Google Kubernetes Engine(GKE)에서 비즈니스에 중요한 애플리케이션을 실행하려면 여러 당사자가 다양한 책임을 져야 합니다. 이 주제에는 전체 목록은 아니지만 Google과 고객의 책임이 나와 있습니다.
GKE
Google의 책임
- 하드웨어, 펌웨어, 커널, OS, 스토리지, 네트워크 등의 기본 인프라 보호. 여기에는 기본적으로 저장 데이터 암호화, 추가 고객 관리형 디스크 암호화 제공, 전송 중 데이터 암호화, 커스텀 설계형 하드웨어 사용, 사설 네트워크 케이블 설치, 물리적 액세스로부터 데이터 센터 보호, 보호된 노드를 사용하고 보안 소프트웨어 개발 사례를 따라 수정으로부터 부트로더와 커널 보호가 포함됩니다.
- Container-Optimized OS 또는 Ubuntu와 같은 노드 운영체제 강화 및 패치. GKE에서 이러한 사용 가능한 이미지에 대한 모든 패치를 ���시 제공합니다. ������ 업그레이드를 사용 설정하거나 출시 채널을 사용하는 경우 이러한 업데이트가 자동으로 배포됩니다. 이는 컨테이너의 기본 OS 레이어이며 컨테이너에서 실행되는 운영체제와는 다릅니다.
- 컨테이너별 위협의 위협 감지를 Container Threat Detection(Security Command Center와 별도로 가격 책정됨)을 사용하여 커널에 빌드 및 작동.
- Kubernetes 노드 구성요소 강화 및 패치. GKE 노드 버전을 업그레이드하면 모든 GKE 관리형 구성요소가 자동으로 업그레이드됩니다. 여기에는 다음이 포함됩니다.
- kubelet TLS 인증서 발급에 사용되는 신뢰할 수 있는 vTPM 지원 부트스트랩 메커니즘 및 인증서 자동 순환
- CIS 벤치마크를 따르는 강화된 kubelet 구성
- 워크로드 아이덴티티용 GKE 메타데이터 서버
- GKE의 기본 컨테이너 네트워크 인터페이스 플러그인 및 Calico for NetworkPolicy
- GKE Kubernetes 스토리지 통합(예: CSI 드라이버)
- GKE 로깅 및 모니터링 에이전트
- 컨트롤 플레인 강화 및 패치. 컨트롤 플레인에는 컨트롤 플레인 VM, API 서버, 스케줄러, 컨트롤러 관리자, 클러스터 CA, TLS 인증서 발급 및 순환, 신뢰할 수 있는 루트 키 자료, IAM 인증자 및 승인자, 감사 로깅 구성, etcd, 기타 다양한 컨트롤러가 포함됩니다. 모든 컨트롤 플레인 구성요소는 Google에서 운영하는 Compute Engine 인스턴스에서 실행됩니다. 이러한 인스턴스는 단일 테넌트입니다. 즉, 각 인스턴스는 한 고객을 위해서만 컨트롤 플레인과 구성요소를 실행합니다.
- Connect, Identity and Access Management, Cloud 감사 로그, Google Cloud Observability, Cloud Key Management Service, Security Command Center 등의 Google Cloud 통합을 제공합니다.
- 계약 상의 지원을 목적으로 액세스 투명성을 통해 Google이 고객 클러스터에 대한 관리 액세스를 제한하고 ���깅합니다.
고객의 책임
- 애플리케이션 코드, 빌드 파일, 컨테이너 이미지, 데이터, 역할 기반 액세스 제어(RBAC)/IAM 정책, 실행 중인 컨테이너 및 pod 등 워크로드를 유지보수합니다.
- 클러스터 사용자 인증 정보를 순환합니다.
- 자동 업그레이드(기본값)에 클러스터를 등록하거나 클러스터를 지원되는 버전으로 업그레이드합니다.
- 클러스터를 모니터링하고 보안 상황 대시보드 및 Google Cloud Observability와 같은 기술을 사용하여 알림 및 이슈에 대응합니다.
- 문제 해결을 위해 요청할 때 Google에 환경 세부정보를 제공합니다.
- 클러스터에 Logging 및 Monitoring이 사용 설정되어 있는지 확인합니다. 로그가 없으면 지원은 최선의 방법으로 제공됩니다.
다음 단계
- GKE 보안 개요 읽기