O Spanner é um serviço de banco de dados multimodelo totalmente gerenciado e distribuído globalmente, projetado para alta disponibilidade e escala extrema. Como um serviço gerenciado no Google Cloud, as responsabilidades de segurança e resiliência operacional são compartilhadas entre você e o Google.
Este documento descreve a divisão de responsabilidade para garantir a segurança, a conformidade e a operação das suas instâncias e dados do Spanner.
Visão geral do modelo de responsabilidade compartilhada
Em um modelo de responsabilidade compartilhada, o Google gerencia a segurança do serviço, da infraestrutura e da rede global subjacente do Spanner, enquanto o cliente é responsável pela segurança e pelo gerenciamento na instância do Spanner, incluindo dados, acesso a aplicativos e configuração.
| Área de responsabilidade | Google Cloud | Você |
|---|---|---|
| Infraestrutura | IA responsável | Não responsável |
| Configuração e segurança do serviço | Compartilhado | Compartilhado |
| Acesso a dados e aplicativos | Não responsável | IA responsável |
Responsabilidades do Google
O Google é responsável por proteger a infraestrutura que executa o serviço Spanner. Isso inclui os componentes físicos, de hardware, de rede e operacionais.
Infraestrutura e disponibilidade global
Segurança física:proteção das regiões globais, zonas e data centers físicos em que a infraestrutura do Spanner está localizada.
Rede:oferece a rede segura e confiável necessária para a consistência e replicação globais do Spanner.
Hardware e software:gerenciamento do hardware, dos sistemas operacionais host e do próprio software de serviço do Spanner. Isso inclui aplicação de patches, manutenção e atualizações automatizadas.
Gerenciamento e resiliência de serviços
Alta disponibilidade e escalonamento:garante o SLA de 99, 999% (para configurações multirregionais) gerenciando automaticamente o escalonamento, a replicação e o failover em regiões e zonas. O Spanner foi projetado para zero tempo de inatividade planejado. Uma instância do Spanner pode ser excluída do contrato de nível de serviço (SLA) do Spanner se as configurações controladas pelo usuário causarem uma interrupção. Para conferir essas configurações, consulte as diretrizes operacionais do Spanner.
Durabilidade:garante a durabilidade dos dados, incluindo backups armazenados no sistema do Spanner.
Integridade do software de banco de dados:criar, manter e atualizar o software do Spanner.
Conformidade e proteção de dados
Criptografia em repouso e em trânsito:garante que os dados sejam criptografados por padrão.
Residência de dados:permite gerenciar o posicionamento de dados em regiões ou configurações específicas (por exemplo, birregional, multirregional).
Operações dedicadas do Google Cloud:para implantações dedicadas do Google Cloud, o Google fornece a infraestrutura, a criação de software e as atualizações. Nossos parceiros locais de confiança operam e oferecem suporte aos serviços de nuvem. O Google pode fornecer assistência de segundo nível aos parceiros para realizar a manutenção e resolver problemas.
Suas responsabilidades
Você mantém o controle principal sobre seus dados, configuração, gerenciamento de acesso e desenvolvimento de aplicativos ao usar o Spanner.
Gerenciamento de dados e esquemas
Conteúdo e segurança dos dados:responsabilidade pelo conteúdo dos dados armazenados no Spanner, incluindo sensibilidade, conformidade regulamentar e integridade.
Design e otimização de esquema:definir e gerenciar o esquema do banco de dados, incluindo a criação de tabelas, índices e o gerenciamento de tabelas intercaladas para melhorar a performance.
Otimização de consultas:criação de consultas eficientes para garantir a performance e gerenciar a alocação de recursos. Por exemplo, é fundamental gerenciar intervalos de transação e entender o comportamento de bloqueio.
Gerenciamento de acesso e identidade
Configuração do IAM:definição e gerenciamento de papéis e permissões do Identity and Access Management (IAM) para principais (usuários e contas de serviço) que acessam a instância e os bancos de dados do Spanner.
Controle de acesso granular (FGAC):se implementado, o cliente é responsável por definir, gerenciar e conceder novamente o acesso a papéis e privilégios do banco de dados.
Registro de auditoria:monitoramento e análise dos registros de auditoria do Cloud para rastrear o acesso e as ações realizadas na instância e nos dados do Spanner.
Resiliência operacional e recuperação de desastres
Gerenciamento de configuração: gerenciar a configuração da instância do Spanner, as contagens de nós e as implantações regionais.
Serviço de backup e DR:implemente uma estratégia de recuperação de desastres que inclua o armazenamento de dados fora da própria instância do Spanner (por exemplo, em uma região, instância ou armazenamento externo separado) para proteger contra cenários como exclusão acidental da instância ou corrupção de dados.
(Opcional) Integração de fluxos de alterações:configurar e gerenciar jobs do Dataflow ou outros consumidores que usam fluxo de alterações do Spanner para streaming de eventos.
Configuração de segurança
Chaves de criptografia gerenciadas pelo cliente (CMEK):se utilizadas, gerenciar as chaves e permissões do Cloud Key Management Service (Cloud KMS) usadas para criptografar os dados do Spanner.
Inclusão de tags em solicitações e transações:aplicação de tags a consultas e transações para melhorar a observabilidade e o monitoramento de performance.
Monitoramento e alertas:configure e ajuste o monitoramento personalizado, exporte métricas e configure alertas para detectar a degradação da performance ou anomalias de segurança.
Resumo das responsabilidades
A tabela a seguir resume as responsabilidades compartilhadas para componentes operacionais e de segurança específicos:
| Componente | Nossa responsabilidade | Sua responsabilidade |
|---|---|---|
| Acesso a dados e usuários | Isolamento físico e proteção do armazenamento subjacente. | Gerenciamento do IAM e do FGAC. Definir funções e privilégios do banco de dados. |
| Segurança de rede | Caminhos de rede, firewalls e segmentação da infraestrutura de serviços do Spanner. | Configurar a nuvem privada virtual (VPC), o Private Service Connect e as regras de rede do lado do cliente. |
| Serviço de backup e DR | Replicação multirregional e disponibilidade de 99,999% do serviço. Funcionalidade de recuperação pontual (PITR). | Implementar uma solução de recuperação de desastres para armazenar dados fora da instância principal do Spanner e gerenciar o failover do aplicativo para um novo banco de dados. |
| Criptografia | Criptografia em repouso e em trânsito por padrão. | Gerenciar e fazer a rotação das chaves CMEK, se usadas. |
| Backups | Gerenciar a infraestrutura do serviço de backup e garantir a durabilidade do backup. | Definir programações de backup, gerenciar e acessar backups e copiar backups para outras instâncias/regiões. |
| Instância do Spanner | Provisionamento e gerenciamento da infraestrutura subjacente. | Configurar as contagens de nós e os locais. |
| Observabilidade | Fornecer tabelas do sistema (por exemplo, SPANNER_SYS) para diagnóstico. |
Implementar o monitoramento personalizado, aproveitar tags de solicitação/transação e integrar com ferramentas de monitoramento externas (por exemplo, Prometheus e Grafana). |
| Aplicativos clientes | Fornecer bibliotecas de cliente e APIs do Spanner. | Desenvolver, implantar e proteger todos os aplicativos cliente que interagem com o banco de dados. |
| Gerenciamento de configurações | Verificar o uso em relação às cotas e enviar solicitações conforme necessário. Usar ferramentas como o Terraform para gerenciar recursos de banco de dados e instâncias. |