BeyondProd se refere aos serviços e controles na infraestrutura do Google que trabalham juntos para ajudar a proteger as cargas de trabalho. O BeyondProd ajuda a proteger os serviços de aplicativos que o Google executa no próprio ambiente, incluindo como o Google altera o código e como garante o isolamento do serviço. O documento BeyondProd se refere a tecnologias específicas que o Google usa para gerenciar a própria infraestrutura que não é exposta aos clientes. No entanto, os princípios de segurança do BeyondProd também podem ser aplicados aos aplicativos do cliente.
O BeyondProd inclui vários princípios importantes de segurança que se aplicam ao modelo. A tabela a seguir mapeia os princípios do BeyondProd para o blueprint.
| Princípio de segurança | Mapeamento para blueprint | Recurso de segurança |
|---|---|---|
Proteção de borda de rede |
Cloud Load Balancing |
Ajuda na proteção contra vários tipos de ataques DDoS, como sobrecargas de UDP e inundações de SYN. |
Google Cloud Armor |
Ajuda a fornecer proteção contra ataques a aplicativos da Web, ataques DDoS e bots por meio de proteção sempre ativada e políticas de segurança personalizáveis. |
|
Cloud CDN |
Ajuda a fornecer mitigação de ataques DDoS, removendo a carga de serviços expostos, disponibilizando conteúdo diretamente. |
|
Clusters do GKE com acesso ao Private Service Connect ao plano de controle e pools de nós particulares para clusters que usam apenas endereços IP particulares |
Ajuda na proteção contra ameaças da Internet pública e fornece controle mais granular sobre o acesso aos clusters. |
|
Política de firewall |
Define apenas uma lista de permissões para o tráfego de entrada para os serviços do GKE no Cloud Load Balancing. |
|
Nenhuma confiança mútua inerente entre os serviços |
Cloud Service Mesh |
Aplica autenticação e autorização para ajudar a garantir que apenas serviços aprovados se comuniquem entre si. |
Federação de identidade da carga de trabalho para o GKE |
Melhora a segurança reduzindo o risco de roubo de credenciais ao automatizar o processo de autenticação e autorização de cargas de trabalho, eliminando a necessidade de gerenciar e armazenar credenciais. |
|
Política de firewall |
Ajuda a garantir que apenas canais de comunicação aprovados sejam permitidos na rede do Google Cloud para os clusters do GKE. |
|
Máquinas confiáveis que executam o código com procedência conhecida. |
Autorização binária |
Ajuda a garantir que apenas imagens confiáveis sejam implantadas no GKE aplicando a assinatura de imagens e a validação de assinaturas durante a implantação. |
Aplicação consistente de políticas em todos os serviços |
Policy Controller |
Permite definir e aplicar políticas que regem os clusters do GKE. |
Lançamento simples, automatizado e padronizado de mudanças |
|
Fornece um processo de implantação automatizado e controlado com conformidade e validação integradas para criar recursos e aplicativos. |
Config Sync |
Ajuda a melhorar a segurança do cluster fornecendo gerenciamento de configuração centralizado e reconciliação de configuração automatizada. |
|
Isolamento entre cargas de trabalho que compartilham um sistema operacional |
Container-Optimized OS |
O Container-Optimized OS contém apenas componentes essenciais, necessários para a execução de contêineres do Docker, tornando-o menos vulnerável a explorações e malware. |
Hardware confiável e atestado |
Nós protegidos do GKE |
Garante que apenas softwares confiáveis sejam carregados quando um nó for inicializado. Monitora continuamente a pilha de software do nó, alertando você se alguma alteração for detectada. |
A seguir
- Leia sobre como implantar o blueprint (próximo documento desta série).