封闭模式基于一种架构,该架构根据不同环境之间特定的公开 API 或端点,以精细的方式公开选定的应用和服务。本指南将此模式分为三种可能的选项,每种选项均由特定通信模型决定:
- 封闭出站流量
封闭出站流量和封闭入站流量(双向封闭)
如本指南前所述,此处描述的网络架构模式可适应具有不同要求的各种应用。为了满足不同应用的特定需求,您的主着陆区架构可能会同时整合一种模式或模式组合。所选架构的具体部署取决于每个分段模式的具体通信要求。
本系列文章将介绍每种分段模式及其可能的设计选项。但是,适用于所有封闭模式的常见设计方案是针对具有微服务架构的容器化应用的零信任分布式架构。此选项由 Cloud Service Mesh、Apigee 和 Apigee Adapter for Envoy(Kubernetes 集群内的轻量级 Apigee 网关部署)提供支持。 Apigee Adapter for Envoy 是一种广受欢迎的开源边缘和服务代理,专为云优先应用而设计。此架构控制允许安全的服务间通信以及在服务级层的通信方向。您可以根据所选模式在服务级别设计、微调和应用流量通信政策。
采用带门控的模式,可通过使用入侵防御服务 (IPS) 来实现 Cloud 新一代防火墙企业版,以便执行深度数据包检测来防范威胁,而无需进行任何设计或路由修改。该检查取决于所访问的特定应用、通信模型和安全要求。如果安全要求需要第 7 层检查和深度数据包检查,并且高级防火墙机制超出了 Cloud 下一代防火墙的功能,您可以使用在网络虚拟设备 (NVA) 中托管的集中式下一代防火墙 (NGFW)。多家 Google Cloud 安全合作伙伴提供可满足您安全要求的 NGFW 设备。将 NVA 与这些封闭模式集成可能需要在网络设计中引入多个安全区域,每个区域具有不同的访问权限控制级别。如需了解详情,请参阅 Google Cloud 上的集中式网络设备。