Cloud Deploy에서 비즈니스에 중요한 워크로드를 실행하려면 여러 당사자가 다양한 책임을 져야 합니다. 이 문서에 설명된 공유 책임 모델은 Google Cloud가 Cloud Deploy 서비스 자체와 기본 인프라의 보안을 책임지고 고객은 특정 전달 파이프라인, 구성, 데이터, Cloud Deploy를 사용하여 배포하는 애플리케이션을 비롯하여 Cloud Deploy 사용 방식의 보안을 책임진다는 점을 명확히 합니다.
이 페이지에는 전체 목록은 아니지만 Google Cloud와 고객의 각 책임이 나와 있습니다.
Google Cloud 책임
하드웨어, 펌웨어, 커널, 운영체제, 스토리지, 네트워크 등의 기본 인프라 보호
여기에는 다음이 포함됩니다.
- 데이터 센터의 물리적 보안, 저장 데이터 및 전송 중 데이터의 기본 암호화, 보안 네트워크 구성요소 보호
- VPC 서비스 제어를 사용하여 네트워크 보호 제공
- 안전한 소프트웨어 개발 관행을 따릅니다.
- 패치 및 강화 등 Cloud Deploy 서비스 컨트롤 플레인 (API, 백엔드, 스케줄러 등) 관리 및 보안
- Cloud Deploy 작업을 실행하기 위한 임시 격리 실행 환경을 제공합니다.
Identity and Access Management (IAM), Cloud 감사 로그 등을 위한 Google Cloud 통합을 제공합니다.
계약 상의 지원을 목적으로 액세스 투명성 및 액세스 승인을 사용하여 고객 리소스에 대한 Google Cloud 관리 액세스를 제한하고 이러한 모든 액세스를 로깅합니다.
삽입된 도구 버전이 Cloud Deploy 이미지와 호환되는지 확인
고객의 책임
애플리케이션 소스 코드, 구성 파일, 배포하는 모든 컨테이너 이미지를 보호합니다.
여기에는 보안 표준에 대한 이미지 적합성 평가, 지원되는 최신 이미지 버전 활용, 오픈소스 구성요소 및 전체 빌드 구성에 대한 권장사항 준수가 포함됩니다.
서드 파티 통합 토큰이 적절하게 보호되도록 합니다.
Cloud Deploy와 상호작용하는 모든 사용자, 그룹, 서비스 계정에 대해 최소 권한의 원칙에 따라 IAM을 구성합니다.
기본 서비스 계정 대신 전용 사용자 지정 서비스 계정을 사용하여 배포 파이프라인 및 기타 작업을 실행하는 것이 좋습니다.
빌드 아티팩트의 취약점 검사를 사용 설정하고 이에 따라 조치를 취하고 (예: Artifact Analysis 사용), 빌드 출처 데이터를 생성하고, 승인되고 검증된 이미지만 배포되도록 배포 정책을 구현합니다 (예: Binary Authorization 사용).
문제 해결을 위해 요청받을 경우 Google에 환경 세부정보 제공
다음 단계
- Google Cloud 공유 책임 모델에 대해 자세히 알아보기