BeyondProd とは、Google のインフラストラクチャ内でワークロードを保護するために連携して機能するサービスとコントロールを指します。BeyondProd は、Google によるコードの変更方法や Google によるサービスの分離方法を含めて、Google 独自の環境で実行されているアプリケーション サービスの保護に役立ちます。BeyondProd の資料では、Google が顧客に公開していない独自のインフラストラクチャの管理に使用している特定の技術について取り上げていますが、BeyondProd のセキュリティ原則は顧客アプリケーションにも適用できます。
BeyondProd には、ブループリントに適用されるいくつかの重要なセキュリティ原則が含まれています。次の表に、BeyondProd の原則とブループリントの対応を示します。
| セキュリティ原則 | ブループリントへのマッピング | セキュリティ機能 |
|---|---|---|
ネットワーク エッジの保護 |
Cloud Load Balancing |
UDP フラッドや SYN フラッドなど、さまざまな DDoS 攻撃からの保護に役立ちます。 |
Google Cloud Armor |
常時稼働の保護とカスタマイズ可能なセキュリティ ポリシーにより、ウェブ アプリケーション攻撃、DDoS 攻撃、bot からの保護を支援します。 |
|
Cloud CDN |
コンテンツを直接提供し、公開されたサービスの負荷を軽減することによって、DDoS 攻撃の軽減に役立ちます。 |
|
プライベート IP アドレスのみを使用するクラスタのコントロール プレーンとプライベート ノードプールへの Private Service Connect アクセス権を持つ GKE クラスタ |
公共のインターネットの脅威から保護し、クラスタへのアクセスをより詳細に制御するために役立ちます。 |
|
ファイアウォール ポリシー |
Cloud Load Balancing から GKE サービスへのインバウンド トラフィックの許可リストを限定的に定義します。 |
|
サービス間に固有の相互信頼関係を排除 |
Cloud Service Mesh |
認証と認可を強制適用し、承認されたサービスのみが相互に通信できるようにします。 |
Workload Identity |
ワークロードの認証と認可のプロセスを自動化して認証情報の盗難のリスクを軽減することでセキュリティを強化します。これにより、認証情報を管理、保存する必要がなくなります。 |
|
ファイアウォール ポリシー |
Google Cloud ネットワーク内で GKE クラスタへの承認済みの通信チャネルのみが許可されるようにします。 |
|
出所が明らかなコードを信頼できるマシンで実行 |
Binary Authorization |
デプロイ時にイメージ作成の署名と署名の検証を適用することで、信頼できるイメージのみが GKE にデプロイされるようにします。 |
サービスを横断して一貫したポリシーを適用 |
Policy Controller |
GKE クラスタを管理するポリシーを定義して適用します。 |
自動化され、標準化されたシンプルな変更のロールアウト |
|
リソースとアプリケーションを構築するための、コンプライアンスと検証が組み込まれ、自動化され制御されたデプロイ プロセスを提供します。 |
Config Sync |
構成管理を一元化し、構成を自動調整することで、クラスタのセキュリティの強化を支援します。 |
|
オペレーティング システムを共有するワークロードを分離 |
Container-Optimized OS |
Container-Optimized OS には、Docker コンテナの実行に必要な必須コンポーネントのみが含まれているため、脆弱性利用型不正プログラムやマルウェアに対する脆弱性が低くなります。 |
信頼できるハードウェアと証明書 |
シールドされた GKE ノード |
ノードの起動時に信頼できるソフトウェアのみが読み込まれるようにします。ノードのソフトウェア スタックを継続的にモニタリングし、変更が検出されるとアラートを発します。 |
次のステップ
- ブループリントをデプロイする(このシリーズの次のドキュメント)を読む。