BeyondProd fa riferimento ai servizi e ai controlli dell'infrastruttura di Google che collaborano per proteggere i carichi di lavoro. BeyondProd contribuisce a proteggere i servizi per le applicazioni eseguiti da Google nel proprio ambiente, inclusi il modo in cui Google modifica il codice e le modalità con cui Google garantisce l'isolamento dei servizi. Sebbene l'articolo BeyondProd faccia riferimento a tecnologie specifiche utilizzate da Google per gestire la propria infrastruttura che non sono esposte ai clienti, i principi di sicurezza di BeyondProd possono essere applicati anche alle applicazioni dei clienti.
BeyondProd include diversi principi fondamentali di sicurezza che si applicano al progetto. La tabella seguente mappa i principi di BeyondProd al progetto.
Principio di sicurezza | Mappatura sul progetto in corso... | Funzionalità di sicurezza |
---|---|---|
Protezione perimetrale della rete |
Cloud Load Balancing |
Contribuisce a proteggere da vari tipi di attacchi DDoS, come flood UDP e flood SYN. |
Google Cloud Armor |
Contribuisce a fornire protezione da attacchi alle applicazioni web, attacchi DDoS e bot tramite una protezione sempre attiva e criteri di sicurezza personalizzabili. |
|
Cloud CDN |
Contribuisce a mitigare gli attacchi DDoS eliminando il carico dei servizi esposti tramite la pubblicazione diretta dei contenuti. |
|
Cluster GKE con accesso a Private Service Connect al piano di controllo e ai pool di nodi privati per i cluster che usano solo indirizzi IP privati |
Aiuta a proteggere dalle minacce pubbliche sulla rete internet e a fornire un controllo più granulare sull'accesso ai cluster. |
|
Criterio firewall |
Definisce in modo restrittivo una lista consentita per il traffico in entrata dai servizi GKE da Cloud Load Balancing. |
|
Nessuna attendibilità reciproca intrinseca tra i servizi |
Cloud Service Mesh |
Impone l'autenticazione e l'autorizzazione per garantire che solo i servizi approvati possano comunicare tra loro. |
Workload Identity |
Migliora la sicurezza riducendo il rischio di furto di credenziali attraverso l'automazione del processo di autenticazione e autorizzazione per i carichi di lavoro, eliminando la necessità di gestire e archiviare le credenziali. |
|
Criterio firewall |
Contribuisce a garantire che solo i canali di comunicazione approvati siano consentiti all'interno della rete Google Cloud ai cluster GKE. |
|
Macchine attendibili che eseguono codice di provenienza nota |
Autorizzazione binaria |
Contribuisce a garantire che il deployment su GKE venga eseguito solo le immagini attendibili applicando la firma dell'imaging e la convalida della firma durante il deployment. |
Applicazione coerente dei criteri in tutti i servizi |
Policy Controller |
Consente di definire e applicare i criteri che regolano i tuoi cluster GKE. |
Implementazione semplice, automatica e standardizzata delle modifiche |
|
Fornisce un processo di deployment automatizzato e controllato con conformità e convalida integrate per creare risorse e applicazioni. |
Config Sync |
Contribuisce a migliorare la sicurezza dei cluster fornendo la gestione centralizzata e la riconciliazione automatica. |
|
Isolamento tra carichi di lavoro che condividono lo stesso sistema operativo |
Container-Optimized OS |
Container-Optimized OS contiene solo i componenti essenziali necessari per l'esecuzione dei container Docker, il che li rende meno vulnerabili a exploit e malware. |
Hardware e attestazione affidabili |
Nodi GKE schermati |
Garantisce che all'avvio di un nodo venga caricato solo il software attendibile. Monitora costantemente lo stack software del nodo, avvisandoti se vengono rilevate eventuali modifiche. |
Passaggi successivi
- Scopri di più sul deployment del progetto (documento successivo di questa serie).