Spanner è un servizio di database multi-modello completamente gestito e distribuito a livello globale, progettato per l'alta disponibilità e la scalabilità estrema. In quanto servizio gestito su Google Cloud, le responsabilità relative alla sicurezza e alla resilienza operativa sono condivise tra te e Google.
Questo documento delinea la divisione delle responsabilità per garantire la sicurezza, la conformità e il funzionamento delle tue istanze e dei tuoi dati Spanner.
Panoramica del modello di responsabilità condivisa
In un modello di responsabilità condivisa, Google gestisce la sicurezza del servizio Spanner, dell'infrastruttura e della rete globale sottostante, mentre il cliente è responsabile della sicurezza e della gestione all'interno dell'istanza Spanner, inclusi dati, accesso alle applicazioni e configurazione.
| Area di responsabilità | Google Cloud | Tu |
|---|---|---|
| Infrastruttura | Responsabile | Non responsabile |
| Configurazione e sicurezza del servizio | Condiviso | Condiviso |
| Accesso ai dati e alle applicazioni | Non responsabile | Responsabile |
Responsabilità di Google
Google è responsabile della protezione dell'infrastruttura che esegue il servizio Spanner. Sono inclusi i componenti fisici, hardware, di rete e operativi.
Infrastruttura e disponibilità globale
Sicurezza fisica:protezione delle regioni, delle zone e dei data center fisici globali in cui si trova l'infrastruttura Spanner.
Networking:fornisce la rete sicura e affidabile necessaria per la coerenza e la replica globali di Spanner.
Hardware e software:gestione dell'hardware, dei sistemi operativi host e del software del servizio Spanner stesso. che include patch, manutenzione e aggiornamenti automatici.
Gestione e resilienza dei servizi
Alta disponibilità e scalabilità:garantisce lo SLA (accordo sul livello del servizio) del 99, 999% (per le configurazioni multiregionali) gestendo automaticamente scalabilità, replica e failover in regioni e zone. Spanner è progettato per tempi di inattività pianificati pari a zero. Un'istanza Spanner può essere esclusa dal Service Level Agreement (SLA) di Spanner se le configurazioni controllate dall'utente causano un'interruzione. Per visualizzare queste configurazioni, consulta le linee guida operative di Spanner.
Durabilità:garantire la durabilità dei dati, inclusi i backup archiviati nel sistema Spanner.
Integrità del software del database:creazione, manutenzione e aggiornamento del software Spanner.
Conformità e protezione dei dati
Crittografia at-rest e in transito:garantisce che i dati siano criptati per impostazione predefinita.
Residenza dei dati:consente di gestire il posizionamento dei dati all'interno di regioni o configurazioni specifiche (ad esempio, a doppia regione, multiregionale).
Operazioni Google Cloud Dedicated:per i deployment Google Cloud Dedicated, Google fornisce l'infrastruttura, la build software e gli aggiornamenti, mentre i nostri partner locali di fiducia gestiscono e supportano i servizi cloud. Google può fornire assistenza di secondo livello ai partner per eseguire la manutenzione e risolvere i problemi.
Le tue responsabilità
Quando utilizzi Spanner, mantieni il controllo principale su dati, configurazione, gestione dell'accesso e sviluppo di applicazioni.
Gestione di dati e schemi
Contenuti e sicurezza dei dati:responsabilità per i contenuti dei dati archiviati in Spanner, inclusi sensibilità, conformità normativa e integrità.
Progettazione e ottimizzazione dello schema: definizione e gestione dello schema del database, inclusa la creazione di tabelle, indici e la gestione di tabelle interleaved per migliorare il rendimento.
Ottimizzazione delle query:progettazione di query efficienti per garantire le prestazioni e gestire l'allocazione delle risorse. Ad esempio, la gestione degli intervalli di transazioni e la comprensione del comportamento di blocco sono fondamentali.
Gestione di accessi e identità
Configurazione IAM: definizione e gestione di ruoli e autorizzazioni Identity and Access Management (IAM) per le entità (utenti e service account) che accedono all'istanza e ai database Spanner.
Controllo dell'controllo dell'accesso granulare (FGAC): se implementato, il cliente è responsabile della definizione, della gestione e della riassegnazione dell'accesso ai ruoli e ai privilegi del database.
Audit logging: monitoraggio e analisi di Cloud Audit Logs per monitorare l'accesso e le azioni eseguite sull'istanza e sui dati Spanner.
Resilienza operativa e ripristino di emergenza
Gestione della configurazione: gestione della configurazione dell'istanza Spanner, dei conteggi dei nodi e delle implementazioni regionali.
Servizio Backup e DR: implementazione di una strategia per il ripristino di emergenza che includa l'archiviazione dei dati al di fuori dell'istanza Spanner stessa (ad esempio in una regione, un'istanza o uno spazio di archiviazione esterno separati) per proteggere da scenari come l'eliminazione accidentale dell'istanza o il danneggiamento dei dati.
(Facoltativo) Integrazione delle modifiche in tempo reale: Configurazione e gestione dei job Dataflow o di altri consumer che utilizzano le modifiche in tempo reale di Spanner per lo streaming di eventi.
Configurazione di sicurezza
Chiavi di crittografia gestite dal cliente (CMEK): se utilizzate, gestiscono le chiavi e le autorizzazioni di Cloud Key Management Service (Cloud KMS) utilizzate per criptare i dati Spanner.
Tagging di richieste e transazioni: applicazione di tag a query e transazioni per migliorare l'osservabilità e il monitoraggio del rendimento.
Monitoraggio e avvisi: configurazione e ottimizzazione del monitoraggio personalizzato, esportazione delle metriche e configurazione degli avvisi per rilevare il peggioramento delle prestazioni o anomalie di sicurezza.
Riepilogo delle responsabilità
La tabella seguente riepiloga le responsabilità condivise per componenti operativi e di sicurezza specifici:
| Componente | La nostra responsabilità | Tua responsabilità |
|---|---|---|
| Dati e accesso degli utenti | Isolamento fisico e protezione dell'archiviazione sottostante. | Gestione di IAM e FGAC. Definizione di ruoli e privilegi del database. |
| Sicurezza della rete | Percorsi di rete, firewall e segmentazione dell'infrastruttura di servizio Spanner. | Configurazione di Virtual Private Cloud (VPC), Private Service Connect e regole di rete lato client. |
| Servizio di backup e DR | Replica multiregionale e disponibilità del servizio del 99,999%. Funzionalità di recupero point-in-time (PITR). | Implementazione di una soluzione di ripristino di emergenza per archiviare i dati al di fuori dell'istanza Spanner principale e gestione del failover dell'applicazione a un nuovo database. |
| Crittografia | Crittografia dei dati at-rest e in transito per impostazione predefinita. | Gestione e rotazione delle chiavi CMEK, se utilizzate. |
| Backup | Gestione dell'infrastruttura del servizio di backup e garanzia della durabilità del backup. | Definizione delle pianificazioni di backup, gestione e accesso ai backup e copia dei backup in altre istanze/regioni. |
| Istanza Spanner | Provisioning e gestione dell'infrastruttura sottostante. | Configurazione del numero e delle posizioni dei nodi. |
| Osservabilità | Fornire tabelle di sistema (ad esempio SPANNER_SYS) per la diagnostica. |
Implementazione del monitoraggio personalizzato, sfruttamento dei tag di richiesta/transazione e integrazione con strumenti di monitoraggio esterni (ad esempio Prometheus e Grafana). |
| Applicazioni client | Fornire librerie client e API Spanner. | Sviluppo, deployment e protezione di tutte le applicazioni client che interagiscono con il database. |
| Gestione della configurazione | Controllare l'utilizzo rispetto alle quote e presentare le richieste in base alle necessità. Utilizzo di strumenti come Terraform per gestire le risorse di database e istanze. |