BeyondProd si riferisce ai servizi e ai controlli dell'infrastruttura di Google che lavorano insieme per contribuire a proteggere i carichi di lavoro. BeyondProd contribuisce a proteggere i servizi di applicazioni eseguiti da Google nel proprio ambiente, ad esempio la modalità in cui Google modifica il codice e garantisce l'isolamento dei servizi. Sebbene il documento BeyondProd faccia riferimento a tecnologie specifiche che Google utilizza per gestire la propria infrastruttura e che non sono esposte ai clienti, i principi di sicurezza di BeyondProd possono essere applicati anche alle applicazioni del cliente.
BeyondProd include diversi principi chiave di sicurezza applicabili al progetto. La tabella seguente mappa i principi di BeyondProd al blueprint.
| Principio di sicurezza | Mappatura al progetto | Funzionalità di sicurezza |
|---|---|---|
Protezione del perimetro della rete |
Cloud Load Balancing |
Contribuisce a proteggere da vari tipi di attacchi DDoS, come inondazioni UDP e inondazioni SYN. |
Google Cloud Armor |
Contribuisce a garantire protezione da attacchi alle applicazioni web, attacchi DDoS, e bot attraverso protezione sempre attiva e sicurezza personalizzabile criteri. |
|
Cloud CDN |
Consente di mitigare gli attacchi DDoS eliminando il carico e i servizi esposti direttamente pubblicando contenuti. |
|
I cluster GKE con accesso a Private Service Connect il piano di controllo e i pool di nodi privati per i cluster che utilizzano l'IP privato solo indirizzi |
Aiutano a proteggerti dalle minacce della rete internet pubblica e a fornire un controllo più granulare sull'accesso ai cluster. |
|
Criterio firewall |
Definisce in modo restrittivo una lista consentita per il traffico in entrata verso i servizi GKE di Cloud Load Balancing. |
|
Nessuna attendibilità reciproca intrinseca tra i servizi |
Cloud Service Mesh |
Impone l'autenticazione e l'autorizzazione per garantire che possono comunicare tra loro. |
Workload Identity Federation for GKE |
Migliora la sicurezza riducendo il rischio di furto delle credenziali tramite l'automazione della procedura di autenticazione e autorizzazione per i carichi di lavoro, eliminando la necessità di gestire e archiviare le credenziali. |
|
Criterio firewall |
Contribuisce ad assicurarti che all'interno della rete Google Cloud siano consentiti solo i canali di comunicazione approvati per i cluster GKE. |
|
Macchine attendibili che eseguono codice di provenienza nota |
Autorizzazione binaria |
Aiuta a garantire che venga eseguito il deployment su GKE solo delle immagini attendibili applicando la firma dell'imaging e la convalida della firma e deployment continuo. |
Applicazione coerente dei criteri in tutti i servizi |
Policy Controller |
Consente di definire e applicare i criteri che regolano i tuoi cluster GKE. |
Implementazione semplice, automatica e standardizzata delle modifiche |
|
Fornisce un processo di deployment automatizzato e controllato con la conformità e la convalida per sviluppare risorse e applicazioni. |
Config Sync |
Aiuta a migliorare la sicurezza del cluster fornendo una configurazione centralizzata la gestione e la riconciliazione automatica della configurazione. |
|
Isolamento tra carichi di lavoro che condividono lo stesso sistema operativo |
Container-Optimized OS |
Container-Optimized OS contiene solo i componenti essenziali necessari per l'esecuzione dei container Docker, il che lo rende meno vulnerabile a exploit e malware. |
Hardware attendibile e attestazione |
Shielded GKE Nodes |
Garantisce che venga caricato solo software attendibile quando un nodo si avvia. Monitora continuamente lo stack software del nodo e ti avvisa se vengono rilevate modifiche. |
Passaggi successivi
- Scopri di più sul deployment del progetto (nel documento successivo questa serie).