Para ejecutar cargas de trabajo críticas para la empresa en Cloud Deploy, es necesario que varias partes asuman diferentes responsabilidades. El modelo de responsabilidad compartida que se describe en este documento aclara que Google Cloud es responsable de la seguridad del servicio Cloud Deploy y de su infraestructura subyacente, mientras que tú, el cliente, eres responsable de la seguridad del uso de Cloud Deploy, incluidas tus canalizaciones de entrega, configuraciones y datos específicos, así como las aplicaciones que implementes con Cloud Deploy.
Aunque no es una lista exhaustiva, en esta página se indican las responsabilidades de Google Cloud y del cliente.
Responsabilidades de Google Cloud
Protección de la infraestructura subyacente, incluido el hardware, el firmware, el kernel, el sistema operativo, el almacenamiento y la red.
En otros, se incluyen problemas relacionados con lo siguiente:
- Protección de la seguridad física de los centros de datos, cifrado predeterminado de los datos en reposo y en tránsito, y componentes de red seguros.
- Proporcionar protección de red mediante Controles de Servicio de VPC.
- Seguir prácticas de desarrollo de software seguras.
- Gestionar y proteger el plano de control del servicio Cloud Deploy (API, backend, programadores, etc.), incluidos los parches y el refuerzo.
- Proporciona entornos de ejecución efímeros y aislados para ejecutar operaciones de Cloud Deploy.
Proporcionar integraciones de Google Cloud para Gestión de Identidades y Accesos (IAM), Registros de auditoría de Cloud y otros.
Restringir el acceso administrativo de Google Cloud a los recursos de los clientes con fines de asistencia contractual, con Transparencia de acceso y Aprobación de acceso, y registrar todos los accesos de este tipo.
Asegurarse de que las versiones de las herramientas insertadas sean compatibles con la imagen de Cloud Deploy.
Responsabilidades del Cliente
Proteger el código fuente de tu aplicación, los archivos de configuración y todas las imágenes de contenedor que despliegues.
Esto incluye evaluar si las imágenes se ajustan a tus estándares de seguridad, aprovechar las versiones de imagen compatibles más recientes y seguir las prácticas recomendadas para los componentes de código abierto y la configuración general de la compilación.
Asegurarse de que los tokens de integración de terceros estén protegidos de forma adecuada.
Configurar IAM para todos los usuarios, grupos y cuentas de servicio que interactúen con Cloud Deploy, de acuerdo con el principio de mínimos privilegios.
Te recomendamos que uses cuentas de servicio específicas y definidas por el usuario para ejecutar las canalizaciones de implementación y otras operaciones, en lugar de cuentas de servicio predeterminadas.
Habilitar y tomar medidas en función del análisis de vulnerabilidades de los artefactos de compilación (por ejemplo, mediante Artifact Analysis), generar datos de procedencia de la compilación e implementar políticas de despliegue (por ejemplo, mediante la autorización binaria) para asegurarse de que solo se desplieguen imágenes autorizadas y verificadas.
Asegurarse de que las versiones de las herramientas insertadas sean compatibles con la imagen de Cloud Deploy al sustituir las versiones de las herramientas.
Proporcionar a Google detalles sobre el entorno cuando se soliciten para solucionar problemas.
Siguientes pasos
- Consulta más información sobre el modelo de responsabilidad compartida de Google Cloud.