BeyondProd mengacu pada layanan dan kontrol dalam infrastruktur Google yang bekerja sama untuk membantu melindungi workload. BeyondProd membantu melindungi layanan aplikasi yang dijalankan Google di lingkungannya sendiri, termasuk cara Google mengubah kode dan cara Google memastikan isolasi layanan. Meskipun makalah BeyondProd mengacu pada teknologi spesifik yang digunakan Google untuk mengelola infrastrukturnya sendiri yang tidak terekspos ke pelanggan, prinsip keamanan BeyondProd juga dapat diterapkan pada aplikasi pelanggan.
BeyondProd menyertakan beberapa prinsip keamanan utama yang berlaku untuk blueprint. Tabel berikut memetakan prinsip-prinsip BeyondProd ke dalam cetak birunya.
| Prinsip keamanan | Pemetaan ke blueprint | Kemampuan keamanan |
|---|---|---|
Perlindungan edge jaringan |
Cloud Load Balancing |
Membantu melindungi dari berbagai jenis serangan DDoS seperti UDP dan SYN flood. |
Google Cloud Armor |
Membantu memberikan perlindungan terhadap serangan aplikasi web, serangan DDoS, dan bot melalui perlindungan yang selalu aktif dan kebijakan keamanan yang dapat disesuaikan. |
|
Cloud CDN |
Membantu memberikan mitigasi serangan DDoS dengan mengurangi beban dari layanan yang terekspos dengan menayangkan konten secara langsung. |
|
Cluster GKE dengan akses Private Service Connect ke bidang kontrol dan kumpulan node pribadi hanya untuk cluster yang menggunakan alamat IP pribadi |
Membantu melindungi dari ancaman internet publik dan membantu memberikan kontrol yang lebih terperinci atas akses ke cluster. |
|
Kebijakan firewall |
Narrowly menentukan daftar yang diizinkan untuk traffic masuk ke layanan GKE dari Cloud Load Balancing. |
|
Tidak ada kepercayaan timbal balik yang melekat di antara layanan |
Anthos Service Mesh |
Menerapkan autentikasi dan otorisasi untuk membantu memastikan hanya layanan yang disetujui yang dapat berkomunikasi satu sama lain. |
Workload Identity |
Meningkatkan keamanan dengan mengurangi risiko pencurian kredensial melalui otomatisasi proses autentikasi dan otorisasi untuk workload, sehingga Anda tidak perlu mengelola dan menyimpan kredensial. |
|
Kebijakan firewall |
Membantu memastikan hanya saluran komunikasi yang disetujui yang diizinkan dalam jaringan Google Cloud ke cluster GKE. |
|
Mesin tepercaya yang menjalankan kode dengan provenance yang diketahui |
Otorisasi Biner |
Membantu memastikan hanya image tepercaya yang di-deploy ke GKE dengan menerapkan penandatanganan image dan validasi tanda tangan selama deployment. |
Penegakan kebijakan yang konsisten di seluruh layanan |
Pengontrol Kebijakan |
Memungkinkan Anda menentukan dan menerapkan kebijakan yang mengatur cluster GKE. |
Peluncuran perubahan yang sederhana, otomatis, dan terstandardisasi |
|
Menyediakan proses deployment yang otomatis dan terkontrol dengan kepatuhan dan validasi bawaan untuk membangun resource dan aplikasi. |
Config Sync |
Membantu meningkatkan keamanan cluster dengan menyediakan pengelolaan konfigurasi terpusat dan rekonsiliasi konfigurasi otomatis. |
|
Isolasi antara workload yang berbagi sistem operasi |
Container-Optimized OS |
Container-Optimized OS hanya berisi komponen penting yang diperlukan untuk menjalankan container Docker, sehingga tidak terlalu rentan terhadap eksploitasi dan malware. |
Hardware dan pengesahan tepercaya |
Node GKE yang Terlindungi |
Memastikan hanya software tepercaya yang dimuat saat node melakukan booting. Terus memantau stack software node, memberi tahu Anda jika ada perubahan yang terdeteksi. |
Langkah selanjutnya
- Baca tentang men-deploy blueprint (dokumen berikutnya dalam seri ini).