Il pattern gated si basa su un'architettura che espone di applicazioni e servizi in modo granulare, in base a API o endpoint tra i diversi ambienti. Questa guida suddivide questo schema in tre possibili opzioni, ciascuna determinata dal modello di comunicazione specifico:
- Traffico in uscita ad accesso controllato
In entrata e in uscita con controllo (controllo bidirezionale in entrambe le direzioni)
Come accennato in precedenza in questa guida, gli schemi di architettura di rete descritti qui possono essere adattati a varie applicazioni con requisiti diversi. Per soddisfare le esigenze specifiche di diverse applicazioni, l'architettura della zona di destinazione principale potrebbe incorporare contemporaneamente un pattern o una combinazione di pattern. Il deployment specifico dell'architettura selezionata in base ai requisiti specifici di comunicazione di ciascun modello ad accesso riservato.
Questa serie illustra ogni modello ad accesso riservato e le relative opzioni di progettazione possibili. Tuttavia, un'opzione di progettazione comune applicabile a tutti i pattern con accesso limitato è Architettura distribuita senza attendibilità per applicazioni containerizzate con l'architettura di microservizi. Questa opzione è basata su Cloud Service Mesh, Apigee e Apigee Adapter for Envoy, un deployment di gateway Apigee leggero all'interno di un cluster Kubernetes. Apigee Adapter per Envoy è un popolare proxy perimetrale e di servizi open source, progettato per applicazioni cloud-first. Questa architettura controlla la sicurezza delle immagini comunicazioni tra servizi e la direzione di comunicazione a livello il livello di servizio. I criteri di comunicazione del traffico possono essere progettati, perfezionati e applicati a livello di servizio in base al pattern selezionato.
I pattern con controllo consentono l'implementazione di Cloud Next Generation Firewall Enterprise con il servizio di prevenzione delle intrusioni (IPS) per eseguire ispezioni approfondite dei pacchetti per la prevenzione delle minacce senza alcuna modifica di progettazione o routing. Questa ispezione è soggetta alle applicazioni specifiche a cui viene eseguito l'accesso, al modello di comunicazione e ai requisiti di sicurezza. Se i requisiti di sicurezza richiedono il livello 7 e un'ispezione approfondita dei pacchetti con meccanismi firewall avanzati che superano le capacità Cloud Next Generation Firewall, puoi utilizzare un firewall centralizzato di nuova generazione (NGFW) ospitato in un'appliance virtuale di rete (NVA). Diversi prodotti Google Cloud partner per la sicurezza offrire appliance NGFW in grado di soddisfare le tue esigenze di sicurezza. L'integrazione di NVA con questi pattern con controlli può richiedere l'introduzione di più zone di sicurezza all'interno della progettazione della rete, ciascuna con livelli di controllo dell'accesso distinti.