Allgemeine Best Practices

Beachten Sie beim Entwerfen und Onboarding von Cloud-Identitäten, der Ressourcenhierarchie und Landing-Zone-Netzwerken die Designempfehlungen im Artikel Landing-Zone-Design in Google Cloud und die Google Cloud-Sicherheitsbest Practices im Enterprise Foundations-Blueprint. Prüfen Sie das ausgewählte Design anhand der folgenden Dokumente:

• Best Practices und Referenzarchitekturen für das VPC-Design
• Ressourcenhierarchie für Ihre Google Cloud-Landing-Zone festlegen
• Google Cloud-Architektur-Framework: Sicherheit, Datenschutz und Compliance

Beachten Sie außerdem die folgenden allgemeinen Best Practices:

• Berücksichtigen Sie bei der Auswahl einer Option für die Hybrid- oder Multi-Cloud-Netzwerkkonnektivität Geschäfts- und Anwendungsanforderungen wie SLAs, Leistung, Sicherheit, Kosten, Zuverlässigkeit und Bandbreite. Weitere Informationen finden Sie unter Network Connectivity-Produkt auswählen und Muster zum Verbinden anderer Cloud-Dienstanbieter mit Google Cloud.

• Verwenden Sie freigegebene VPCs in Google Cloud anstelle mehrerer VPCs, wenn dies angemessen und mit den Anforderungen Ihres Ressourcenhierarchie-Designs übereinstimmt. Weitere Informationen finden Sie unter Entscheiden, ob mehrere VPC-Netzwerke erstellt werden sollen.

• Befolgen Sie die Best Practices für die Planung von Konten und Organisationen.

• Richten Sie gegebenenfalls eine gemeinsame Identität zwischen Umgebungen ein, damit sich Systeme über Umgebungsgrenzen hinweg sicher authentifizieren können.

• Wenn Sie Anwendungen in einer Hybridumgebung sicher für Unternehmensnutzer freigeben und den Ansatz auswählen möchten, der Ihren Anforderungen am besten entspricht, sollten Sie die empfohlenen Methoden zur Einbindung von Google Cloud in Ihr Identitätsverwaltungssystem befolgen.

  • Weitere Informationen finden Sie unter Muster zum Authentifizieren von Belegschaftsnutzern in einer Hybridumgebung.

• Berücksichtigen Sie beim Entwerfen Ihrer lokalen und Cloud-Umgebungen frühzeitig die IPv6-Adressen und berücksichtigen Sie, welche Dienste diese unterstützen. Weitere Informationen finden Sie unter Einführung in IPv6 in Google Cloud. Dort werden die Dienste zusammengefasst, die zum Zeitpunkt der Veröffentlichung des Blogs unterstützt wurden.

• Beim Entwerfen, Bereitstellen und Verwalten Ihrer VPC-Firewallregeln haben Sie folgende Möglichkeiten:

  • Verwenden Sie die Filterung nach Dienstkonten und nicht nach Netzwerktags, wenn Sie eine strenge Kontrolle darüber benötigen, wie Firewallregeln auf VMs angewendet werden.
  • Verwenden Sie Firewallrichtlinien, wenn Sie mehrere Firewallregeln gruppieren, damit Sie sie alle gleichzeitig aktualisieren können. Sie können die Richtlinie auch hierarchisch gestalten. Details und Spezifikationen zu hierarchischen Firewallrichtlinien finden Sie unter Hierarchische Firewallrichtlinien.
  • Verwenden Sie Standortobjekte in der Firewallrichtlinie, wenn Sie externen IPv4- und externen IPv6-Traffic anhand bestimmter geografischer Standorte oder Regionen filtern möchten.
  • Verwenden Sie Threat Intelligence für Firewallregeln , wenn Sie Ihr Netzwerk schützen möchten, indem Sie Traffic basierend auf Threat Intelligence-Daten zulassen oder blockieren, z. B. bekannte schädliche IP-Adressen oder IP-Adressbereiche der öffentlichen Cloud. Sie können beispielsweise Traffic aus bestimmten öffentlichen Cloud-IP-Adressbereichen zulassen, wenn Ihre Dienste nur mit dieser öffentlichen Cloud kommunizieren müssen. Weitere Informationen finden Sie unter Best Practices für Firewallregeln.

• Sie sollten Ihre Cloud- und Netzwerksicherheit immer mit einem mehrschichtigen Sicherheitsansatz entwerfen und dabei zusätzliche Sicherheitsebenen berücksichtigen, z. B.:

  • Google Cloud Armor
  • Cloud Intrusion Detection System
  • Cloud Next Generation Firewall IPS
  • Threat Intelligence für Firewallrichtlinien-Regeln

  Mit diesen zusätzlichen Schichten können Sie eine Vielzahl von Bedrohungen auf Netzwerk- und Anwendungsebene filtern, prüfen und überwachen, um sie zu analysieren und zu verhindern.

• Bei der Entscheidung, wo die DNS-Auflösung in einer Hybridumgebung erfolgen soll, empfehlen wir, zwei autoritative DNS-Systeme für Ihre private Google Cloud-Umgebung und für Ihre lokalen Ressourcen zu verwenden, die von vorhandenen DNS-Servern in Ihrer lokalen Umgebung gehostet werden. Weitere Informationen finden Sie unter Ort der DNS-Auflösung auswählen.

• Stellen Sie Anwendungen nach Möglichkeit immer über APIs mit einem API-Gateway oder Load Balancer bereit. Wir empfehlen eine API-Plattform wie Apigee. Apigee fungiert als Abstraktion oder Fassade für Ihre Back-End-Dienst-APIs in Kombination mit Sicherheitsfunktionen, Ratenbegrenzung, Kontingenten und Analysen.

• Eine API-Plattform (Gateway oder Proxy) und ein Application Load Balancer schließen sich nicht gegenseitig aus. Manchmal ist die gemeinsame Verwendung von API-Gateways und Load Balancern eine robustere und sicherere Lösung für die Verwaltung und Verteilung von API-Traffic in großem Maßstab. Mit Cloud Load Balancing API-Gateways haben Sie folgende Möglichkeiten:

  • Mit Apigee und Cloud CDN leistungsstarke APIs bereitstellen, um:

    • Latenz reduzieren
    • APIs global hosten

    • Verfügbarkeit für Zeiten mit hohem Traffic erhöhen

      Weitere Informationen finden Sie im Video Leistungsstarke APIs mit Apigee und Cloud CDN bereitstellen auf YouTube.

  • Implementieren Sie die erweiterte Traffic-Verwaltung.

  • Verwenden Sie Google Cloud Armor als DDoS-Schutz, WAF und Netzwerksicherheitsdienst zum Schutz Ihrer APIs.

  • Effizientes Load Balancing über mehrere Gateways hinweg in mehreren Regionen. Weitere Informationen findest du unter APIs sichern und multiregionalen Failover implementieren mit PSC und Apigee.

• Um zu bestimmen, welches Cloud Load Balancing-Produkt verwendet werden soll, müssen Sie erst einmal festlegen, welche Art von Traffic Ihre Load-Balancer verarbeiten müssen. Weitere Informationen finden Sie unter Load-Balancer auswählen.

• Wenn Cloud Load Balancing verwendet wird, sollten Sie gegebenenfalls die Funktionen zur Optimierung der Anwendungskapazität nutzen. Auf diese Weise können Sie einige der Kapazitätsprobleme bewältigen, die bei global verteilten Anwendungen auftreten können.

  • Ausführliche Informationen zur Latenz finden Sie unter Anwendungslatenz mithilfe von Load Balancing optimieren.

• Während Cloud VPN den Traffic zwischen Umgebungen verschlüsselt, müssen Sie bei Cloud Interconnect entweder MACsec oder HA VPN über Cloud Interconnect verwenden, um Traffic während der Übertragung auf der Verbindungsebene zu verschlüsseln. Weitere Informationen finden Sie unter Wie kann ich Traffic über Cloud Interconnect verschlüsseln?

  • Sie können auch die Verschlüsselung der Dienstebene mit TLS in Betracht ziehen. Weitere Informationen finden Sie unter Entscheiden, wie Compliance-Anforderungen für die Verschlüsselung bei der Übertragung erfüllt werden sollen.

• Wenn Sie über eine VPN-Hybridverbindung ein größeres Trafficvolumen benötigen, als ein einzelner VPN-Tunnel unterstützen kann, können Sie die Option Aktiv/Aktiv-HA VPN-Routing verwenden.

  • Für langfristige Hybrid- oder Multi-Cloud-Umgebungen mit hohem ausgehenden Datenübertragungsvolumen sollten Sie Cloud Interconnect oder Cross-Cloud Interconnect in Betracht ziehen. Mit diesen Konnektivitätsoptionen lässt sich die Konnektivitätsleistung optimieren und die Kosten für die ausgehende Datenübertragung senken, die bestimmte Bedingungen erfüllen. Weitere Informationen finden Sie unter Cloud Interconnect-Preise.

• Wenn Sie eine Verbindung zu Google Cloud-Ressourcen herstellen und zwischen Cloud Interconnect, Direct Peering oder Carrier Peering wählen möchten, empfehlen wir Cloud Interconnect, es sei denn, Sie müssen auf Google Workspace-Anwendungen zugreifen. Weitere Informationen finden Sie im Vergleich der Funktionen von Direct Peering mit Cloud Interconnect und Carrier Peering mit Cloud Interconnect.

• Reservieren Sie von Ihrem bestehenden IP-Adressbereich nach RFC 1918 einen ausreichend großen Adressbereich für Ihre in der Cloud gehosteten Systeme.

• Wenn Sie aufgrund technischer Einschränkungen Ihren IP-Adressbereich beibehalten müssen, haben Sie folgende Möglichkeiten:

  • Verwenden Sie dieselben internen IP-Adressen für Ihre lokalen Arbeitslasten, während Sie sie mithilfe von Hybrid-Subnetzen zu Google Cloud migrieren.

  • Mit Eigene IP-Adresse verwenden (BYOIP) können Sie Ihre eigenen öffentlichen IPv4-Adressen für Google Cloud-Ressourcen bereitstellen und verwenden.

• Wenn für das Design Ihrer Lösung eine Google Cloud-basierte Anwendung für das öffentliche Internet freigegeben werden muss, beachten Sie die Designempfehlungen unter Netzwerk für die Bereitstellung internetfähiger Anwendungen.

• Verwenden Sie gegebenenfalls Private Service Connect-Endpunkte, um Arbeitslasten in Google Cloud, lokal oder in einer anderen Cloud-Umgebung mit Hybridverbindung zu ermöglichen, privat über interne IP-Adressen auf Google APIs oder veröffentlichte Dienste zuzugreifen.

• Wenn Sie Private Service Connect verwenden, müssen Sie Folgendes steuern:

  • Wer Private Service Connect-Ressourcen bereitstellen kann.
  • Ob Verbindungen zwischen Nutzern und Erstellern hergestellt werden können.
  • Welcher Netzwerkverkehr auf diese Verbindungen zugreifen darf.

  Weitere Informationen finden Sie unter Private Service Connect-Sicherheit.

• So erreichen Sie eine robuste Cloud-Umgebung im Kontext einer Hybrid- und Multi-Cloud-Architektur:

  • Führen Sie eine umfassende Bewertung der erforderlichen Zuverlässigkeitsstufen der verschiedenen Anwendungen in verschiedenen Umgebungen durch. So können Sie Ihre Ziele in Bezug auf Verfügbarkeit und Ausfallsicherheit erreichen.
  • Informieren Sie sich über die Zuverlässigkeitsfunktionen und Designprinzipien Ihres Cloud-Anbieters. Weitere Informationen finden Sie unter Zuverlässigkeit der Google Cloud-Infrastruktur.

• Transparenz und Monitoring des Cloud-Netzwerks sind entscheidend, um eine zuverlässige Kommunikation aufrechtzuerhalten. Das Network Intelligence Center bietet eine einzige Konsole zum Verwalten der Sichtbarkeit, Überwachung und Fehlerbehebung des Netzwerks.