セキュリティの責任の共有

Cloud Workstations のセキュリティは、Google とお客様の共同責任です。Google は Cloud Workstations のインフラストラクチャのセキュリティを管理し、クラウドでワークロードを保護するためのツールと制御を提供します。

このドキュメントでは、この共有モデルにおける Google とお客様の主なセキュリティ責任について詳しく説明します。

Google の責任

Google の責任は次のとおりです。

  • インフラストラクチャを保護します。Google は、データセンターの物理的セキュリティ、ネットワーク セキュリティ、アプリケーション セキュリティなど、サービスに安全なインフラストラクチャを提供する責任を担っています。これには、該当する業界標準と規制の遵守が含まれます。

  • デフォルト イメージを強化してパッチを適用します。

    • Google は、Cloud Workstations の事前構成済みイメージで使用されるコンテナ イメージのオペレーティング システムを強化し、維持します。これには、アップストリームのオープンソース メンテナーからのセキュリティ パッチとアップデートの適用が含まれます。
    • Google は、Cloud Workstations コンテナの下で実行される仮想マシンのオペレーティング システムを自動的に強化、パッチ適用、更新します。これらの仮想マシンは Container-Optimized OS を実行します。

  • プラットフォームのセキュリティを維持します。Google は、Cloud Workstations プラットフォームのセキュリティを維持する責任を負います。この責任には、プラットフォーム レベルのアクセス制御の管理、セキュリティ インシデントのモニタリング、セキュリティ イベントへの対応が含まれます。Google は、特定のセキュリティ設定と構成を管理するためのツールとコントロールも提供しています。

  • コンプライアンスを維持する。Google は、データ保護に関する関連法規の遵守を心がけています。

  • セキュリティ統合を提供します。

    • Google は、Identity and Access Management(IAM)、Cloud Audit Logs、Google Cloud Observability、Cloud Key Management Service、Security Command Center などとの統合を提供しています。
    • Google が契約上のサポート目的で、お客様のクラスタに管理者権限でアクセスすることを制限し、アクセスの透明性とアクセス承認を使用してログに記録する。

ユーザーの責務

お客様の責任は次のとおりです。

  • ユースケースに適用される法律や規制を遵守する。お客様は、ビジネスに固有のセキュリティと規制の要件を理解し、Cloud Workstations の使用がそれらの要件を満たしていることを確認する責任を負います。

  • 適切なワークステーション イメージを選択します。Cloud Workstations には、さまざまなユースケースに対応する事前構成済みイメージが用意されています。ベース OS とエディタ以外の、選択したイメージ内のすべてのソフトウェアがセキュリティ要件と規制要件を満たしていることを確認する責任はお客様にあります。

    詳細については、コンテナ イメージをカスタマイズするをご覧ください。

  • Cloud Workstations ベースイメージの最新バージョンを使用します。Cloud Workstations は、サービスの利用を簡素化するためにビルド済みのコンテナ イメージを提供します。Google は、特定されたセキュリティの脆弱性に対処するために、ベースイメージの新しいバージョンを作成します。ワークステーション構成で最新のイメージ バージョンを使用するようにするには、最新バージョンを自動的に pull するように構成を更新するか、手動でアップグレードする必要があります。

    詳細については、コンテナ イメージの再ビルドを自動化するをご覧ください。

  • アクセス制御を管理します。独自のデータ、サービス、ワークステーション インスタンスへのアクセス制御の管理は、お客様の責任で行っていただきます。これには、ユーザー アクセス、認証、承認制御の管理、独自のアプリケーションやデータの保護が含まれます。

    また、Compute Engine インスタンスや Persistent Disk など、ワークステーション インスタンスのバックアップに使用されるプロジェクトに保存されているリソースへのアクセス制御の管理もお客様の責任となります。

    ユーザー管理リソースの詳細については、Cloud Workstations のアーキテクチャをご覧ください。

  • アプリケーションとソースコードを保護します。安全なコーディング方法の実装や、脆弱性の定期的なテストなど、Cloud Workstations プラットフォームでアクセスされる独自のアプリケーションとソースコードを保護する必要があります。

    詳細については、セキュリティのベスト プラクティスを設定するCMEK を使用してワークステーション リソースを暗号化するVPC Service Controls とプライベート クラスタを構成するをご覧ください。

  • セキュリティ インシデントをモニタリングします。お客様の責任でアプリケーションにセキュリティ インシデントがないかモニタリングし、必要に応じて Google にインシデントを報告していただきます。

    詳細については、Cloud Workstations のリソース モニタリングCloud Workstations の監査ロギングをご覧ください。

次のステップ