Menjalankan workload yang penting bagi bisnis di Cloud Deploy mengharuskan beberapa pihak mengemban tanggung jawab yang berbeda-beda. Model tanggung jawab bersama yang dijelaskan dalam dokumen ini menjelaskan bahwa Google Cloud bertanggung jawab atas keamanan layanan Cloud Deploy itu sendiri dan infrastruktur dasarnya, sementara Anda, pelanggan, bertanggung jawab atas keamanan dalam penggunaan Cloud Deploy, termasuk pipeline pengiriman, konfigurasi, data, dan aplikasi tertentu yang Anda deploy menggunakan Cloud Deploy.
Meskipun bukan daftar lengkap, halaman ini mencantumkan tanggung jawab masing-masing Google Cloud dan pelanggan.
Tanggung Jawab Google Cloud
Melindungi infrastruktur dasar, termasuk hardware, firmware, kernel, sistem operasi, penyimpanan, dan jaringan.
Ini mencakup hal-hal berikut:
- Melindungi keamanan fisik pusat data, enkripsi default data saat tidak aktif dan dalam pengiriman, serta komponen jaringan yang aman.
- Menyediakan perlindungan jaringan menggunakan Kontrol Layanan VPC.
- Mengikuti praktik pengembangan software yang aman.
- Mengelola dan mengamankan bidang kontrol layanan Cloud Deploy (API, backend, penjadwal, dll.), termasuk patching dan penguatan.
- Menyediakan lingkungan eksekusi sementara dan terisolasi untuk menjalankan operasi Cloud Deploy.
Menyediakan integrasi Google Cloud untuk Identity and Access Management (IAM), Cloud Audit Logs, dan lainnya.
Membatasi akses administratif Google Cloud ke resource pelanggan untuk tujuan dukungan kontrak, dengan Transparansi Akses dan Persetujuan Akses, serta mencatat semua akses tersebut.
Memastikan bahwa versi alat tersemat kompatibel pada image Cloud Deploy.
Tanggung Jawab Pelanggan
Mengamankan kode sumber aplikasi, file konfigurasi, dan semua image container yang Anda deploy.
Hal ini mencakup evaluasi kesesuaian image untuk standar keamanan Anda, memanfaatkan versi image terbaru yang didukung, dan mengikuti praktik terbaik untuk komponen open source dan konfigurasi build secara keseluruhan.
Memastikan token integrasi pihak ketiga dilindungi dengan benar.
Mengonfigurasi IAM untuk semua pengguna, grup, dan akun layanan yang berinteraksi dengan Cloud Deploy, sesuai dengan prinsip hak istimewa terendah.
Sebaiknya gunakan akun layanan khusus yang ditentukan pengguna untuk menjalankan pipeline deployment dan operasi lainnya, bukan akun layanan default.
Mengaktifkan dan menindaklanjuti pemindaian kerentanan untuk artefak build (misalnya, menggunakan Analisis Artefak), membuat data asal-usul build, dan menerapkan kebijakan deployment (misalnya, menggunakan Otorisasi Biner) untuk memastikan hanya image yang diotorisasi dan diverifikasi yang di-deploy.
Memastikan bahwa versi alat tersemat kompatibel pada image Cloud Deploy, saat mengganti versi alat.
Memberikan detail lingkungan kepada Google saat diminta untuk tujuan pemecahan masalah.
Langkah berikutnya
- Baca lebih lanjut model tanggung jawab bersama Google Cloud.