Il pattern con restrizioni si basa su un'architettura che espone applicazioni e servizi selezionati in modo granulare, sulla base di API o endpoint specifici esposti tra i diversi ambienti. Questa guida classifica questo modello in tre possibili opzioni, ciascuna determinata in base al modello di comunicazione specifico:
- Traffico in uscita ad accesso controllato
In uscita e in entrata con accesso limitato (con gate bidirezionale in entrambe le direzioni)
Come accennato in precedenza in questa guida, i pattern dell'architettura di networking qui descritti possono essere adattati a varie applicazioni con requisiti diversi. Per soddisfare le esigenze specifiche di diverse applicazioni, l'architettura della zona di destinazione principale potrebbe incorporare un pattern o una combinazione di pattern contemporaneamente. Il deployment specifico dell'architettura selezionata è determinato dai requisiti di comunicazione specifici di ciascun pattern con accesso limitato.
Questa serie illustra ogni modello ad accesso riservato e le relative opzioni di progettazione possibili. Tuttavia, un'opzione di progettazione comune applicabile a tutti i pattern con accesso limitato è l'architettura distribuita Zero Trust per le applicazioni containerizzate con architettura di microservizi. Questa opzione si basa su Cloud Service Mesh, Apigee e Apigee Adapter per Envoy, un deployment di gateway Apigee leggero all'interno di un cluster Kubernetes. Apigee Adapter per Envoy è un popolare proxy di servizio e perimetrale open source progettato per applicazioni cloud-first. Questi controlli di architettura hanno consentito le comunicazioni sicure tra i servizi e la direzione della comunicazione a livello di servizio. I criteri di comunicazione del traffico possono essere progettati, perfezionati e applicati al livello di servizio in base al pattern selezionato.
I pattern limitati consentono l'implementazione di Cloud Firewall Enterprise di nuova generazione con il servizio di prevenzione delle intrusioni (IPS) per eseguire un'ispezione approfondita dei pacchetti per la prevenzione delle minacce senza alcuna modifica alla progettazione o al routing. L'ispezione è soggetta alle applicazioni specifiche a cui si accede, al modello di comunicazione e ai requisiti di sicurezza. Se i requisiti di sicurezza richiedono il livello 7 e un'ispezione approfondita dei pacchetti con meccanismi di firewall avanzati che superano le capacità del firewall di Cloud Next Generation, puoi utilizzare un firewall centralizzato di nuova generazione (NGFW) ospitato in un'appliance virtuale di rete (NVA). Diversi partner per la sicurezza di Google Cloud offrono appliance NGFW in grado di soddisfare le tue esigenze di sicurezza. L'integrazione delle VM con questi pattern di accesso può richiedere l'introduzione di più zone di sicurezza all'interno della progettazione della rete, ciascuna con livelli di controllo dell'accesso dell'accesso distinti. Per ulteriori informazioni, consulta Appliance di rete centralizzate su Google Cloud.