Il pattern gated si basa su un'architettura che espone applicazioni e servizi selezionati in modo granulare, in base ad API o endpoint esposti specifici tra i diversi ambienti. Questa guida suddivide questo schema in tre possibili opzioni, ciascuna determinata dal modello di comunicazione specifico:
- Traffico in uscita soggetto a restrizioni
In entrata e in uscita con controllo (controllo bidirezionale in entrambe le direzioni)
Come accennato in precedenza in questa guida, gli schemi di architettura di rete descritti qui possono essere adattati a varie applicazioni con requisiti diversi. Per soddisfare le esigenze specifiche di diverse applicazioni, l'architettura della zona di destinazione principale potrebbe incorporare contemporaneamente un pattern o una combinazione di pattern. Il deployment specifico dell'architettura selezionata è determinato dai requisiti di comunicazione specifici di ogni pattern con accesso controllato.
Questa serie illustra ogni pattern con controllo e le relative opzioni di progettazione. Tuttavia, un'opzione di progettazione comune applicabile a tutti i pattern con controlli è l'architettura distribuita Zero Trust per le applicazioni containerizzate con architettura di microservizi. Questa opzione è basata su Cloud Service Mesh, Apigee e Apigee Adapter for Envoy, un deployment di gateway Apigee leggero all'interno di un cluster Kubernetes. Apigee Adapter for Envoy è un proxy di servizi e edge open source molto utilizzato, progettato per le applicazioni cloud-first. Questi controlli dell'architettura hanno consentito comunicazioni tra servizi sicure e la direzione della comunicazione a livello di servizio. I criteri di comunicazione del traffico possono essere progettati, perfezionati e applicati a livello di servizio in base al pattern selezionato.
I pattern con controllo consentono l'implementazione di Cloud Next Generation Firewall Enterprise con il servizio di prevenzione delle intrusioni (IPS) per eseguire l'ispezione approfondita dei pacchetti per la prevenzione delle minacce senza alcuna modifica di progettazione o routing. L'ispezione è soggetta alle applicazioni specifiche a cui viene eseguito l'accesso, al modello di comunicazione e ai requisiti di sicurezza. Se i requisiti di sicurezza richiedono il livello 7 e l'ispezione approfondita dei pacchetti con meccanismi di firewalling avanzati che superano le funzionalità di Cloud Next Generation Firewall, puoi utilizzare un NGFW (Next Generation Firewall) centralizzato in hosting in un'appliance virtuale di rete (NVA). Diversi Google Cloud partner per la sicurezza offrono appliance NGFW in grado di soddisfare i tuoi requisiti di sicurezza. L'integrazione di NVA con questi pattern con controlli può richiedere l'introduzione di più zone di sicurezza all'interno della progettazione della rete, ciascuna con livelli di controllo dell'accesso distinti.