這份文件說明 Google 和Google Cloud 客戶共同承擔的安全責任。在 Google Kubernetes Engine (GKE) 上執行重要業務應用程式時,需要多方各司其職,雖然這份文件並非詳盡無遺,但有助於您瞭解自身責任。
這份文件適用於安全專家,他們負責定義、管理及實作政策和程序,以防組織資料遭到未經授權的存取。如要進一步瞭解我們在 Google Cloud 內容中提及的常見角色和範例工作,請參閱「常見的 GKE 使用者角色和工作」。
Google 的責任
- 保護底層基礎架構,諸如硬體、韌體、核心、作業系統、儲存空間、網路等。包括預設加密靜態資料、提供額外的客戶管理磁碟加密、加密傳輸中的資料、使用專為安全設計的硬體、鋪設私有網路線、防止實體存取資料中心、使用 Shielded Nodes 保護開機載入程式和核心,防止遭到修改,以及遵循安全的軟體開發做法。
- 強化和修補節點的作業系統,例如 Container-Optimized OS 或 Ubuntu。GKE 會及時提供這些映像檔的任何修補程式。如果啟用自動升級功能,或是使用發布管道,系統就會自動部署這些更新。這是容器底下的 OS 層,與容器中執行的作業系統不同。
- 透過 Container Threat Detection,在核心中建構及運作容器專屬威脅的威脅偵測功能 (Security Command Center 另行收費)。
- 強化及修補 Kubernetes 節點元件。升級 GKE 節點版本時,所有 GKE 管理的元件都會自動升級。包括:
- 以 vTPM 為基礎的信任啟動機制,用於核發 kubelet TLS 憑證,以及自動輪替憑證
- 強化 kubelet 設定 符合 CIS 基準
- 適用於工作負載身分的 GKE 中繼資料伺服器
- GKE 的原生容器網路介面外掛程式和 Calico for NetworkPolicy
- GKE Kubernetes 儲存空間整合,例如 CSI 驅動程式
- GKE 記錄和監控代理程式
- 強化控制層並修補控制層。控制層包括控制層 VM、API 伺服器、排程器、控制器管理工具、叢集 CA、TLS 憑證核發和輪替、信任根金鑰材料、IAM 驗證器和授權者、稽核記錄設定、etcd,以及各種其他控制器。所有控制層元件都會在 Google 運作的 Compute Engine 執行個體上執行。這些執行個體是單一租戶,也就是說,每個執行個體只會為一個客戶執行控制層及其元件。
- 提供 Connect、Identity and Access Management、Cloud 稽核記錄、Google Cloud Observability、Cloud Key Management Service、Security Command Center 等服務適用的 Google Cloud 整合功能。
- 基於合約規定的支援義務,透過資料存取透明化控管機制,限制並記錄 Google 管理員對客戶叢集的存取活動。
客戶責任
- 維護工作負載,包括應用程式程式碼、建構檔案、容器映像檔、資料、角色式存取控管 (RBAC)/IAM 政策,以及您執行的容器和 Pod。
- 輪替叢集憑證。
- 讓標準節點集區加入自動升級。
- 在下列情況下,請在貴機構的修補時間表內,手動升級叢集和節點集區,以修正安全性弱點:
- 由於維護政策等因素,自動升級作業已延後。
- 您必須先套用修補程式,才能在所選發布管道中使用。詳情請參閱「從較新的管道執行修補程式版本」。
- 使用安全防護管理資訊主頁和 Google Cloud Observability 等技術,監控叢集和應用程式,並回應任何快訊和事件。
- 提供所需的環境詳細資料,以利 Google 進行疑難排解。
- 確保叢集已啟用記錄和監控功能。如果您未啟用記錄和監控功能,且支援人員無法存取這些記錄,我們將盡力提供支援。
後續步驟
- 閱讀 GKE 安全性總覽。