Modello di responsabilità condivisa Dataproc

L'esecuzione di carichi di lavoro mission critical su Dataproc richiede che più parti si assumano responsabilità diverse. Sebbene non sia un elenco esaustivo, questa pagina elenca le responsabilità di Google e del cliente.

Dataproc: responsabilità di Google

• Protezione dell'infrastruttura sottostante, inclusi hardware, firmware, kernel, sistema operativo, spazio di archiviazione, rete e altro. È incluso quanto segue:

  • Crittografia dei dati at-rest per impostazione predefinita
  • Fornitura di una crittografia del disco aggiuntiva gestita dal cliente
  • Crittografia dei dati in transito
  • Utilizzo di hardware progettato su misura
  • Posa di cavi di rete privata
  • Protezione dei data center dall'accesso fisico
  • Protezione del bootloader e del kernel da modifiche utilizzando i nodi schermati
  • Fornitura di protezione di rete con i Controlli di servizio VPC
  • Seguire le pratiche di sviluppo di software sicuro

• Release di patch di sicurezza per le immagini Dataproc . È incluso quanto segue:

  • Patch per i sistemi operativi di base inclusi nelle immagini Dataproc (Ubuntu, Debian e Rocky Linux)
  • Patch e correzioni disponibili per i componenti open source inclusi nelle immagini Dataproc.

• Fornitura di Google Cloud integrazioni per Connect, Identity and Access Management, Cloud Audit Logs, Cloud Key Management Service, Security Command Center e altri.

• Limitazione e registrazione dell'accesso amministrativo di Google ai cluster dei clienti per scopi di assistenza contrattuale con Access Transparency e Approvazione accesso

• Consigli sulle best practice per la configurazione di Dataproc e dei componenti open source inclusi nelle immagini Dataproc

Dataproc: responsabilità del cliente

• Manutenzione dei carichi di lavoro, inclusi codice dell'applicazione, immagini personalizzate, dati, criteri IAM e cluster in esecuzione

• Esecuzione dei cluster su immagini Dataproc aggiornate utilizzando la versione immagine secondaria più recente, aggiornando tempestivamente le immagini personalizzate ed eseguendo la migrazione alla versione immagine secondaria più recente non appena possibile. I metadati dell'immagine includono un' previous-subminoretichetta, impostata su truese il cluster non utilizza la versione immagine secondaria più recente. Per informazioni su come visualizzare i metadati dell'immagine, consulta Note importanti sul controllo delle versioni.

• Fornitura a Google dei dettagli dell'ambiente quando richiesto per la risoluzione dei problemi

• Seguire le best practice per la configurazione di Dataproc e di altri Google Cloud servizi, nonché per la configurazione dei componenti open source inclusi nelle immagini Dataproc