Spanner ist ein vollständig verwalteter, global verteilter Multimodell-Datenbankdienst, der für Hochverfügbarkeit und extreme Skalierbarkeit entwickelt wurde. Als verwalteter Dienst auf Google Cloudwerden die Verantwortlichkeiten für Sicherheit und operative Stabilität zwischen Ihnen und Google geteilt.
In diesem Dokument wird die Aufteilung der Verantwortung beschrieben, um die Sicherheit, Compliance und den Betrieb Ihrer Spanner-Instanzen und -Daten zu gewährleisten.
Übersicht über das Modell der geteilten Verantwortung
Im Modell der gemeinsamen Verantwortung verwaltet Google die Sicherheit des Spanner-Dienstes, der Infrastruktur und des zugrunde liegenden globalen Netzwerks. Der Kunde ist für die Sicherheit und Verwaltung in der Spanner-Instanz verantwortlich, einschließlich Daten, Anwendungszugriff und Konfiguration.
| Verantwortungsbereich | Google Cloud | Ich |
|---|---|---|
| Infrastruktur | Responsible | Nicht verantwortlich |
| Dienstkonfiguration und Sicherheit | Freigegeben | Freigegeben |
| Daten- und Anwendungszugriff | Nicht verantwortlich | Responsible |
Verantwortlichkeiten von Google
Google ist für den Schutz der Infrastruktur verantwortlich, auf der der Spanner-Dienst ausgeführt wird. Dazu gehören die physischen, Hardware-, Netzwerk- und Betriebskomponenten.
Infrastruktur und globale Verfügbarkeit
Physische Sicherheit:Schutz der globalen Regionen, Zonen und physischen Rechenzentren, in denen sich die Spanner-Infrastruktur befindet.
Netzwerk:Bereitstellung des sicheren und zuverlässigen Netzwerks, das für die globale Konsistenz und Replikation von Spanner erforderlich ist.
Hardware und Software:Verwalten der Hardware, der Hostbetriebssysteme und der Spanner-Dienstsoftware selbst. Dazu gehören automatisierte Patches, Wartung und Updates.
Dienstverwaltung und Ausfallsicherheit
Hohe Verfügbarkeit und Skalierung:Das SLA von 99, 999 % (für Konfigurationen mit mehreren Regionen) wird durch die automatische Verwaltung von Skalierung, Replikation und Failover über Regionen und Zonen hinweg gewährleistet. Spanner ist für geplante Ausfallzeiten von null konzipiert. Eine Spanner-Instanz kann vom Spanner-Service Level Agreement (SLA) ausgeschlossen werden, wenn nutzergesteuerte Konfigurationen einen Ausfall verursachen. Informationen zu diesen Konfigurationen finden Sie in den Betriebsrichtlinien für Spanner.
Langlebigkeit:Sicherstellung der Langlebigkeit von Daten, einschließlich Back-ups, die im Spanner-System gespeichert sind.
Integrität der Datenbanksoftware:Erstellen, Warten und Aktualisieren der Spanner-Software.
Compliance und Datenschutz
Verschlüsselung im Ruhezustand und bei der Übertragung:Daten werden standardmäßig verschlüsselt.
Datenstandort:Damit können Sie die Datenplatzierung in bestimmten Regionen oder Konfigurationen (z. B. dual-region oder multi-region) verwalten.
Google Cloud Dedicated-Vorgänge:Bei Google Cloud Dedicated-Bereitstellungen stellt Google die Infrastruktur, den Software-Build und die Updates bereit. Unsere lokalen vertrauenswürdigen Partner betreiben und unterstützen die Cloud-Dienste. Google kann Partnern bei der Wartung und Fehlerbehebung Unterstützung der zweiten Ebene bieten.
Ihre Verantwortlichkeit
Sie behalten die primäre Kontrolle über Ihre Daten, Konfiguration, Zugriffsverwaltung und Anwendungsentwicklung bei der Verwendung von Spanner.
Daten- und Schemamanagement
Dateninhalte und ‑sicherheit:Verantwortung für die in Spanner gespeicherten Dateninhalte, einschließlich ihrer Sensibilität, Einhaltung von Vorschriften und Integrität.
Schemadesign und ‑optimierung:Definieren und Verwalten des Datenbankschemas, einschließlich des Erstellens von Tabellen und Indexen sowie der Verwaltung von verschachtelten Tabellen zur Leistungssteigerung.
Abfrageoptimierung:Effiziente Abfragen entwerfen, um die Leistung zu optimieren und die Ressourcenzuweisung zu verwalten. So ist es beispielsweise wichtig, Transaktionsspannen zu verwalten und das Sperrverhalten zu verstehen.
Zugriffs- und Identitätsverwaltung
IAM-Konfiguration:Definieren und Verwalten von IAM-Rollen (Identity and Access Management) und ‑Berechtigungen für Principals (Nutzer und Dienstkonten), die auf die Spanner-Instanz und ‑Datenbanken zugreifen.
Detaillierte Zugriffssteuerung (Fine-Grained Access Control, FGAC):Wenn sie implementiert ist, ist der Kunde für die Definition, Verwaltung und erneute Gewährung des Zugriffs auf Datenbankrollen und ‑berechtigungen verantwortlich.
Audit-Logging:Cloud-Audit-Logs überwachen und analysieren, um Zugriffe und Aktionen zu verfolgen, die für die Spanner-Instanz und die Daten ausgeführt werden.
Operative Stabilität und Notfallwiederherstellung
Konfigurationsverwaltung: Verwalten der Spanner-Instanzkonfiguration, der Knotenzahlen und der regionalen Bereitstellungen.
Backup and DR Service:Implementieren Sie eine Strategie für die Notfallwiederherstellung, bei der Daten außerhalb der Spanner-Instanz selbst gespeichert werden (z. B. in einer separaten Region, Instanz oder einem externen Speicher), um sich vor Szenarien wie dem versehentlichen Löschen der Instanz oder Datenbeschädigung zu schützen.
(Optional) Integration von Änderungsstreams:Dataflow-Jobs oder andere Consumer konfigurieren und verwalten, die Spanner-Änderungsstreams für das Streamen von Ereignissen verwenden.
Sicherheitskonfiguration
Kundenverwaltete Verschlüsselungsschlüssel (CMEK):Wenn diese verwendet werden, verwalten Sie die Cloud Key Management Service-Schlüssel (Cloud KMS) und Berechtigungen, die zum Verschlüsseln der Spanner-Daten verwendet werden.
Anfrage- und Transaktions-Tagging:Anwenden von Tags auf Anfragen und Transaktionen, um die Beobachtbarkeit und die Leistungsüberwachung zu verbessern.
Monitoring und Benachrichtigungen:Benutzerdefiniertes Monitoring einrichten und optimieren, Messwerte exportieren und Benachrichtigungen konfigurieren, um Leistungsbeeinträchtigungen oder Sicherheitsanomalien zu erkennen.
Zusammenfassung der Verantwortlichkeiten
In der folgenden Tabelle werden die gemeinsamen Verantwortlichkeiten für bestimmte Betriebs- und Sicherheitskomponenten zusammengefasst:
| Komponente | Unsere Verantwortung | Ihre Verantwortung |
|---|---|---|
| Daten und Nutzerzugriff | Physische Isolation und Schutz des zugrunde liegenden Speichers. | IAM- und FGAC-Verwaltung. Datenbankrollen und ‑berechtigungen definieren. |
| Netzwerksicherheit | Netzwerkpfade, Firewalls und Segmentierung der Spanner-Dienstinfrastruktur. | Konfiguration von Virtual Private Cloud (VPC), Private Service Connect und clientseitigen Netzwerkregeln |
| Sicherung und Notfallwiederherstellung | Replikation über mehrere Regionen und 99,999% Verfügbarkeit des Dienstes. Funktion zur Wiederherstellung zu einem bestimmten Zeitpunkt (Point-in-Time Recovery, PITR). | Implementierung einer Notfallwiederherstellungslösung zum Speichern von Daten außerhalb der primären Spanner-Instanz und Verwaltung des Anwendungs-Failovers zu einer neuen Datenbank. |
| Verschlüsselung | Standardmäßige Verschlüsselung von ruhenden Daten und Daten bei der Übertragung. | Verwaltung und Rotation von CMEK-Schlüsseln, sofern verwendet. |
| Sicherungen | Verwaltung der Infrastruktur des Sicherungsdienstes und Sicherstellung der Dauerhaftigkeit von Sicherungen. | Sicherungszeitpläne definieren, Sicherungen verwalten und darauf zugreifen und Sicherungen auf andere Instanzen/Regionen kopieren. |
| Spanner-Instanz | Bereitstellung und Verwaltung der zugrunde liegenden Infrastruktur. | Konfigurieren Sie die Anzahl der Knoten und die Standorte. |
| Beobachtbarkeit | Bereitstellung von Systemtabellen (z. B. SPANNER_SYS) für die Diagnose. |
Benutzerdefiniertes Monitoring implementieren, Anfrage-/Transaktions-Tags nutzen und in externe Monitoring-Tools (z. B. Prometheus und Grafana) einbinden. |
| Clientanwendungen | Bereitstellung von Spanner-Clientbibliotheken und APIs. | Entwicklung, Bereitstellung und Sicherung aller Clientanwendungen, die mit der Datenbank interagieren. |
| Konfigurationsverwaltung | Nutzung im Vergleich zu Kontingenten prüfen und bei Bedarf Anfragen einreichen. Verwenden von Tools wie Terraform zum Verwalten von Datenbank- und Instanzressourcen. |