Google 和您 (客戶) 共同負責 Cloud Workstations 的安全。Google 會管理 Cloud Workstations 的基礎架構安全,並提供工具和控制項,協助您保護雲端工作負載。
本文將詳細說明在這個共責模式中,Google 和您各自的主要安全責任。
Google 的責任
我們的責任包括:
保護基礎架構。Google 負責為服務提供安全基礎架構,包括資料中心的實體安全、網路安全和應用程式安全。包括遵守適用的產業標準和法規。
強化及修補預設映像檔。
- Google 會強化並維護 Cloud Workstations 預先設定映像檔所用容器映像檔的作業系統。包括套用上游開放原始碼維護人員提供的安全修補程式和更新。
- Google 會自動強化、修補及更新執行 Cloud Workstations 容器的虛擬機器作業系統。這些虛擬機器會執行 Container-Optimized OS。
維護平台安全。Google 負責維護 Cloud Workstations 平台的安全性。這項責任包括管理平台層級的存取權控管、監控安全事件,以及回應安全事件。Google 也提供工具和控制項,方便您管理特定安全性設定和設定。
維持法規遵循狀態。Google 遵守相關資料保護法規。
提供安全整合。
- Google 提供 Identity and Access Management (IAM)、Cloud 稽核記錄、Google Cloud Observability、Cloud Key Management Service、Security Command Center 等服務適用的整合功能。
- 基於合約規定的支援義務,透過資料存取透明化控管機制和存取權核准程序,限制並記錄 Google 管理員對客戶叢集的存取活動。
您的責任
身為客戶,您有責任:
遵守適用於您用途的法律和法規。您有責任瞭解貴商家專屬的安全和法規要求,並確保您使用 Cloud Workstations 時符合這些要求。
選取適當的工作站圖片。Cloud Workstations 提供各種用途的預先設定映像檔。您有責任確認所選映像檔中除了基本 OS 和編輯器以外的所有軟體,都符合您的安全性和法規要求。
詳情請參閱「自訂容器映像檔」。
使用最新版 Cloud Workstations 基礎映像檔。 Cloud Workstations 提供預先建構的容器映像檔,簡化服務的使用方式。Google 會建立新版基礎映像檔,以解決已知的安全漏洞。您有責任確保工作站設定使用最新版映像檔,方法是更新設定以自動提取最新版本,或是手動升級。
詳情請參閱「自動重建容器映像檔」。
管理存取控管。您有責任管理自身資料、服務和工作站執行個體的存取控制項。包括管理使用者存取權、驗證和授權控制項,以及保護您自己的應用程式和資料。
您也必須負責管理專案中儲存資源的存取權控管設定,這些資源用於備份工作站執行個體,例如 Compute Engine 執行個體和永久磁碟。
如要進一步瞭解使用者管理的資源,請參閱 Cloud Workstations 架構。
保護應用程式和原始碼。您有責任保護透過 Cloud Workstations 平台存取的應用程式和原始碼,包括實作安全編碼做法,以及定期測試是否有安全漏洞。
詳情請參閱「設定安全性最佳做法」、「使用 CMEK 加密工作站資源」和「設定 VPC Service Controls 和私人叢集」。
監控安全性事件。您有責任監控自家應用程式的安全事件,並視需要向 Google 回報任何事件。
後續步驟
- 進一步瞭解 Google Cloud 上的共同責任和命運共同體。
- 瞭解如何保護軟體供應鏈。