BeyondProd refere-se aos serviços e controlos na infraestrutura da Google que funcionam em conjunto para ajudar a proteger as cargas de trabalho. O BeyondProd ajuda a proteger os serviços de aplicações que a Google executa no seu próprio ambiente, incluindo a forma como a Google altera o código e garante o isolamento dos serviços. Embora o artigo da BeyondProd se refira a tecnologias específicas que a Google usa para gerir a sua própria infraestrutura que não são expostas aos clientes, os princípios de segurança da BeyondProd também podem ser aplicados às aplicações dos clientes.
O BeyondProd inclui vários princípios de segurança importantes que se aplicam ao plano detalhado. A tabela seguinte mapeia os princípios BeyondProd com o plano detalhado.
| Princípio de segurança | Mapeamento para o plano | Capacidade de segurança |
|---|---|---|
Proteção de limite de rede |
Cloud Load Balancing |
Ajuda a proteger contra vários tipos de ataques DDoS, como ataques UDP "flood" e ataques SYN "flood". |
Cloud Armor |
Ajuda a oferecer proteção contra ataques de aplicações Web, ataques DDoS e bots através de proteção sempre ativada e políticas de segurança personalizáveis. |
|
Cloud CDN |
Ajuda a fornecer mitigação de ataques DDoS, retirando a carga dos serviços expostos através da publicação direta de conteúdo. |
|
Clusters do GKE com acesso do Private Service Connect ao plano de controlo e aos pools de nós privados para clusters que usam apenas endereços IP privados |
Ajuda a proteger contra ameaças da Internet pública e a oferecer um controlo mais detalhado sobre o acesso aos clusters. |
|
Política de firewall |
Define de forma restrita uma lista de autorizações para o tráfego de entrada para os serviços do GKE a partir do Cloud Load Balancing. |
|
Não existe confiança mútua inerente entre os serviços |
Cloud Service Mesh |
Aplica a autenticação e a autorização para ajudar a garantir que apenas os serviços aprovados podem comunicar entre si. |
Workload Identity Federation para o GKE |
Melhora a segurança reduzindo o risco de roubo de credenciais através da automatização do processo de autenticação e autorização para cargas de trabalho, eliminando a necessidade de gerir e armazenar credenciais. |
|
Política de firewall |
Ajuda a garantir que apenas são permitidos canais de comunicação aprovados na redeGoogle Cloud para clusters do GKE. |
|
Máquinas fidedignas que executam código com proveniência conhecida |
Autorização binária |
Ajuda a garantir que apenas as imagens fidedignas são implementadas no GKE, aplicando a assinatura de imagens e a validação de assinaturas durante a implementação. |
Aplicação consistente de políticas entre serviços |
Controlador de políticas |
Permite definir e aplicar políticas que regem os seus clusters do GKE. |
Implementação de alterações simples, automatizada e padronizada |
|
Oferece um processo de implementação automático e controlado com validação e conformidade integradas para criar recursos e aplicações. |
Config Sync |
Ajuda a melhorar a segurança do cluster através da gestão de configuração centralizada e da conciliação de configuração automatizada. |
|
Isolamento entre cargas de trabalho que partilham um sistema operativo |
SO otimizado para contentores |
O SO otimizado para contentores contém apenas os componentes essenciais necessários para executar contentores Docker, o que o torna menos vulnerável a explorações e software malicioso. |
Hardware fidedigno e atestação |
Nós do GKE protegidos |
Garante que apenas o software fidedigno é carregado quando um nó é iniciado. Monitoriza continuamente a pilha de software do nó, alertando-o se forem detetadas alterações. |
O que se segue?
- Leia sobre como implementar o Blueprint (documento seguinte nesta série).