BeyondProd fait référence aux services et contrôles de l'infrastructure de Google qui fonctionnent ensemble pour protéger les charges de travail. BeyondProd protège les services applicatifs exécutés par Google dans son propre environnement, y compris la façon dont Google modifie le code et comment Google garantit l'isolation des services. Bien que l'article BeyondProd fasse référence à des technologies spécifiques permettant à Google de gérer sa propre infrastructure qui ne sont pas exposées aux clients, les principes de sécurité de BeyondProd peuvent également être appliqués aux applications clientes.
BeyondProd comprend plusieurs principes de sécurité clés qui s'appliquent au plan. Le tableau suivant met en correspondance les principes BeyondProd et le plan.
| Principe de sécurité | Mise en correspondance avec le plan | Fonctionnalité de sécurité |
|---|---|---|
Protection du réseau périphérique |
Cloud Load Balancing |
Permet d'éviter les différents types d'attaques DDoS, telles que les UDP floods et les SYN floods. |
Google Cloud Armor |
Permet de fournir une protection contre les attaques d'applications Web, les attaques DDoS et les bots via une protection permanente et des règles de sécurité personnalisables. |
|
Cloud CDN |
Permet d'atténuer les attaques DDoS en diminuant la charge des services exposés en diffusant directement du contenu. |
|
Clusters GKE avec accès Private Service Connect au plan de contrôle et aux pools de nœuds privés pour les clusters qui n'utilisent que des adresses IP privées |
Permet d'éviter les menaces Internet publiques et de surveiller plus précisément l'accès aux clusters. |
|
Stratégie de pare-feu |
Définit de façon très ciblée une liste d'autorisation pour le trafic entrant vers les services GKE depuis Cloud Load Balancing. |
|
Pas de confiance mutuelle inhérente entre les services |
Cloud Service Mesh |
Applique l'authentification et l'autorisation pour garantir que seuls les services approuvés peuvent communiquer entre eux. |
Workload Identity |
Renforce la sécurité en réduisant le risque de vol d'identifiants via l'automatisation du processus d'authentification et d'autorisation pour les charges de travail, ce qui vous évite de gérer et de stocker des identifiants. |
|
Stratégie de pare-feu |
Permet de s'assurer que seuls les canaux de communication approuvés sont autorisés dans les clusters GKE au sein du réseau Google Cloud. |
|
Machines fiables exécutant un code de provenance connue |
Autorisation binaire |
Permet de garantir que seules des images de confiance sont déployées sur GKE en appliquant la signature d'images et la validation de signature lors du déploiement. |
Application cohérente des règles dans les différents services |
Policy Controller |
Permet de définir et d'appliquer des règles qui régissent vos clusters GKE. |
Déploiement simple, automatisé et standardisé des modifications. |
|
Offre un processus de déploiement automatisé et contrôlé avec une conformité et une validation intégrées pour créer des ressources et des applications. |
Config Sync |
Contribue à renforcer la sécurité des clusters en fournissant une gestion de configuration centralisée et un rapprochement des configurations automatisé. |
|
Isolement entre les charges de travail partageant un système d'exploitation |
Container-Optimized OS |
Container-Optimized OS ne contient que les composants essentiels requis pour exécuter des conteneurs Docker, ce qui les rend moins vulnérables aux failles et aux logiciels malveillants. |
Matériel de confiance et attestation |
Nœuds GKE protégés |
Seuls les logiciels approuvés sont chargés au démarrage d'un nœud. Surveille en permanence la pile logicielle du nœud et vous avertit si des modifications sont détectées. |
Étapes suivantes
- Découvrez comment déployer le plan (document suivant de cette série).