Cloud Workstations 的安全性由 Google 和客户(即您)共同负责。Google 会管理 Cloud Workstations 基础设施的安全性,并提供各种工具和控制措施来帮助您保护云中的工作负载。
本文档详细介绍了在此共担责任模型中,Google 和您各自承担的主要安全责任。
Google 责任
我们的责任包括:
保护基础架构。Google 负责为其服务提供安全的基础架构,包括数据中心的物理安全、网络安全和应用安全。这包括遵守适用的业界标准和法规。
加强默认映像安全并为其打补丁。
- Google 会加强 Cloud Workstations 预配置映像所使用的容器映像的操作系统的安全并对其进行维护。这包括应用来自上游开源维护者的安全补丁和更新。
- Google 会自动强化、修补和更新在 Cloud Workstations 容器下运行的虚拟机的操作系统。这些虚拟机运行 Container-Optimized OS。
维护平台安全。Google 负责维护 Cloud Workstations 平台的安全性。此责任包括管理平台级访问权限控制、监控安全事件以及响应安全事件。Google 还提供工具和控件,供您管理特定的安全设置和配置。
保持合规性。Google 会遵守相关的数据保护法律法规。
提供安全集成。
- Google 为 Identity and Access Management (IAM)、Cloud Audit Logs、Google Cloud Observability、Cloud Key Management Service、Security Command Center 等服务提供集成。
- 使用 Access Transparency 和 Access Approval 限制和记录 Google 对客户集群的管理员权限,以便根据合同提供支持。
您的职责
作为客户,您应承担的责任包括:
遵守适用于您的应用场景的法律法规。您有责任了解贵企业的特定安全和监管要求,并确保您对 Cloud Workstations 的使用符合这些要求。
选择合适的工位图片。Cloud Workstations 针对各种使用场景提供预配置的映像。您有责任验证所选映像中除基本操作系统和编辑器之外的所有软件是否符合您的安全和监管要求。
如需了解详情,请参阅自定义容器映像。
使用最新版本的 Cloud Workstations 基本映像。 Cloud Workstations 提供预构建的容器映像,以简化其服务的使用。Google 会创建新版本的基础映像,以解决已发现的安全漏洞。您有责任确保工作站配置使用最新映像版本,方法是更新配置以自动拉取最新版本或手动升级。
如需了解详情,请参阅自动执行容器映像重建。
管理访问权限控制。您负责管理对自己的数据、服务和工作站实例的访问权限控制。这包括管理用户访问权限控制、身份验证控制和授权控制,以及保护您自己的应用和数据的安全。
您还负责管理对项目中存储的用于支持工作站实例的资源(例如 Compute Engine 实例和永久性磁盘)的访问控制。
如需详细了解用户管理的资源,请参阅 Cloud Workstations 架构。
保护应用和源代码。您需要负责保护在 Cloud Workstations 平台上访问的自己的应用和源代码,包括实施安全编码实践并定期测试是否存在漏洞。
如需了解详情,请参阅设置安全最佳实践、使用 CMEK 加密工作站资源和配置 VPC Service Controls 和专用集群。
监控安全事件。您需负责监控自己的应用是否存在安全事件,并在必要时向 Google 报告事件。
如需了解详情,请参阅 Cloud Workstations 资源监控和 Cloud Workstations 审核日志记录。
后续步骤
- 详细了解 Google Cloud 上的共担责任和命运共同体。
- 了解如何保护您的软件供应链。