BeyondProd mengacu pada layanan dan kontrol dalam infrastruktur Google yang bekerja bersama untuk membantu melindungi workload. BeyondProd membantu melindungi layanan aplikasi yang dijalankan Google di lingkungannya sendiri, termasuk cara Google mengubah kode dan cara Google memastikan isolasi layanan. Meskipun makalah BeyondProd merujuk pada teknologi tertentu yang digunakan Google untuk mengelola infrastrukturnya sendiri yang tidak diekspos kepada pelanggan, prinsip keamanan BeyondProd juga dapat diterapkan ke aplikasi pelanggan.
BeyondProd mencakup beberapa prinsip keamanan utama yang berlaku untuk cetak biru. Tabel berikut memetakan prinsip-prinsip BeyondProd ke blueprint.
| Prinsip keamanan | Pemetaan ke blueprint | Kemampuan keamanan |
|---|---|---|
Perlindungan edge jaringan |
Cloud Load Balancing |
Membantu melindungi dari berbagai jenis serangan DDoS seperti flood UDP dan flood SYN. |
Google Cloud Armor |
Membantu memberikan perlindungan terhadap serangan aplikasi web, serangan DDoS, dan bot melalui perlindungan yang selalu aktif dan kebijakan keamanan yang dapat disesuaikan. |
|
Cloud CDN |
Membantu memberikan mitigasi serangan DDoS dengan mengurangi beban dari layanan yang diekspos dengan menayangkan konten secara langsung. |
|
Cluster GKE dengan akses Private Service Connect ke panel kontrol dan kumpulan node pribadi untuk cluster yang hanya menggunakan alamat IP pribadi |
Membantu melindungi dari ancaman internet publik dan membantu memberikan kontrol yang lebih terperinci atas akses ke cluster. |
|
Kebijakan firewall |
Menentukan daftar yang diizinkan secara terbatas untuk traffic masuk ke layanan GKE dari Cloud Load Balancing. |
|
Tidak ada kepercayaan timbal balik yang melekat di antara layanan |
Cloud Service Mesh |
Menerapkan autentikasi dan otorisasi untuk membantu memastikan hanya layanan yang disetujui yang dapat berkomunikasi satu sama lain. |
Workload Identity Federation for GKE |
Meningkatkan keamanan dengan mengurangi risiko pencurian kredensial melalui otomatisasi proses autentikasi dan otorisasi untuk beban kerja, sehingga Anda tidak perlu mengelola dan menyimpan kredensial. |
|
Kebijakan firewall |
Membantu memastikan hanya saluran komunikasi yang disetujui yang diizinkan dalam jaringan Google Cloud ke cluster GKE. |
|
Mesin tepercaya yang menjalankan kode dengan provenance yang diketahui |
Otorisasi Biner |
Membantu memastikan hanya image tepercaya yang di-deploy ke GKE dengan menerapkan penandatanganan image dan validasi tanda tangan selama deployment. |
Penerapan kebijakan yang konsisten di seluruh layanan |
Pengontrol Kebijakan |
Memungkinkan Anda menentukan dan menerapkan kebijakan yang mengatur cluster GKE. |
Peluncuran perubahan yang sederhana, otomatis, dan terstandardisasi |
|
Memberikan proses deployment otomatis dan terkontrol dengan kepatuhan dan validasi bawaan untuk mem-build resource dan aplikasi. |
Config Sync |
Membantu meningkatkan keamanan cluster dengan menyediakan pengelolaan konfigurasi terpusat dan rekonsiliasi konfigurasi otomatis. |
|
Isolasi antara workload yang berbagi sistem operasi |
Container-Optimized OS |
Container-Optimized OS hanya berisi komponen penting yang diperlukan untuk menjalankan container Docker, sehingga lebih aman dari eksploitasi dan malware. |
Hardware dan pengesahan tepercaya |
Node GKE yang Terlindungi |
Memastikan hanya software tepercaya yang dimuat saat node melakukan booting. Terus memantau stack software node, yang memberi tahu Anda jika ada perubahan yang terdeteksi. |
Langkah selanjutnya
- Baca cara men-deploy blueprint (dokumen berikutnya dalam rangkaian ini).