Mantieni tutto organizzato con le raccolte
Salva e classifica i contenuti in base alle tue preferenze.
Last reviewed 2025-01-23 UTC
Il pattern gated si basa su un'architettura che espone applicazioni e servizi selezionati in modo granulare, in base ad API o endpoint esposti specifici tra i diversi ambienti. Questa guida suddivide questo schema in tre possibili opzioni, ciascuna determinata dal modello di comunicazione specifico:
Come accennato in precedenza in questa guida, gli schemi di architettura di rete
descritti qui possono essere adattati a varie applicazioni con requisiti diversi.
Per soddisfare le esigenze specifiche di diverse applicazioni, l'architettura della zona di destinazione principale potrebbe incorporare contemporaneamente un pattern o una combinazione di pattern. Il deployment specifico dell'architettura selezionata è determinato dai requisiti di comunicazione specifici di ciascun pattern con accesso controllato.
Questa serie illustra ogni pattern con controllo e le relative opzioni di progettazione.
Tuttavia, un'opzione di progettazione comune applicabile a tutti i pattern con controlli è l'architettura distribuita Zero Trust per le applicazioni containerizzate con architettura di microservizi. Questa opzione è basata su Cloud Service Mesh, Apigee e Apigee Adapter for Envoy, un deployment di gateway Apigee leggero all'interno di un cluster Kubernetes.
Apigee Adapter for Envoy è un proxy di servizi e di edge open source molto utilizzato, progettato per le applicazioni cloud-first. Questi controlli dell'architettura hanno consentito comunicazioni tra servizi sicure e la direzione della comunicazione a livello di servizio. I criteri di comunicazione del traffico possono essere progettati, perfezionati e applicati a livello di servizio in base al pattern selezionato.
I pattern con controllo consentono l'implementazione di Cloud Next Generation Firewall Enterprise con il servizio di prevenzione delle intrusioni (IPS) per eseguire l'ispezione approfondita dei pacchetti per la prevenzione delle minacce senza alcuna modifica di progettazione o routing. Questa ispezione è soggetta alle applicazioni specifiche a cui viene eseguito l'accesso, al modello di comunicazione e ai requisiti di sicurezza. Se i requisiti di sicurezza richiedono il livello 7 e l'ispezione approfondita dei pacchetti con meccanismi di firewalling avanzati che superano le funzionalità di Cloud Next Generation Firewall, puoi utilizzare un NGFW (Next Generation Firewall) centralizzato in hosting in un'appliance virtuale di rete (NVA).
Diversi Google Cloud
partner per la sicurezza
offrono appliance NGFW in grado di soddisfare i tuoi requisiti di sicurezza. L'integrazione di NVA con questi pattern con controlli può richiedere l'introduzione di più zone di sicurezza all'interno della progettazione della rete, ciascuna con livelli di controllo dell'accesso distinti.
[[["Facile da capire","easyToUnderstand","thumb-up"],["Il problema è stato risolto","solvedMyProblem","thumb-up"],["Altra","otherUp","thumb-up"]],[["Difficile da capire","hardToUnderstand","thumb-down"],["Informazioni o codice di esempio errati","incorrectInformationOrSampleCode","thumb-down"],["Mancano le informazioni o gli esempi di cui ho bisogno","missingTheInformationSamplesINeed","thumb-down"],["Problema di traduzione","translationIssue","thumb-down"],["Altra","otherDown","thumb-down"]],["Ultimo aggiornamento 2025-01-23 UTC."],[[["\u003cp\u003eThe gated pattern provides fine-grained control over the exposure of applications and services through specific APIs or endpoints, and is categorized into gated egress, gated ingress, and bidirectional gated patterns.\u003c/p\u003e\n"],["\u003cp\u003eThe networking architecture patterns can be customized to fit different applications' needs, allowing for single or combined pattern use within a main landing zone architecture based on the communication requirements.\u003c/p\u003e\n"],["\u003cp\u003eA common design option for all gated patterns is the Zero Trust Distributed Architecture for containerized applications with microservices, utilizing Cloud Service Mesh, Apigee, and Apigee Adapter for Envoy to secure service-to-service communications.\u003c/p\u003e\n"],["\u003cp\u003eGated patterns can integrate Cloud Next Generation Firewall Enterprise with intrusion prevention service (IPS) for deep packet inspection or can be implemented with centralized next generation firewall (NGFW) hosted in a network virtual appliance (NVA) for more advanced security.\u003c/p\u003e\n"]]],[],null,["# Gated patterns\n\nThe *gated* pattern is based on an architecture that exposes select\napplications and services in a fine-grained manner, based on specific exposed\nAPIs or endpoints between the different environments. This guide categorizes\nthis pattern into three possible options, each determined by the specific\ncommunication model:\n\n- [Gated egress](/architecture/hybrid-multicloud-secure-networking-patterns/gated-egress)\n- [Gated ingress](/architecture/hybrid-multicloud-secure-networking-patterns/gated-ingress)\n\n- [Gated egress and ingress](/architecture/hybrid-multicloud-secure-networking-patterns/gated-egress-ingress)\n (bidirectional gated in both directions)\n\nAs previously mentioned in this guide, the networking architecture patterns\ndescribed here can be adapted to various applications with diverse requirements.\nTo address the specific needs of different applications, your main landing zone\narchitecture might incorporate one pattern or a combination of patterns\nsimultaneously. The specific deployment of the selected architecture is\ndetermined by the specific communication requirements of each gated pattern.\n| **Note:** In general, the *gated* pattern can be applied or incorporated with the landing zone design option that exposes the services in a [consumer-producer model](/architecture/landing-zones/decide-network-design#option-4).\n\nThis series discusses each gated pattern and its possible design options.\nHowever, one common design option applicable to all gated patterns is the\n[Zero Trust Distributed Architecture](/architecture/network-hybrid-multicloud#zero_trust_distributed_architecture)\nfor containerized applications with microservice architecture. This option is\npowered by\n[Cloud Service Mesh](/anthos/service-mesh),\nApigee, and\n[Apigee Adapter for Envoy](/apigee/docs/api-platform/envoy-adapter/v2.0.x/concepts)---a\nlightweight Apigee gateway deployment within a Kubernetes cluster.\nApigee Adapter for Envoy is a popular, open source edge and service proxy that's\ndesigned for cloud-first applications. This architecture controls allowed secure\nservice-to-service communications and the direction of communication at a\nservice level. Traffic communication policies can be designed, fine-tuned, and\napplied at the service level based on the selected pattern.\n\nGated patterns allow for the implementation of Cloud Next Generation Firewall Enterprise\nwith\n[intrusion prevention service (IPS)](/firewall/docs/about-intrusion-prevention)\nto perform deep packet inspection for threat prevention without any design\nor routing modifications. That inspection is subject to the specific\napplications being accessed, the communication model, and the security\nrequirements. If security requirements demand Layer 7 and deep packet inspection\nwith advanced firewalling mechanisms that surpass the capabilities of\nCloud Next Generation Firewall, you can use a centralized next generation firewall (NGFW)\n[hosted in a network virtual appliance (NVA)](/architecture/network-secure-intra-cloud-access#network_virtual_appliance).\nSeveral Google Cloud\n[security partners](/security/partners)\noffer NGFW appliances that can meet your security requirements. Integrating NVAs\nwith these gated patterns can require introducing multiple security zones within\nthe network design, each with distinct access control levels."]]
