Mappatura dei principi di sicurezza di BeyondProd al progetto

Last reviewed 2024-12-13 UTC

BeyondProd si riferisce ai servizi e ai controlli dell'infrastruttura di Google che lavorano insieme per contribuire a proteggere i carichi di lavoro. BeyondProd contribuisce a proteggere i servizi di applicazione che Google esegue nel proprio ambiente, ad esempio la modalità in cui Google modifica il codice e garantisce l'isolamento dei servizi. Sebbene il documento BeyondProd faccia riferimento a tecnologie specifiche che Google utilizza per gestire la propria infrastruttura e che non sono esposte ai clienti, i principi di sicurezza di BeyondProd possono essere applicati anche alle applicazioni del cliente.

BeyondProd include diversi principi di sicurezza chiave che si applicano al blueprint. La tabella seguente mappa i principi di BeyondProd al blueprint.

Principio di sicurezza Mappatura al progetto Funzionalità di sicurezza

Protezione del perimetro della rete

Cloud Load Balancing

Contribuisce a proteggere da vari tipi di attacchi DDoS, come inondazioni UDP e inondazioni SYN.

Google Cloud Armor

Contribuisce a fornire protezione contro attacchi alle applicazioni web, attacchi DDoS e bot tramite protezione sempre attiva e criteri di sicurezza personalizzabili.

Cloud CDN

Contribuisce a mitigare gli attacchi DDoS riducendo il carico dei servizi esposti pubblicando direttamente i contenuti.

Cluster GKE con accesso Private Service Connect al piano di controllo e ai pool di nodi privati per i cluster che utilizzano solo indirizzi IP privati

Aiutano a proteggerti dalle minacce della rete internet pubblica e a fornire un controllo più granulare sull'accesso ai cluster.

Criteri firewall

Definisce in modo specifico una lista consentita per il traffico in entrata ai servizi GKE da Cloud Load Balancing.

Nessuna attendibilità reciproca intrinseca tra i servizi

Cloud Service Mesh

Applica l'autenticazione e l'autorizzazione per garantire che solo i servizi approvati possano comunicare tra loro.

Workload Identity Federation for GKE

Migliora la sicurezza riducendo il rischio di furto delle credenziali tramite l'automazione della procedura di autenticazione e autorizzazione per i carichi di lavoro, eliminando la necessità di gestire e archiviare le credenziali.

Criteri firewall

Contribuisce ad assicurarti che all'interno della Google Cloud rete siano consentiti solo i canali di comunicazione approvati per i cluster GKE.

Macchine attendibili che eseguono codice di provenienza nota

Autorizzazione binaria

Contribuisce a garantire che in GKE venga eseguito il deployment solo di immagini attendibili, applicando la firma delle immagini e la convalida della firma durante il deployment.

Applicazione coerente dei criteri tra i servizi

Policy Controller

Consente di definire e applicare i criteri che regolano i tuoi cluster GKE.

Implementazione semplice, automatica e standardizzata delle modifiche

  • Pipeline dell'infrastruttura di base
  • Pipeline di infrastruttura multi-tenant
  • Pipeline a livello di parco risorse
  • Pipeline della factory di applicazioni
  • Pipeline CI/CD dell'applicazione

Fornisce un processo di deployment automatizzato e controllato con conformità e convalida integrate per creare risorse e applicazioni.

Config Sync

Contribuisce a migliorare la sicurezza del cluster fornendo una gestione centralizzata della configurazione e la riconciliazione automatica della configurazione.

Isolamento tra carichi di lavoro che condividono lo stesso sistema operativo

Container-Optimized OS

Container-Optimized OS contiene solo i componenti essenziali necessari per l'esecuzione dei container Docker, il che lo rende meno vulnerabile a exploit e malware.

Hardware attendibile e attestazione

Shielded GKE Nodes

Garantisce che venga caricato solo software attendibile quando un nodo si avvia. Monitora continuamente lo stack software del nodo e ti avvisa se vengono rilevate modifiche.

Passaggi successivi