La ejecución de cargas de trabajo fundamentales para la empresa en Cloud Deploy requiere que varias partes asuman diferentes responsabilidades. El modelo de responsabilidad compartida que se describe en este documento aclara que Google Cloud es responsable de la seguridad del servicio de Cloud Deploy en sí y de su infraestructura subyacente, mientras que tú, el cliente, eres responsable de la seguridad en la forma en que se usa Cloud Deploy, incluidos tus segmentos de tuberías de entrega, configuraciones, datos y las aplicaciones que implementas con Cloud Deploy específicos.
Si bien no es una lista exhaustiva, en esta página se enumeran las responsabilidades respectivas de Google Cloud y el cliente.
Responsabilidades de Google Cloud
Proteger la infraestructura subyacente, que incluye hardware, firmware, kernel, sistema operativo, almacenamiento y red
Estas son algunas de ellas:
- Protección de la seguridad física de los centros de datos, encriptación predeterminada de los datos en reposo y en tránsito, y componentes de red seguros
- Proporcionar protección de red con los Controles del servicio de VPC
- Seguir prácticas de desarrollo de software seguras
- Administrar y proteger el plano de control del servicio de Cloud Deploy (API, backend, programadores, etcétera), lo que incluye la aplicación de parches y el fortalecimiento
- Proporciona entornos de ejecución efímeros y aislados para ejecutar operaciones de Cloud Deploy.
Proporciona integraciones de Google Cloud para Identity and Access Management (IAM), Cloud Audit Logs y otros.
Restringir el acceso administrativo de Google Cloud a los recursos del cliente para brindar asistencia contractual, con la Transparencia de acceso y la Aprobación de acceso, y registrar todo ese acceso
Asegurarse de que las versiones de las herramientas integradas sean compatibles con la imagen de Cloud Deploy
Responsabilidades del Cliente
Protege el código fuente de tu aplicación, los archivos de configuración y todas las imágenes de contenedores que implementes.
Esto incluye evaluar la idoneidad de las imágenes para tus estándares de seguridad, aprovechar las versiones de imágenes compatibles más recientes y seguir las prácticas recomendadas para los componentes de código abierto y la configuración general de la compilación.
Garantizar que los tokens de integración de terceros estén protegidos de forma adecuada
Configurar IAM para todos los usuarios, grupos y cuentas de servicio que interactúan con Cloud Deploy, de acuerdo con el principio de privilegio mínimo
Te recomendamos que uses cuentas de servicio específicas y definidas por el usuario para ejecutar canalizaciones de implementación y otras operaciones, en lugar de cuentas de servicio predeterminadas.
Habilita y toma medidas en función del análisis de vulnerabilidades de los artefactos de compilación (por ejemplo, con Artifact Analysis), genera datos de procedencia de la compilación y aplica políticas de implementación (por ejemplo, con Autorización Binaria) para garantizar que solo se implementen imágenes autorizadas y verificadas.
Asegurarse de que las versiones de las herramientas integradas sean compatibles en la imagen de Cloud Deploy cuando se reemplazan las versiones de las herramientas
Proporcionar detalles del entorno a Google cuando se solicite para solucionar problemas
¿Qué sigue?
- Obtén más información sobre el modelo de responsabilidad compartida de Google Cloud.