El patrón gated se basa en una arquitectura que expone aplicaciones y servicios seleccionados de forma precisa, en función de las APIs o los endpoints expuestos específicos entre los diferentes entornos. En esta guía, se clasifica este patrón en tres opciones posibles, cada una determinada por el modelo de comunicación específico:
- Salida controlada
Salida y entrada controladas (control bidireccional en ambas direcciones)
Como se ha mencionado anteriormente en esta guía, los patrones de arquitectura de redes que se describen aquí se pueden adaptar a varias aplicaciones con requisitos diversos. Para satisfacer las necesidades específicas de las diferentes aplicaciones, la arquitectura de tu zona de aterrizaje principal puede incorporar un patrón o una combinación de patrones simultáneamente. La implementación específica de la arquitectura seleccionada se determina en función de los requisitos de comunicación específicos de cada patrón protegido.
En esta serie se analiza cada patrón de acceso restringido y sus posibles opciones de diseño. Sin embargo, una opción de diseño habitual que se puede aplicar a todos los patrones protegidos es la arquitectura distribuida de confianza cero para aplicaciones en contenedores con arquitectura de microservicios. Esta opción se basa en Cloud Service Mesh, Apigee y Apigee Adapter for Envoy, un despliegue ligero de la pasarela de Apigee en un clúster de Kubernetes. Apigee Adapter for Envoy es un proxy de servicio y de edge popular de código abierto diseñado para aplicaciones basadas en la nube. Esta arquitectura controla las comunicaciones seguras permitidas entre servicios y la dirección de la comunicación a nivel de servicio. Las políticas de comunicación de tráfico se pueden diseñar, ajustar y aplicar a nivel de servicio en función del patrón seleccionado.
Los patrones de acceso controlado permiten implementar Cloud Next Generation Firewall Enterprise con el servicio de prevención de intrusiones (IPS) para realizar una inspección profunda de paquetes con el fin de prevenir amenazas sin tener que modificar el diseño ni el enrutamiento. Esta inspección está sujeta a las aplicaciones específicas a las que se accede, al modelo de comunicación y a los requisitos de seguridad. Si los requisitos de seguridad exigen la capa 7 y la inspección profunda de paquetes con mecanismos de cortafuegos avanzados que superen las funciones de Cloud Next Generation Firewall, puedes usar un cortafuegos de nueva generación (NGFW) centralizado alojado en un dispositivo virtual de red (NVA). Varios Google Cloud partners de seguridad ofrecen dispositivos NGFW que pueden cumplir tus requisitos de seguridad. Para integrar las AVNs con estos patrones protegidos, es posible que tengas que introducir varias zonas de seguridad en el diseño de la red, cada una con niveles de control de acceso distintos.