BeyondProd si riferisce ai servizi e ai controlli dell'infrastruttura di Google che lavorano insieme per contribuire a proteggere i carichi di lavoro. BeyondProd contribuisce a proteggere i servizi di applicazione che Google esegue nel proprio ambiente, ad esempio la modalità in cui Google modifica il codice e garantisce l'isolamento dei servizi. Sebbene il documento BeyondProd si riferisca a tecnologie specifiche che Google utilizza per gestire la propria infrastruttura e che non sono esposte ai clienti, i principi di sicurezza di BeyondProd possono essere applicati anche alle applicazioni dei clienti.
BeyondProd include diversi principi di sicurezza chiave che si applicano al blueprint. La tabella seguente mappa i principi di BeyondProd al blueprint.
| Principio di sicurezza | Mappatura al progetto | Funzionalità di sicurezza |
|---|---|---|
Protezione del perimetro della rete |
Cloud Load Balancing |
Contribuisce a proteggere da vari tipi di attacchi DDoS, come inondazioni UDP e inondazioni SYN. |
Google Cloud Armor |
Contribuisce a fornire protezione contro attacchi alle applicazioni web, attacchi DDoS e bot tramite protezione sempre attiva e criteri di sicurezza personalizzabili. |
|
Cloud CDN |
Contribuisce a mitigare gli attacchi DDoS riducendo il carico dei servizi esposti pubblicando direttamente i contenuti. |
|
Cluster GKE con accesso Private Service Connect al piano di controllo e ai pool di nodi privati per i cluster che utilizzano solo indirizzi IP privati |
Aiutano a proteggerti dalle minacce della rete internet pubblica e a fornire un controllo più granulare sull'accesso ai cluster. |
|
Criteri firewall |
Definisce in modo specifico una lista consentita per il traffico in entrata ai servizi GKE da Cloud Load Balancing. |
|
Nessuna attendibilità reciproca intrinseca tra i servizi |
Cloud Service Mesh |
Applica l'autenticazione e l'autorizzazione per garantire che solo i servizi approvati possano comunicare tra loro. |
Workload Identity Federation for GKE |
Migliora la sicurezza riducendo il rischio di furto delle credenziali tramite l'automazione della procedura di autenticazione e autorizzazione per i carichi di lavoro, eliminando la necessità di gestire e archiviare le credenziali. |
|
Criteri del firewall |
Contribuisce ad assicurarti che all'interno della Google Cloud rete siano consentiti solo i canali di comunicazione approvati per i cluster GKE. |
|
Macchine attendibili che eseguono codice di provenienza nota |
Autorizzazione binaria |
Contribuisce a garantire che in GKE venga eseguito il deployment solo di immagini attendibili, applicando la firma delle immagini e la convalida della firma durante il deployment. |
Applicazione coerente dei criteri tra i servizi |
Policy Controller |
Ti consente di definire e applicare i criteri che regolano i tuoi cluster GKE. |
Implementazione semplice, automatica e standardizzata delle modifiche |
|
Fornisce un processo di deployment automatizzato e controllato con conformità e convalida integrate per creare risorse e applicazioni. |
Config Sync |
Contribuisce a migliorare la sicurezza del cluster fornendo una gestione centralizzata della configurazione e la riconciliazione automatica della configurazione. |
|
Isolamento tra carichi di lavoro che condividono lo stesso sistema operativo |
Container-Optimized OS |
Container-Optimized OS contiene solo i componenti essenziali necessari per l'esecuzione dei container Docker, il che lo rende meno vulnerabile a exploit e malware. |
Hardware e attestazione attendibili |
Shielded GKE Nodes |
Garantisce che venga caricato solo software attendibile quando un nodo si avvia. Monitora continuamente lo stack software del nodo e ti avvisa se vengono rilevate modifiche. |
Passaggi successivi
- Leggi l'articolo sul deployment del progetto (documento successivo di questa serie).