנה האחרונה של התמונה בהקדם האפשרי. המטא-נתונים של התמונה כוללים את התווית previous-subminor, שמוגדרת לערך true אם האשכול לא משתמש בגרסה המשנית האחרונה של התמונה. במאמר הערות חשובות לגבי ניהול גרסאות מוסבר איך צופים במטא-נתונים של תמונות.

• מסירת פרטים על הסביבה ל-Google כשמתבקשים לעשות זאת לצורך פתרון בעיות

• הקפדה על שיטות מומלצות להגדרה של Dataproc ושירותים אחרים של Google Cloud Google Cloud, ולהגדרה של רכיבי קוד פתוח שכלולים בתמונות של Dataproc