Pour exécuter des charges de travail stratégiques sur Cloud Deploy, différentes responsabilités doivent être assumées par plusieurs groupes. Le modèle de responsabilité partagée décrit dans ce document précise que Google Cloud est responsable de la sécurité du service Cloud Deploy lui-même et de son infrastructure sous-jacente. En revanche, vous, le client, êtes responsable de la sécurité de l'utilisation de Cloud Deploy, y compris de vos pipelines de déploiement, configurations, données et applications spécifiques que vous déployez à l'aide de Cloud Deploy.
Bien que cette liste ne soit pas exhaustive, cette page répertorie les responsabilités respectives de Google Cloud et du client.
Responsabilités de Google Cloud
Protéger l'infrastructure sous-jacente, y compris le matériel, le micrologiciel, le noyau, le système d'exploitation, le stockage et le réseau
parmi lesquels :
- Protection de la sécurité physique des centres de données, chiffrement par défaut des données au repos et en transit, et composants réseau sécurisés.
- Fournir une protection réseau à l'aide de VPC Service Controls.
- Suivez les pratiques de développement logiciel sécurisé.
- Gérer et sécuriser le plan de contrôle du service Cloud Deploy (API, backend, planificateurs, etc.), y compris les correctifs et le renforcement
- Fournir des environnements d'exécution éphémères et isolés pour exécuter les opérations Cloud Deploy.
Fournir des intégrations Google Cloud pour Identity and Access Management (IAM), Cloud Audit Logging, etc.
Limiter l'accès administrateur Google Cloud aux ressources client à des fins d'assistance contractuelle, avec Access Transparency et Approbation de l'accès, et consigner tous ces accès.
Assurez-vous que les versions des outils intégrés sont compatibles avec l'image Cloud Deploy.
Responsabilités du client
Sécuriser le code source de votre application, les fichiers de configuration et toutes les images de conteneur que vous déployez.
Cela inclut l'évaluation de l'adéquation des images à vos normes de sécurité, l'utilisation des dernières versions d'images compatibles et le respect des bonnes pratiques pour les composants Open Source et la configuration globale de compilation.
Assurez-vous que les jetons d'intégration tiers sont correctement protégés.
Configurer IAM pour tous les utilisateurs, groupes et comptes de service interagissant avec Cloud Deploy, conformément au principe du moindre privilège.
Nous vous recommandons d'utiliser des comptes de service dédiés et spécifiés par l'utilisateur pour exécuter des pipelines de déploiement et d'autres opérations, au lieu des comptes de service par défaut.
Activer l'analyse des failles pour les artefacts de compilation et agir en conséquence (par exemple, à l'aide d'Artifact Analysis), générer des données de provenance de compilation et implémenter des règles de déploiement (par exemple, à l'aide de l'autorisation binaire) pour s'assurer que seules les images autorisées et vérifiées sont déployées.
S'assurer que les versions des outils intégrés sont compatibles avec l'image Cloud Deploy lorsque vous remplacez les versions des outils.
Partage avec Google des informations concernant l'environnement lorsqu'elles sont demandées à des fins de dépannage.
Étapes suivantes
- En savoir plus sur le modèle de responsabilité partagée de Google Cloud