Responsabilidad compartida de GKE

En esta página, se explican las responsabilidades de seguridad compartidas entre Google y losGoogle Cloud clientes. La ejecución de una aplicación fundamental para la empresa en Google Kubernetes Engine (GKE) requiere que varias partes tengan diferentes responsabilidades. Si bien esta página no es una lista exhaustiva, este documento puede ayudarte a comprender tus responsabilidades.

Este documento está dirigido a los especialistas en seguridad que definen, rigen e implementan políticas y procedimientos para proteger los datos de una organización del acceso no autorizado. Para obtener más información sobre los roles comunes y las tareas de ejemplo a las que hacemos referencia en el contenido de Google Cloud , consulta Roles y tareas comunes de los usuarios de GKE.

Las responsabilidades de Google

• Proteger la infraestructura subyacente, que incluye hardware, firmware, kernel, SO, almacenamiento, red y mucho más Esto incluye los siguientes componentes: encriptar datos en reposo de forma predeterminada, proporcionar encriptación de disco adicional administrada por el cliente, encriptar datos en tránsito, usar hardware de diseño personalizado, cargar cables de red privada, proteger los centros de datos contra el acceso físico, proteger el bootloader y el kernel contra la modificación mediante Nodos protegidos y seguir prácticas de desarrollo seguro de software.
• Endurecer y aplicar parches al sistema operativo de los nodos, como Container-Optimized OS o Ubuntu. GKE pone inmediatamente a disposición cualquier parche para estas imágenes Si tienes habilitada la actualización automática o usas un canal de versiones, estas actualizaciones se implementan de forma automática. Esta es la capa de SO base de tu contenedor; no es lo mismo que el sistema operativo que se ejecuta en tus contenedores.
• Compilar y operar la detección de amenazas para amenazas específicas de contenedores en el kernel con Container Threat Detection (precio por separado con Security Command Center).
• Endurecer y aplicar parches a los componentes del nodo de Kubernetes. Todos los componentes administrados por GKE se actualizan de forma automática cuando actualizas las versiones de nodos de GKE. Incluye lo siguiente:
  • Mecanismo de arranque de confianza respaldado por vTPM para emitir certificados TLS de kubelet y rotación automática de los certificados
  • Configuración de kubelet endurecida con las comparativas de CIS
  • Servidor de metadatos de GKE para Workload Identity
  • El complemento de la interfaz de red de contenedor y Calico para NetworkPolicy nativo de GKE
  • Integraciones del almacenamiento de Kubernetes de GKE, como el controlador CSI
  • Agentes de registro y supervisión de GKE
• Endurecer y aplicar un parche al plano de control. El plano de control incluye la VM del plano de control, el servidor de la API, el programador, el administrador del controlador, la AC del clúster, la emisión y la rotación del certificado TLS, el material de claves de la raíz de confianza, el autenticador y el autorizador de IAM, la configuración del registro de auditoría, etcd y muchos otros controladores. Todos los componentes del plano de control se ejecutan en instancias de Compute Engine operadas por Google. Estas instancias son un usuario único, lo que significa que cada instancia ejecuta el plano de control y sus componentes para un solo cliente.
• Proporciona Google Cloud integraciones para Connect, Identity and Access Management, Registros de auditoría de Cloud, Google Cloud Observability, Cloud Key Management Service, Security Command Center y otros.
• Restringir y registrar el acceso de administrador de Google a los clústeres del cliente para obtener asistencia contractual con la Transparencia de acceso.

Las responsabilidades del cliente

• Mantener tus cargas de trabajo, incluido el código de la aplicación, los archivos de compilación, las imágenes del contenedor, los datos, el control de acceso basado en roles (RBAC)/la política de IAM, y los contenedores y pods que ejecutas.
• Rota las credenciales del clúster.
• Mantén los grupos de nodos de Standard inscritos en las actualizaciones automáticas.
• En las siguientes situaciones, actualiza manualmente tus clústeres y grupos de nodos para corregir las vulnerabilidades dentro de los plazos de aplicación de parches de tu organización:
  • Las actualizaciones automáticas se posponen debido a factores como las políticas de mantenimiento.
  • Debes aplicar un parche antes de que esté disponible en el canal de versiones seleccionado. Para obtener más información, consulta Ejecuta versiones de parche desde un canal más reciente.
• Supervisa el clúster y las aplicaciones, y responde a las alertas y los incidentes con tecnologías como el panel de postura de seguridad y Google Cloud Observability.
• Proporcionar detalles del entorno a Google cuando se solicite para solucionar problemas.
• Asegurarse de que Logging y Monitoring estén habilitados en los clústeres. Sin registros, la asistencia está disponible según el criterio del mejor esfuerzo

¿Qué sigue?

• Lee la descripción general de la seguridad de GKE.