将 BeyondProd 安全原则与蓝图一一对应

Last reviewed 2023-12-20 UTC

BeyondProd 是指 Google 基础设施中协同工作以帮助保护工作负载的服务和控制。BeyondProd 有助于保护 Google 在其自己的环境中运行的应用服务,包括 Google 如何更改代码以及 Google 如何确保服务隔离。虽然 BeyondProd 论文指的是一种特定技术,供 Google 用来管理其不会向客户公开的基础设施,但 BeyondProd 的安全原则也可以应用于客户应用。

BeyondProd 包含适用于该蓝图的几个关键安全原则。下表列出了 BeyondProd 原则与蓝图的对应关系。

安全性原则 对应到蓝图 安全功能

网络边缘保护

Cloud Load Balancing

帮助防范各种 DDoS 攻击类型,例如 UDP flood 和 SYN flood 攻击。

Google Cloud Armor

通过始终开启的保护和可自定义的安全政策,帮助防范 Web 应用攻击、DDoS 攻击和机器人攻击。

Cloud CDN

通过直接提供内容,减轻公开服务的负载,来帮助缓解 DDoS 攻击。

采用控制平面的 Private Service Connect 访问和专用节点池(针对仅使用专有 IP 地址的集群)的 GKE 集群

帮助防范公共互联网威胁,有助于更精细地控制对集群的访问。

防火墙政策

更细化地定义从 Cloud Load Balancing 到 GKE 服务的入站流量的许可名单。

服务之间没有固有的相互信任

Anthos Service Mesh

强制执行身份验证和授权,帮助确保只有已获批准的服务才能相互通信。

Workload Identity

自动完成工作负载的身份验证和授权流程而无需管理和存储凭据,以此来降低凭据盗用的风险,从而提高安全性。

防火墙政策

帮助确保在 Google Cloud 网络中只允许使用经过批准的通信信道与 GKE 集群通信。

运行具有已知出处的代码的受信任机器

Binary Authorization

通过在部署期间强制执行映像签名和签名验证,帮助确保仅将可信映像部署到 GKE。

在服务之间一致地实施政策

Policy Controller

让您定义和强制实施用于管理 GKE 集群的政策。

简单、自动化、标准化的更改发布

  • 基础的基础设施流水线
  • 多租户基础设施流水线
  • 舰队范围的流水线
  • 应用工厂流水线
  • 应用 CI/CD 流水线

提供受控的自动化部署流程,其中内置了合规性和验证功能,可用于构建资源和应用。

Config Sync

通过提供集中式配置管理和自动配置协调功能,帮助提高集群安全性。

在共享操作系统的工作负载之间进行隔离

Container-Optimized OS

Container-Optimized OS 仅包含运行 Docker 容器所需的基本组件,因此不容易受到漏洞和恶意软件的攻击。

可靠的硬件和证明

安全强化型 GKE 节点

确保在节点启动时仅加载可信软件。它会持续监控节点的软件堆栈,以便在检测到任何更改时向您发出提醒。

后续步骤