Der Inhalt dieses Dokuments wurde im Dezember 2023 zum letzten Mal aktualisiert und stellt den Stand bei der Erstellung dar. Die Sicherheitsrichtlinien und -systeme von Google Cloud können sich aber in Zukunft ändern, da wir den Schutz unserer Kundinnen und Kunden kontinuierlich verbessern.

In diesem Dokument werden die Best Practices beschrieben, mit denen Sie ein grundlegendes Ressourcenset in Google Cloudbereitstellen können. Eine Cloud-Grundlage ist die Basis für Ressourcen, Konfigurationen und Funktionen, mit denen UnternehmenGoogle Cloud für ihre Geschäftsanforderungen nutzen können. Eine gut konzipierte Grundlage ermöglicht eine einheitliche Governance, Sicherheitskontrollen, Skalierung, Sichtbarkeit und Zugriff auf freigegebene Dienste für alle Arbeitslasten in Ihrer Google Cloud Umgebung. Nachdem Sie die in diesem Dokument beschriebenen Kontrollen und Governance bereitgestellt haben, können Sie Arbeitslasten in Google Cloudbereitstellen.

Der Blueprint für Unternehmensgrundlagen (ehemals Blueprint zu Sicherheitsgrundlagen) richtet sich an Architekten, Sicherheitsexperten und Plattformentwicklerteams, die für das Design einer für Unternehmen geeigneten Umgebung in Google Cloudverantwortlich sind. Dieser Blueprint besteht aus folgenden Elementen:

• Ein GitHub-Repository für terraform-example-foundation, das die bereitstellbaren Terraform-Assets enthält.
• Eine Anleitung, die die Architektur, das Design und Kontrollen beschreibt, die Sie mit dem Blueprint implementieren (dieses Dokument).

Sie haben zwei Möglichkeiten zur Verwendung dieser Anleitung:

• Zum Erstellen einer vollständigen Grundlage basierend auf den Best Practices von Google. Sie können alle Empfehlungen in diesem Leitfaden als Ausgangspunkt verwenden und die Umgebung dann an die spezifischen Anforderungen Ihres Unternehmens anpassen.
• Vorhandene Umgebung in Google Cloudprüfen. Sie können bestimmte Komponenten Ihres Designs mit den von Google empfohlenen Best Practices vergleichen.

Unterstützte Anwendungsfälle

Der Blueprint zur Unternehmensbasis bietet eine grundlegende Ebene von Ressourcen und Konfigurationen, mit denen Sie alle Arten von Arbeitslasten in Google Cloudaktivieren können. Egal, ob Sie vorhandene Computing-Arbeitslasten zu Google Cloudmigrieren, Container-Webanwendungen erstellen oder Big-Data- und ML-Arbeitslasten erstellen – mit dem Blueprint für Unternehmensgrundlagen können Sie Ihre Umgebung zur Unterstützung von Unternehmensarbeitslasten im großen Maßstab erstellen.

Nachdem Sie den Blueprint zur Unternehmensgrundlage bereitgestellt haben, können Sie Arbeitslasten direkt bereitstellen oder zusätzliche Blueprints bereitstellen, um komplexe Arbeitslasten zu unterstützen, die zusätzliche Funktionen erfordern.

Ein Defense-in-Depth-Sicherheitsmodell

Google Cloud -Dienste profitieren vom zugrunde liegenden Sicherheitsdesign der Google-Infrastruktur. Sie sind dafür verantwortlich, die Sicherheit in die Systeme zu integrieren, die Sie auf Google Cloudaufbauen. Mit dem Blueprint zur Unternehmensgrundlage können Sie ein Defense-in-Depth-Sicherheitsmodell für Ihre Google Cloud Dienste und Arbeitslasten implementieren.

Das folgende Diagramm zeigt ein Defense-in-Depth-Sicherheitsmodell für IhreGoogle Cloud Organisation, das Architekturkontrollen, Richtlinienkontrollen und Aufdeckungskontrollen kombiniert.

Das Diagramm beschreibt die folgenden Kontrollen:

• Richtlinienkontrollen sind programmatische Einschränkungen, die akzeptable Ressourcenkonfigurationen erzwingen und riskante Konfigurationen verhindern. Der Blueprint verwendet eine Kombination aus Richtlinienkontrollen, einschließlich IaC-Validierung (Infrastructure-as-Code) in Ihrer Pipeline und in den Einschränkungen der Organisationsrichtlinien.
• Architekturkontrollen sind die Konfiguration von Google Cloud Ressourcen wie Netzwerken und Ressourcenhierarchie. Die Blueprint-Architektur basiert auf Best Practices für die Sicherheit.
• Mit Aufdeckungskontrollen können Sie ungewöhnliches oder böswilliges Verhalten innerhalb der Organisation erkennen. Der Blueprint verwendet Plattformfeatures wie Security Command Center, lässt sich in Ihre vorhandenen Aufdeckungskontrollen und Workflows wie ein Security Operations Center (SOC) einbinden und bietet Funktionen zum Erzwingen benutzerdefinierter Aufdeckungskontrollen.

Wichtige Entscheidungen

In diesem Abschnitt werden die allgemeinen architektonischen Entscheidungen des Blueprints zusammengefasst.

Das Diagramm zeigt, wie Google Cloud Dienste zu wichtigen Architekturentscheidungen beitragen:

• Cloud Build:Infrastrukturressourcen werden mit einem GitOps-Modell verwaltet. Ein deklarativer IaC wird in Terraform geschrieben und in einem Versionsverwaltungssystem zur Überprüfung und Genehmigung verwaltet. Ressourcen werden mit Cloud Build als CI/CD-Automatisierungstool (Continuous Integration und Continuous Deployment) bereitgestellt. Außerdem werden in der Pipeline Policy-as-Code-Prüfungen erzwungen, um vor der Bereitstellung zu prüfen, ob die Ressourcen den erwarteten Konfigurationen entsprechen.
• Cloud Identity:Nutzer und Gruppenmitgliedschaften werden über Ihren vorhandenen Identitätsanbieter synchronisiert. Die Kontrollen für die Lebenszyklusverwaltung von Nutzerkonten und die Einmalanmeldung (SSO) basieren auf den vorhandenen Kontrollen und Prozessen Ihres Identitätsanbieters.
• Identity and Access Management, IAM: Zulassungsrichtlinien (früher IAM-Richtlinien) ermöglichen den Zugriff auf Ressourcen und werden basierend auf der Jobfunktion auf Gruppen angewendet. Nutzer werden den entsprechenden Gruppen hinzugefügt, um Lesezugriff auf die Foundation-Ressourcen zu erhalten. Alle Änderungen an Foundation-Ressourcen werden über die CI/CD-Pipeline bereitgestellt, die bevollmächtigte Dienstkontoidentitäten verwendet.
• Resource Manager:Alle Ressourcen werden in einer einzigen Organisation verwaltet. Dabei wird eine Ressourcenhierarchie von Ordnern verwendet, in der Projekte nach Umgebungen organisiert werden. Projekte werden mit Metadaten für die Verwaltung versehen, einschließlich der Kostenzuordnung.
• Netzwerk: Netzwerktopologien verwenden eine freigegebene VPC, um Netzwerkressourcen für Arbeitslasten in mehreren Regionen und Zonen bereitzustellen, nach Umgebung getrennt und zentral verwaltet. Alle Netzwerkpfade zwischen lokalen Hosts, Google Cloud Ressourcen in den VPC-Netzwerken und Google Cloud Diensten sind privat. Standardmäßig ist kein ausgehender Traffic vom oder eingehender Traffic aus dem öffentlichen Internet zulässig.
• Cloud Logging: Aggregierte Logsenken sind so konfiguriert, dass für die Sicherheit und Prüfung relevante Logs in einem zentralisierten Projekt zur langfristigen Aufbewahrung, Analyse und für den Export in externe Systeme erfasst werden.
• Organization Policy Service: Einschränkungen für Organisationsrichtlinien sind dafür konfiguriert, verschiedene Konfigurationen mit hohem Risiko zu verhindern.
• Secret Manager:Zentrale Projekte werden für ein Team erstellt, das für die Verwaltung und Prüfung der Verwendung vertraulicher Anwendungs-Secrets verantwortlich ist, um Compliance-Anforderungen zu erfüllen.
• Cloud Key Management Service (Cloud KMS): Zentrale Projekte werden für ein Team erstellt, das für die Verwaltung und Prüfung von Verschlüsselungsschlüsseln verantwortlich ist, um Compliance-Anforderungen zu erfüllen.
• Security Command Center: Bedrohungserkennungs- und Monitoring-Funktionen werden mit einer Kombination aus integrierten Sicherheitskontrollen aus dem Security Command Center und benutzerdefinierten Lösungen bereitgestellt, mit denen Sie Sicherheitsereignisse erkennen und darauf reagieren können.

Alternativen zu diesen wichtigen Entscheidungen finden Sie unter Alternativen.

Nächste Schritte

• Authentifizierung und Autorisierung (nächstes Dokument in dieser Reihe).

Authentifizierung und Autorisierung

In diesem Abschnitt wird erläutert, wie Sie mit Cloud Identity die Identitäten verwalten, mit denen Ihre Mitarbeiter auf Google Cloud-Dienste zugreifen.

Externer Identitätsanbieter als „Source of Truth“

Wir empfehlen, Ihr Cloud Identity-Konto mit Ihrem vorhandenen Identitätsanbieter zu föderieren. Mit Föderation wird sichergestellt, dass Ihre vorhandenen Kontoverwaltungsprozesse auf Google Cloud und andere Google-Dienste angewendet werden.

Wenn Sie noch keinen Identitätsanbieter haben, können Sie Nutzerkonten direkt in Cloud Identity erstellen.

Das folgende Diagramm zeigt eine allgemeine Ansicht der Identitätsföderation und der Einmalanmeldung (SSO). Als Beispiel für einen Identitätsanbieter wird Microsoft Active Directory in der lokalen Umgebung verwendet.

In diesem Diagramm werden die folgenden Best Practices beschrieben:

• Nutzeridentitäten werden in einer Active Directory-Domain verwaltet, die sich in der lokalen Umgebung befindet und mit Cloud Identity föderiert ist. Active Directory verwendet Google Cloud Directory Sync für die Bereitstellung von Identitäten an Cloud Identity.
• Nutzer, die versuchen, sich in Google-Diensten anzumelden, werden zum externen Identitätsanbieter für Einmalanmeldung (SSO) mit SAML weitergeleitet, wobei ihre vorhandenen Anmeldedaten zur Authentifizierung verwendet werden. Es werden keine Passwörter mit Cloud Identity synchronisiert.

Die folgende Tabelle enthält Links zu Einrichtungsanleitungen für Identitätsanbieter.

Wir empfehlen dringend, die Multi-Faktor-Authentifizierung bei Ihrem Identitätsanbieter zu erzwingen. Dies erfolgt über einen Phishing-resistenten Mechanismus, wie z. B. einen Titan-Sicherheitsschlüssel.

Die empfohlenen Einstellungen für Cloud Identity werden nicht durch den Terraform-Code in diesem Blueprint automatisiert. Unter Verwaltungsfunktionen für Cloud Identity finden Sie die empfohlenen Sicherheitseinstellungen, die Sie zusätzlich zur Bereitstellung des Terraform-Codes konfigurieren müssen.

Gruppen für die Zugriffssteuerung

Ein Hauptkonto ist eine Identität, der Zugriff auf eine Ressource gewährt werden kann. Hauptkonto umfassen Google-Konten für Nutzer, Google-Gruppen, Google Workspace-Konten, Cloud Identity-Domains und Dienstkonten. Bei einigen Diensten können Sie auch allen Nutzern, die sich mit einem Google-Konto authentifizieren, oder allen Nutzern im Internet Zugriff gewähren. Damit ein Hauptkonto mit Google Cloud Diensten interagieren kann, müssen Sie ihm Rollen in Identity and Access Management (IAM) zuweisen.

Wenn Sie IAM-Rollen in großem Umfang verwalten möchten, sollten Sie Nutzer basierend auf ihren Aufgabenbereichen und Zugriffsanforderungen Gruppen zuweisen. Gewähren Sie dann IAM-Rollen für diese Gruppen. Sie sollten Nutzer mithilfe der Prozesse in Ihrem vorhandenen Identitätsanbieter zur Gruppenerstellung und -mitgliedschaft hinzufügen.

Wir empfehlen nicht, einzelnen Nutzern IAM-Rollen zu gewähren, da die Verwaltung und Prüfung von Rollen durch individuelle Zuweisungen erschwert werden kann.

Im Blueprint werden Gruppen und Rollen für den Lesezugriff auf die Foundation-Ressourcen konfiguriert. Wir empfehlen, alle Ressourcen im Blueprint über die Grundlagenpipeline bereitzustellen und Nutzern keine Rollen in Gruppen zuzuweisen, um Grundlagenressourcen außerhalb der Pipeline zu ändern.

In der folgenden Tabelle sind die Gruppen aufgeführt, die vom Blueprint für die Anzeige von Ressourcen der Foundation konfiguriert werden.

Wenn Sie Ihre eigenen Arbeitslasten auf Basis der Grundlagen erstellen, erstellen Sie zusätzliche Gruppen und weisen IAM-Rollen zu, die auf den Zugriffsanforderungen für jede Arbeitslast basieren.

Wir empfehlen dringend, einfache Rollen wie „Inhaber“, „Bearbeiter“ oder „Betrachter“ zu vermeiden und stattdessen vordefinierte Rollen zu verwenden. Einfache Rollen gewähren zu viele Berechtigungen und stellen ein potenzielles Sicherheitsrisiko dar. Die Rollen "Inhaber" und "Bearbeiter" können zu einer Rechteausweitung und seitlichen Bewegungen führen und die Rolle "Betrachter" enthält Zugriff zum Lesen aller Daten. Best Practices für IAM- Rollen, siehe IAM sicher verwenden

Super Admin-Konten

Cloud Identity-Nutzer mit dem Super Admin-Konto umgehen die SSO-Einstellungen der Organisation und authentifizieren sich direkt bei Cloud Identity. Diese Ausnahme ist bewusst so konzipiert, dass der Super Admin auch bei einer SSO-Fehlkonfiguration oder einem Ausfall weiterhin auf die Cloud Identity-Konsole zugreifen kann. Sie müssen jedoch zusätzlichen Schutz für Super Admin-Konten in Betracht ziehen.

Zum Schutz Ihrer Super Admin-Konten empfehlen wir, dass Sie in Cloud Identity immer die Bestätigung in zwei Schritten mit Sicherheitsschlüsseln erzwingen. Weitere Informationen finden Sie im Hilfeartikel Best Practices für die Sicherheit von Administratorkonten.

Probleme mit Privatnutzerkonten

Wenn Sie vor der Einrichtung von Google Cloudweder Cloud Identity noch Google Workspace verwendet haben, verwenden die Mitarbeiter Ihrer Organisation möglicherweise bereits Privatnutzerkonten, die mit ihren geschäftlichen E-Mail-Identitäten verknüpft sind, um auf andere Google-Dienste wie die Google Marketing Platform oder YouTube zuzugreifen. Privatnutzerkonten sind Konten, die den Personen, die sie erstellt haben, vollständig gehören und von diesen verwaltet werden. Da diese Konten nicht von Ihrer Organisation kontrolliert werden und sowohl private als auch Unternehmensdaten enthalten können, müssen Sie entscheiden, wie Sie diese Konten mit anderen Unternehmenskonten konsolidieren.

Wir empfehlen Ihnen, vorhandene Privatnutzerkonten im Rahmen des Onboardings in Google Cloudzu konsolidieren. Wenn Sie Google Workspace nicht für alle Ihre Nutzerkonten verwenden, empfehlen wir, das Erstellen neuer Privatnutzerkonten zu blockieren.

Verwaltungsfunktionen für Cloud Identity

Cloud Identity bietet verschiedene Verwaltungsfunktionen, die nicht durch Terraform-Code im Blueprint automatisiert werden. Wir empfehlen, jede dieser Best Practices-Sicherheitskontrollen frühzeitig im Prozess des Aufbaus der Grundlagen zu erzwingen.

Nächste Schritte

• Weitere Informationen zur Organisationsstruktur (nächstes Dokument in dieser Reihe)

Organisationsstruktur

Der Stammknoten für die Verwaltung von Ressourcen in Google Cloud ist die Organisation. Die Google Cloud -Organisation bietet eine Ressourcenhierarchie, die eine Inhaberstruktur für Ressourcen und Verbindungspunkte für Organisationsrichtlinien und Zugriffssteuerungen bietet. Die Ressourcenhierarchie besteht aus Ordnern, Projekten und Ressourcen und definiert die Struktur und Nutzung von Google Cloud -Diensten innerhalb einer Organisation.

Ressourcen, die niedriger in der Hierarchie sind, übernehmen Richtlinien wie IAM-Zulassungsrichtlinien und Organisationsrichtlinien. Alle Zugriffsberechtigungen werden standardmäßig abgelehnt, bis Sie Zulassungsrichtlinien direkt auf eine Ressource anwenden oder die Ressource die Zulassungsrichtlinien von einer höheren Ebene in der Ressourcenhierarchie übernimmt.

Das folgende Diagramm zeigt die Ordner und Projekte, die vom Blueprint bereitgestellt werden.

In den folgenden Abschnitten werden die Ordner und Projekte im Diagramm beschrieben.

Ordner

Im Blueprint werden Ordner verwendet, um Projekte nach ihrer Umgebung zu gruppieren. Diese logische Gruppierung wird verwendet, um Konfigurationen wie Zulassungsrichtlinien und Organisationsrichtlinien auf Ordnerebene anzuwenden. Alle Ressourcen im Ordner übernehmen dann die Richtlinien. In der folgenden Tabelle werden die Ordner beschrieben, die Teil des Blueprints sind.

Projekte

Im Blueprint werden Projekte verwendet, um einzelne Ressourcen basierend auf ihrer Funktionalität und den vorgesehenen Grenzen für die Zugriffssteuerung zu gruppieren. In der folgenden Tabelle werden die Projekte beschrieben, die im Blueprint enthalten sind.

Governance für die Inhaberschaft von Ressourcen

Wir empfehlen, Labels einheitlich auf Ihre Projekte anzuwenden, um die Verwaltung und Kostenzuordnung zu erleichtern. In der folgenden Tabelle werden die Projektlabels beschrieben, die jedem Projekt im Blueprint für die Governance hinzugefügt werden.

Google sendet gelegentlich wichtige Benachrichtigungen, z. B. zu Kontosperrungen oder Aktualisierungen der Produktbedingungen. Der Blueprint verwendet Wichtige Kontakte, um diese Benachrichtigungen an die Gruppen zu senden, die Sie während der Bereitstellung konfigurieren. „Wichtige Kontakte“ wird am Organisationsknoten konfiguriert und von allen Projekten in der Organisation übernommen. Wir empfehlen Ihnen, diese Gruppen zu prüfen und dafür zu sorgen, dass E-Mails zuverlässig überwacht werden.

„Wichtige Kontakte“ wird für einen anderen Zweck verwendet als die Felder primarycontact und secondarycontact, die in Projektlabels konfiguriert sind. Die Kontakte in Projektlabels sind für die interne Verwaltung gedacht. Wenn Sie beispielsweise nicht konforme Ressourcen in einem Arbeitslastprojekt identifizieren und die Inhaber kontaktieren müssen, können Sie das Feld primarycontact verwenden, um die Person oder das Team zu ermitteln, das für diese Arbeitslast verantwortlich ist.

Nächste Schritte

• Netzwerk (nächstes Dokument in dieser Reihe)

Netzwerk

Netzwerke sind erforderlich, damit Ressourcen innerhalb Ihrer Google Cloud Organisation und zwischen Ihrer Cloud-Umgebung und der lokalen Umgebung kommunizieren können. In diesem Abschnitt wird die Struktur des Blueprints für VPC-Netzwerke, IP-Adressbereich, DNS, Firewallrichtlinien und die Konnektivität zur lokalen Umgebung beschrieben.

Netzwerktopologie

Das Blueprint-Repository bietet die folgenden Optionen für Ihre Netzwerktopologie:

• Verwenden Sie für jede Umgebung separate freigegebene VPC-Netzwerke, ohne dass der Netzwerktraffic direkt zwischen Umgebungen zugelassen wird.
• Verwenden Sie ein Hub-and-Spoke-Modell, das ein Hub-Netzwerk hinzufügt, um jede Umgebung in Google Cloudzu verbinden, wobei der Netzwerkverkehr zwischen Umgebungen durch eine virtuelle Netzwerk-Appliance (NVA) gesteuert wird.

Wählen Sie die dual freigegebene VPC-Netzwerktopologie aus, wenn Sie keine direkte Netzwerkverbindung zwischen Umgebungen wünschen. Wählen Sie die Hub-and-Spoke-Netzwerktopologie aus, wenn Sie Netzwerkverbindungen zwischen Umgebungen zulassen möchten, die von einer NVA gefiltert werden, z. B. wenn Sie vorhandene Tools verwenden, die einen direkten Netzwerkpfad zu jedem Server in Ihrer Umgebung erfordern.

Beide Topologien verwenden eine freigegebene VPC als Hauptnetzwerknetzwerkkonstrukt, da eine freigegebene VPC eine klare Trennung der Zuständigkeiten ermöglicht. Netzwerkadministratoren verwalten Netzwerkressourcen in einem zentralisierten Hostprojekt und Arbeitslastteams stellen ihre eigenen Anwendungsressourcen bereit und nutzen die Netzwerkressourcen in Dienstprojekten, die an das Hostprojekt angehängt sind.

Beide Topologien enthalten eine Basisversion und eine eingeschränkte Version jedes VPC-Netzwerks. Das Basis-VPC-Netzwerk wird für Ressourcen verwendet, die nicht vertrauliche Daten enthalten, und das eingeschränkte VPC-Netzwerk wird für Ressourcen mit sensiblen Daten verwendet, die VPC Service Controls erfordern. Weitere Informationen zur Implementierung von VPC Service Controls finden Sie unter Ressourcen mit VPC Service Controls schützen.

Dual-freigegebene VPC-Netzwerktopologie

Wenn Sie die Netzwerkisolation zwischen Ihren Entwicklungs-, Nicht-Produktions- und Produktionsnetzwerken in Google Cloudbenötigen, empfehlen wir die duale freigegebene VPC-Netzwerktopologie. Diese Topologie verwendet für jede Umgebung separate freigegebene VPC-Netzwerke, wobei jede Umgebung zusätzlich zwischen einem grundlegenden freigegebenen VPC-Netzwerk und einem eingeschränkten freigegebenen VPC-Netzwerk aufgeteilt wird.

Das folgende Diagramm zeigt die Dual-VPC-Netzwerktopologie.

Im Diagramm werden die wichtigsten Konzepte der dualen freigegebenen Topologie für freigegebene VPC beschrieben:

• Jede Umgebung (Produktion, Nicht-Produktion und Entwicklung) hat ein freigegebenes VPC-Netzwerk für das Basisnetzwerk und ein freigegebenes VPC-Netzwerk für das eingeschränkte Netzwerk. Dieses Diagramm zeigt nur die Produktionsumgebung, aber für jede Umgebung wird dasselbe Muster wiederholt.
• Jedes freigegebene VPC-Netzwerk hat zwei Subnetze, wobei sich jedes Subnetz in einer anderen Region befindet.
• Die Verbindung mit lokalen Ressourcen wird über vier VLAN-Anhänge für die Dedicated Interconnect-Instanz für jedes freigegebene VPC-Netzwerk ermöglicht, wobei vier Cloud Router-Dienste verwendet werden (zwei in jeder Region für Redundanz). Weitere Informationen finden Sie unter Hybridkonnektivität zwischen der lokalen Umgebung und Google Cloud.

Diese Topologie lässt zu, dass der Netzwerkverkehr direkt zwischen Umgebungen fließt. Wenn der Netzwerkverkehr direkt zwischen Umgebungen fließen muss, müssen Sie zusätzliche Schritte ausführen, um diesen Netzwerkpfad zuzulassen. Beispiel: Sie können Private Service Connect-Endpunkte konfigurieren, um einen Dienst von einem VPC-Netzwerk für ein anderes VPC-Netzwerk freizugeben. Alternativ können Sie Ihr lokales Netzwerk so konfigurieren, dass der Traffic von einerGoogle Cloud -Umgebung zur lokalen Umgebung und dann zu einer anderen Google Cloud -Umgebung geleitet wird.

Hub-and-Spoke-Netzwerktopologie

Wenn Sie Ressourcen in Google Cloud bereitstellen, die einen direkten Netzwerkpfad zu Ressourcen in mehreren Umgebungen erfordern, empfehlen wir die Hub-and-Spoke-Netzwerktopologie.

Die Hub-and-Spoke-Topologie verwendet einige der Konzepte, die Teil der dualen freigegebenen VPC-Topologie sind. Die Topologie wird jedoch geändert, um ein Hub-Netzwerk hinzuzufügen. Das folgende Diagramm zeigt die Hub-and-Spoke-Topologie.

Im Diagramm werden die folgenden Schlüsselkonzepte der Hub-and-Spoke-Netzwerktopologie beschrieben:

• Dieses Modell fügt ein Hub-Netzwerk hinzu. Jedes der Entwicklungs-, Nicht-Produktions- und Produktionsnetzwerke (Spokes) ist über VPC-Netzwerk-Peering mit dem Hub-Netzwerk verbunden. Wenn Sie annehmen, dass Sie das Kontingentlimit überschreiten werden, können Sie stattdessen ein HA VPN-Gateway verwenden.
• Die Verbindung zu lokalen Netzwerken ist nur über das Hub-Netzwerk zulässig. Alle Spoke-Netzwerke können mit freigegebenen Ressourcen im Hub-Netzwerk kommunizieren und diesen Pfad verwenden, um eine Verbindung zu lokalen Netzwerken herzustellen.
• Die Hub-Netzwerke enthalten eine NVA für jede Region, die redundant hinter internen Netzwerk-Load-Balancer-Instanzen bereitgestellt wird. Diese NVA dient als Gateway zum Zulassen oder Ablehnen der Kommunikation zwischen Spoke-Netzwerken.
• Das Hub-Netzwerk hostet auch Tools, für die eine Verbindung zu allen anderen Netzwerken erforderlich ist. Sie können beispielsweise Tools auf VM-Instanzen für die Konfigurationsverwaltung in der gemeinsamen Umgebung bereitstellen.
• Das Hub-and-Spoke-Modell wird für eine Basisversion und eine eingeschränkte Version jedes Netzwerks dupliziert.

Zum Aktivieren des Spoke-Spoke-Traffics stellt der Blueprint NVAs im freigegebenen Hub-VPC-Netzwerk bereit, die als Gateways zwischen Netzwerken dienen. Routen werden von Hub zu Spoke-VPC-Netzwerken über benutzerdefinierten Routenaustausch ausgetauscht. In diesem Szenario muss die Verbindung zwischen Spokes über die NVA weitergeleitet werden, da VPC-Netzwerk-Peering nicht transitiv ist, und Spoke-VPC-Netzwerke daher keine Daten direkt miteinander austauschen können. Sie müssen die virtuellen Appliances so konfigurieren, dass der Traffic zwischen den Spokes selektiv zugelassen wird.

Muster für die Projektbereitstellung

Wenn Sie neue Projekte für Arbeitslasten erstellen, müssen Sie entscheiden, wie die Ressourcen in diesem Projekt eine Verbindung zu Ihrem vorhandenen Netzwerk herstellen. In der folgenden Tabelle werden die Muster zum Bereitstellen von Projekten beschrieben, die im Blueprint verwendet werden.

Zuweisung von IP-Adressen

In diesem Abschnitt wird erläutert, wie die Blueprint-Architektur IP-Adressbereiche zuweist. Möglicherweise müssen Sie die spezifischen IP-Adressbereiche ändern, die auf der Verfügbarkeit der IP-Adresse in der vorhandenen Hybridumgebung basieren.

Die folgende Tabelle enthält eine Aufschlüsselung des IP-Adressbereichs, der dem Blueprint zugewiesen ist. Die Hub-Umgebung gilt nur für die Hub-and-Spoke-Topologie.

Die obige Tabelle veranschaulicht diese Konzepte zum Zuweisen von IP-Adressbereichen:

• Die Zuweisung von IP-Adressen ist in Bereiche für jede Kombination aus freigegebener Basis-VPC, eingeschränkter freigegebener VPC, Region und Umgebung unterteilt.
• Einige Ressourcen sind global und erfordern keine Untergruppen für jede Region.
• Bei regionalen Ressourcen wird der Blueprint standardmäßig in zwei Regionen bereitgestellt. Darüber hinaus gibt es nicht verwendete IP-Adressbereiche, sodass Sie in sechs zusätzliche Regionen erweitern können.
• Das Hub-Netzwerk wird nur in der Hub-and-Spoke-Netzwerktopologie verwendet, während die Entwicklungs-, Nicht-Produktions- und Produktionsumgebungen in beiden Netzwerktopologien verwendet werden.

In der folgenden Tabelle wird erläutert, wie die einzelnen Arten von IP-Adressbereichen verwendet werden.

Zentralisierte DNS-Einrichtung

Für die DNS-Auflösung zwischen Google Cloud und lokalen Umgebungen empfehlen wir einen hybriden Ansatz mit zwei autoritativen DNS-Systemen. Bei diesem Ansatz übernimmt Cloud DNS die autoritative DNS-Auflösung für IhreGoogle Cloud -Umgebung und die vorhandenen lokalen DNS-Server übernehmen die autoritative DNS-Auflösung für lokale Ressourcen. Ihre lokale Umgebung und die Google Cloud -Umgebung führen DNS-Lookups zwischen Umgebungen über Weiterleitungsanfragen durch.

Das folgende Diagramm zeigt die DNS-Topologie für mehrere VPC-Netzwerke, die im Blueprint verwendet werden.

Das Diagramm beschreibt die folgenden Komponenten des DNS-Designs, die durch den Blueprint bereitgestellt werden:

• Das DNS-Hub-Projekt im gemeinsamen Ordner ist der zentrale Punkt des DNS-Austauschs zwischen der lokalen Umgebung und der Google Cloud-Umgebung. Die DNS-Weiterleitung verwendet dieselben Dedicated Interconnect-Instanzen und Cloud Router, die bereits in Ihrer Netzwerktopologie konfiguriert sind.
  • In der Dual-freigegebenen VPC-Topologie verwendet der DNS-Hub das freigegebene VPC-Basisnetzwerk.
  • In der Hub-and-Spoke-Topologie verwendet der DNS-Hub das freigegebene VPC-Netzwerk des Basis-Hubs.
• Server in jedem freigegebenen VPC-Netzwerk können DNS-Einträge aus anderen freigegebenen VPC-Netzwerken über die DNS-Weiterleitung auflösen, die zwischen Cloud DNS in jedem freigegebenen VPC-Hostprojekt und dem DNS-Hub konfiguriert ist.
• Lokale Server können DNS-Einträge in Google Cloud-Umgebungen mithilfe von DNS-Serverrichtlinien auflösen, die Abfragen von lokalen Servern zulassen. Der Blueprint konfiguriert eine Serverrichtlinie für eingehenden Traffic im DNS-Hub, um IP-Adressen zuzuweisen. Die lokalen DNS-Server leiten Anfragen an diese Adressen weiter. Alle DNS-Anfragen an Google Cloud erreichen zuerst den DNS-Hub, wodurch dann Einträge von DNS-Peers aufgelöst werden.
• Server in Google Cloud können DNS-Einträge in der lokalen Umgebung mithilfe von Weiterleitungszonen auflösen, die lokale Server abfragen. Alle DNS-Anfragen an die lokale Umgebung stammen vom DNS-Hub. Die DNS-Anfragequelle ist 35.199.192.0/19.

Firewallrichtlinien

Google Cloud verfügt über mehrere Firewallrichtlinientypen. Hierarchische Firewallrichtlinien werden auf Organisations- oder Ordnerebene erzwungen, um die Firewallrichtlinienregeln für alle Ressourcen in der Hierarchie konsistent zu übernehmen. Darüber hinaus können Sie Netzwerk-Firewallrichtlinien für jedes VPC-Netzwerk konfigurieren. Der Blueprint kombiniert diese Firewallrichtlinien, um gemeinsame Konfigurationen in allen Umgebungen mithilfe hierarchischer Firewallrichtlinien zu erzwingen und spezifischere Konfigurationen für jedes einzelne VPC-Netzwerk mithilfe von Netzwerkfirewallrichtlinien zu erzwingen.

Der Blueprint verwendet keine Legacy-VPC-Firewallregeln. Es wird empfohlen, nur Firewallrichtlinien zu verwenden und die Verwendung mit Legacy-VPC-Firewallregeln zu vermeiden.

Hierarchische Firewallrichtlinien

Der Blueprint definiert eine einzelne hierarchische Firewallrichtlinie und hängt die Richtlinie an jeden der Ordner für Produktion, Nicht-Produktion, Entwicklung, Bootstrap und an allgemeine Ordner an. Diese hierarchische Firewallrichtlinie enthält die Regeln, die in allen Umgebungen allgemein erzwungen werden sollen. Sie delegiert die Auswertung detaillierterer Regeln an die Netzwerk-Firewallrichtlinie für jede einzelne Umgebung.

In der folgenden Tabelle werden die Regeln der hierarchischen Firewallrichtlinien beschrieben, die vom Blueprint bereitgestellt werden.

Netzwerk-Firewallrichtlinien

Der Blueprint konfiguriert für jedes Netzwerk eine Netzwerk-Firewallrichtlinie. Jede Netzwerk-Firewallrichtlinie beginnt mit einer Mindestanzahl von Regeln, die den Zugriff auf Google Cloud -Dienste zulassen und den ausgehenden Traffic an alle anderen IP-Adressen ablehnen.

Im Hub-and-Spoke-Modell enthalten die Netzwerk-Firewallrichtlinien zusätzliche Regeln, um die Kommunikation zwischen Spokes zu ermöglichen. Die Netzwerk-Firewallrichtlinie lässt ausgehenden Traffic von einem zum Hub oder einem anderen Spoke zu und lässt eingehenden Traffic von der NVA im Hub-Netzwerk zu.

In der folgenden Tabelle werden die Regeln in der globalen Netzwerk-Firewallrichtlinie beschrieben, die für jedes VPC-Netzwerk im Blueprint bereitgestellt werden.

Wenn Sie den Blueprint zum ersten Mal bereitstellen, kann eine VM-Instanz in einem VPC-Netzwerk mit Google Cloud -Diensten, aber nicht mit anderen Infrastrukturressourcen im selben VPC-Netzwerk kommunizieren. Damit VM-Instanzen kommunizieren können, müssen Sie der Netzwerk-Firewallrichtlinie und den Tags zusätzliche Regeln hinzufügen, die explizit die Kommunikation der VM-Instanzen ermöglichen. Tags werden VM-Instanzen hinzugefügt und der Traffic wird anhand dieser Tags ausgewertet. Tags haben außerdem IAM-Steuerelemente, mit denen Sie diese zentral definieren und ihre Verwendung an andere Teams delegieren können.

Das folgende Diagramm zeigt ein Beispiel für das Hinzufügen benutzerdefinierter Tags und Netzwerk-Firewallregeln, damit Arbeitslasten innerhalb eines VPC-Netzwerks kommunizieren können.

Das Diagramm veranschaulicht die folgenden Konzepte dieses Beispiels:

• Die Netzwerk-Firewallrichtlinie enthält Regel 1, die ausgehenden Traffic aus allen Quellen mit der Priorität 65530 ablehnt.
• Die Netzwerk-Firewallrichtlinie enthält Regel 2, die eingehenden Traffic von Instanzen mit dem Tag service=frontend zu Instanzen mit dem Tag service=backend mit der Priorität 999 zulässt.
• Die Instanz-2-VM kann Traffic von instance-1 empfangen, da der Traffic mit den von Regel 2 zulässigen Tags übereinstimmt. Regel 2 wird abgeglichen, bevor Regel 1 auf Grundlage des Prioritätswerts ausgewertet wird.
• Die Instanz-3-VM empfängt keinen Traffic. Die einzige Firewallrichtlinienregel für diesen Traffic ist Regel 1, also wird ausgehender Traffic von instance-1 abgelehnt.

Privater Zugriff auf Google Cloud APIs

Damit Ressourcen in Ihren VPC-Netzwerken oder lokalen UmgebungenGoogle Cloud -Dienste erreichen können, empfehlen wir eine private Verbindung anstelle von ausgehendem Internettraffic zu öffentlichen API-Endpunkten. Der Blueprint konfiguriert den privaten Google-Zugriff in jedem Subnetz und erstellt interne Endpunkte mit Private Service Connect, um mit Google Cloud -Diensten zu kommunizieren. Wenn sie zusammen verwendet werden, ermöglichen diese Steuerelemente einen privaten Pfad zu Google Cloud -Diensten, ohne sich auf den ausgehenden Internet-Traffic oder öffentlich beworbene Internetbereiche zu verlassen.

Der Blueprint konfiguriert Private Service Connect-Endpunkte mit API-Bundles, um zu unterscheiden, auf welche Dienste in welchem Netzwerk zugegriffen werden kann. Das Basisnetzwerk verwendet das Bundle all-apis und kann jeden Google-Dienst erreichen, und das eingeschränkte Netzwerk verwendet das vpcsc-Bundle, das den Zugriff auf eine begrenzte Anzahl von Diensten ermöglicht, die VPC Service Controls unterstützen.

Für den Zugriff von Hosts, die sich in einer lokalen Umgebung befinden, empfehlen wir die Verwendung einer Konvention für benutzerdefinierten FQDN für jeden Endpunkt, wie in der folgenden Tabelle beschrieben. Der Blueprint verwendet für jedes VPC-Netzwerk einen eindeutigen Private Service Connect-Endpunkt, der für den Zugriff auf eine andere Gruppe von API-Bundles konfiguriert ist. Sie müssen daher berücksichtigen, wie Diensttraffic von der lokalen Umgebung mit dem richtigen API-Endpunkt an das VPC-Netzwerk weitergeleitet wird. Wenn Sie VPC Service Controls verwenden, müssen Sie dafür sorgen, dass der Traffic an die Google Cloud -Dienste den Endpunkt innerhalb des gewünschten Perimeters erreicht. Konfigurieren Sie Ihre lokalen Steuerelemente für DNS, Firewalls und Router, um den Zugriff auf diese Endpunkte zu ermöglichen, und konfigurieren Sie lokale Hosts für die Verwendung des entsprechenden Endpunkts. Weitere Informationen finden Sie unter Über Google-APIs auf Back-Ends zugreifen.

In der folgenden Tabelle werden die Private Service Connect-Endpunkte beschrieben, die für jedes Netzwerk erstellt werden.

Damit Traffic für Google Cloud -Dienste einen DNS-Lookup zum richtigen Endpunkt hat, konfiguriert der Blueprint private DNS-Zonen für jedes VPC-Netzwerk. In der folgenden Tabelle werden diese privaten DNS-Zonen beschrieben.

Der Blueprint hat zusätzliche Konfigurationen, um zu erzwingen, dass diese Private Service Connect-Endpunkte konsistent verwendet werden. Für jedes freigegebene VPC-Netzwerk wird außerdem Folgendes erzwungen:

• Eine Netzwerk-Firewallregel, die ausgehenden Traffic von allen Quellen an die IP-Adresse des Private Service Connect-Endpunkts auf TCP:443 zulässt.
• Eine Netzwerk-Firewallrichtlinienregel, die ausgehenden Traffic zu 0.0.0.0/0 ablehnt, einschließlich der Standarddomains, die für den Zugriff auf Google Cloud -Dienste verwendet werden.

Internetverbindung

Der Blueprint lässt keinen eingehenden oder ausgehenden Traffic zwischen seinen VPC-Netzwerken und dem Internet zu. Bei Arbeitslasten, die eine Internetverbindung erfordern, müssen Sie zusätzliche Schritte ausführen, um die erforderlichen Zugriffspfade zu entwerfen.

Für Arbeitslasten, die ausgehenden Traffic zum Internet benötigen, empfehlen wir, ausgehenden Traffic über Cloud NAT zu verwalten, um ausgehenden Traffic ohne unerwünschte eingehende Verbindungen zuzulassen, oder über Secure Web Proxy für eine genauere Kontrolle, um nur ausgehenden Traffic zu vertrauenswürdigen Webdiensten zuzulassen.

Für Arbeitslasten, die eingehenden Traffic aus dem Internet erfordern, empfehlen wir Ihnen, Ihre Arbeitslast mit Cloud Load Balancing und Google Cloud Armor zu entwerfen, um von DDoS- und WAF-Schutzmaßnahmen zu profitieren.

Es wird nicht empfohlen, Arbeitslasten zu entwerfen, die eine direkte Verbindung zwischen dem Internet und einer VM über eine externe IP-Adresse auf der VM ermöglichen.

Hybridkonnektivität zwischen einer lokalen Umgebung und Google Cloud

Zum Herstellen einer Verbindung zwischen der lokalen Umgebung undGoogle Cloudempfehlen wir die Verwendung von Dedicated Interconnect, um die Sicherheit und Zuverlässigkeit zu maximieren. Eine Dedicated Interconnect-Verbindung ist eine direkte Verbindung zwischen Ihrem lokalen Netzwerk undGoogle Cloud.

Im folgenden Diagramm wird die Hybridkonnektivität zwischen der lokalen Umgebung und einem Google Virtual Private Cloud-Netzwerk vorgestellt.

Im Diagramm werden die folgenden Komponenten des Musters für die Verfügbarkeit von 99,99% für Dedicated Interconnect beschrieben:

• Vier Dedicated Interconnect-Verbindungen mit zwei Verbindungen in einer Metropolregion (Metro) und zwei Verbindungen in einer anderen Metropolregion. Innerhalb jeder Metropolregion gibt es in der Colocation-Einrichtung zwei Zonen.
• Die Verbindungen werden in zwei Paare aufgeteilt, wobei jedes Paar mit einem separaten lokalen Rechenzentrum verbunden ist.
• VLAN-Anhänge werden verwendet, um die einzelnen Dedicated Interconnect-Instanzen mit Cloud Routern zu verbinden, die der Topologie für freigegebene VPC zugeordnet sind.
• Jedes freigegebene VPC-Netzwerk hat vier Cloud Router, zwei in jeder Region, wobei der dynamische Routingmodus auf global gesetzt ist, sodass jeder Cloud Router alle Subnetze unabhängig von der Region ankündigen kann.

Cloud Router nutzen das globale dynamische Routing, um Routen für alle Subnetze im VPC-Netzwerk zu bewerben. Cloud Router bewerben Routen in Remote-Subnetzen (Subnetze außerhalb der Cloud Router-Region) im Vergleich zu lokalen Subnetzen (Subnetze, die sich in der Cloud Router-Region befinden) mit einer niedrigeren Priorität. Optional können Sie beworbene Präfixe und Prioritäten ändern, wenn Sie die BGP-Sitzung für einen Cloud Router konfigurieren.

Für den Traffic von Google Cloud zu einer lokalen Umgebung wird der Cloud Router verwendet, der den Cloud-Ressourcen am nächsten ist. Innerhalb einer einzelnen Region haben mehrere Routen zu lokalen Netzwerken denselben Multi-Exit-Diskriminator-Wert (MED) und Google Cloud verwendet Equal Cost Multi-Path (ECMP)-Routing, um ausgehenden Traffic zwischen allen möglichen Routen zu verteilen.

Lokale Konfigurationsänderungen

Sie müssen zusätzliche Änderungen in Ihrer lokalen Umgebung konfigurieren, um die Verbindungen zwischen der lokalen Umgebung undGoogle Cloudzu konfigurieren. Der Terraform-Code im Blueprint konfiguriert automatischGoogle Cloud -Ressourcen, ändert jedoch keine Ihrer lokalen Netzwerkressourcen.

Einige der Komponenten für die Hybridkonnektivität von Ihrer lokalen Umgebung zuGoogle Cloud werden automatisch durch den Blueprint aktiviert, darunter:

• Cloud DNS wird mit der DNS-Weiterleitung zwischen allen freigegebenen VPC-Netzwerken an einen einzelnen Hub konfiguriert, wie unter DNS-Einrichtung beschrieben. Eine Cloud DNS-Serverrichtlinie wird mit IP-Adressen für eingehenden Traffic konfiguriert.
• Cloud Router ist so konfiguriert, dass Routen für alle Subnetze und benutzerdefinierte Routen für die von den Private Service Connect-Endpunkten verwendeten IP-Adressen exportiert werden.

Um Hybridkonnektivität zu aktivieren, müssen Sie die folgenden zusätzlichen Schritte ausführen:

1. Dedicated Interconnect-Verbindung bestellen
2. Konfigurieren Sie lokale Router und Firewalls, um ausgehenden Traffic zum internen IP-Adressbereich zuzulassen, der unter IP-Adressbereichszuweisung definiert ist.
3. Konfigurieren Sie Ihre lokalen DNS-Server so, dass sie fürGoogle Cloud gebundene DNS-Lookups an die IP-Adressen für eingehenden Traffic weiterleiten, die bereits durch den Blueprint konfiguriert sind.
4. Konfigurieren Sie Ihre lokalen DNS-Server, Firewalls und Router so, dass sie DNS-Abfragen von der Weiterleitungszone von Cloud DNS (35.199.192.0/19) akzeptieren.
5. Konfigurieren Sie lokale DNS-Server so, dass sie auf Abfragen von lokalen Hosts an Google Cloud Dienste mit den unter Privater Zugriff auf Cloud APIs definierten IP-Adressen antworten.
6. Konfigurieren Sie für die Verschlüsselung während der Übertragung über die Dedicated Interconnect-Verbindung MACsec für Cloud Interconnect oder konfigurieren Sie HA VPN über Cloud Interconnect für die IPsec-Verschlüsselung.

Weitere Informationen finden Sie unter Privater Google-Zugriff für lokale Hosts.

Nächste Schritte

• Weitere Informationen zu Erkennungskontrollen (nächstes Dokument in dieser Reihe)

Aufdeckungskontrollen

Bedrohungserkennungs- und Monitoring-Funktionen werden mit einer Kombination aus integrierten Sicherheitskontrollen aus Security Command Center und benutzerdefinierten Lösungen bereitgestellt, mit denen Sie Sicherheitsereignisse erkennen und darauf reagieren können.

Zentrales Logging für Sicherheit und Audit

Der Blueprint konfiguriert Logging-Funktionen, um Änderungen an Ihren Google Cloud Ressourcen mit Logs zu verfolgen und zu analysieren, die zu einem einzelnen Projekt zusammengefasst werden.

Das folgende Diagramm zeigt, wie der Blueprint Protokolle aus mehreren Quellen in mehreren Projekten in einem zentralen Protokoll-Sink zusammenfasst.

Das Diagramm beschreibt Folgendes:

• Logs werden am Organisationsknoten konfiguriert, um Logs aus allen Projekten in der Ressourcenhierarchie zu aggregieren.
• Es sind mehrere Logsenke konfiguriert, um Protokolle, die mit einem Filter übereinstimmen, an verschiedene Ziele für die Speicherung und Analyse zu senden.
• Das prj-c-logging-Projekt enthält alle Ressourcen für den Log-Speicher und die ‑Analyse.
• Optional können Sie zusätzliche Tools konfigurieren, um Protokolle in eine SIEM zu exportieren.

Der Blueprint verwendet verschiedene Protokollquellen und schließt diese Protokolle in den Logsenkefilter ein, damit sie an ein zentrales Ziel exportiert werden können. In der folgenden Tabelle werden die Protokollquellen beschrieben.

In der folgenden Tabelle werden die Log-Sinks und ihre Verwendung mit unterstützten Zielen im Blueprint beschrieben.

Eine Anleitung zum Aktivieren zusätzlicher Logtypen und zum Schreiben von Logsenkefiltern finden Sie im Logbereichstool.

Bedrohungsmonitoring mit Security Command Center

Wir empfehlen, Security Command Center Premium für Ihre Organisation zu aktivieren, um Bedrohungen, Sicherheitslücken und Fehlkonfigurationen in Ihren Google Cloud Ressourcen automatisch zu erkennen. Security Command Center erstellt Sicherheitsergebnisse aus mehreren Quellen, darunter:

• Security Health Analytics:Erkennt häufige Sicherheitslücken und Fehlkonfigurationen bei Google Cloud-Ressourcen.
• Angriffspfadrisiko: Zeigt einen simulierten Pfad, wie ein Angreifer Ihre wichtigen Ressourcen anhand der Sicherheitslücken und Fehlkonfigurationen, die von anderen Quellen von Security Command Center erkannt werden, ausnutzen können.
• Event Threat Detection: wendet Erkennungslogik und proprietäre Bedrohungsinformationen auf Ihre Logs an, um Bedrohungen nahezu in Echtzeit zu identifizieren.
• Container Threat Detection:Erkennt gängige Container-Laufzeitangriffe.
• Virtual Machine Threat Detection:Erkennt potenziell schädliche Anwendungen, die auf virtuellen Maschinen ausgeführt werden.
• Web Security Scanner:Scannt Ihre webbasierten Anwendungen in der Compute Engine, App Engine oder Google Kubernetes Engine auf die zehn wichtigsten OWASP-Sicherheitslücken.

Weitere Informationen zu den Sicherheitslücken und Bedrohungen, die in Security Command Center berücksichtigt werden, finden Sie unter Security Command Center-Quellen.

Sie müssen Security Command Center nach der Bereitstellung des Blueprints aktivieren. Eine Anleitung finden Sie unter Security Command Center für eine Organisation aktivieren.

Nachdem Sie Security Command Center aktiviert haben, empfehlen wir, die von Security Command Center generierten Ergebnisse in Ihre vorhandenen Tools oder Prozesse zu exportieren, um Bedrohungen zu erkennen und darauf zu reagieren. Mit dem Blueprint wird das prj-c-scc-Projekt mit einem Pub/Sub-Thema erstellt, das für diese Integration verwendet werden soll. Verwenden Sie je nach vorhandenen Tools eine der folgenden Methoden, um Ergebnisse zu exportieren:

• Wenn Sie die Console verwenden, um Sicherheitsergebnisse direkt in Security Command Center zu verwalten, konfigurieren Sie Rollen auf Ordner- und Projektebene für Security Command Center, damit Teams Sicherheitsergebnisse nur für die Projekte ansehen und verwalten können, für die sie zuständig sind.

• Wenn Sie Google SecOps als SIEM verwenden, nehmen Sie Daten in Google SecOps auf Google Cloud .

• Wenn Sie ein SIEM- oder SOAR-Tool mit Integrationen in Security Command Center verwenden, geben Sie Daten für Cortex XSOAR, Elastic Stack, ServiceNow, Splunk oder QRadar an.

• Wenn Sie ein externes Tool verwenden, das Ergebnisse aus Pub/Sub aufnehmen kann, konfigurieren Sie kontinuierliche Exporte in Pub/Sub und Ihre vorhandenen Tools so, dass Ergebnisse aus dem Pub/Sub-Thema aufgenommen werden.

Benutzerdefinierte Lösung für automatisierte Loganalyse

Möglicherweise müssen Sie Benachrichtigungen für Sicherheitsereignisse erstellen, die auf benutzerdefinierten Abfragen in Protokollen basieren. Benutzerdefinierte Abfragen können die Funktionen Ihres SIEM ergänzen, indem sie Logs in Google Cloud analysieren und nur die Ereignisse exportieren, die eine Untersuchung erfordern, insbesondere wenn Sie nicht die Möglichkeit haben, alle Cloud-Logs in Ihr SIEM-Tools zu exportieren. Google Cloud

Der Blueprint unterstützt diese Loganalyse, indem eine zentrale Protokollquelle eingerichtet wird, die Sie mit einem verknüpften BigQuery-Dataset abfragen können. Wenn Sie diese Funktion automatisieren möchten, müssen Sie das Codebeispiel unter bq-log-alerting implementieren und die Foundation-Funktionen erweitern. Mit dem Beispielcode können Sie regelmäßig eine Protokollquelle abfragen und ein benutzerdefiniertes Ergebnis an das Security Command Center senden.

Das folgende Diagramm zeigt den Ablauf der automatisierten Protokollanalyse.

Das Diagramm zeigt die folgenden Konzepte der automatisierten Protokollanalyse:

• Logs aus verschiedenen Quellen werden in einem zentralen Logs-Bucket mit Log Analytics und einem verknüpften BigQuery-Dataset zusammengefasst.
• BigQuery-Ansichten sind so konfiguriert, dass Protokolle nach dem Sicherheitsereignis abgefragt werden, das Sie überwachen möchten.
• Cloud Scheduler überträgt alle 15 Minuten ein Ereignis an ein Pub/Sub-Thema und löst Cloud Run-Funktionen aus.
• Cloud Run-Funktionen fragen die Ansichten nach neuen Ereignissen ab. Wenn Ereignisse gefunden werden, werden sie als benutzerdefinierte Ergebnisse an das Security Command Center gesendet.
• Das Security Command Center veröffentlicht Benachrichtigungen zu neuen Ergebnissen in einem anderen Pub/Sub-Thema.
• Ein externes Tool wie ein SIEM abonniert das Pub/Sub-Thema, um neue Ergebnisse zu übernehmen.

Das Beispiel enthält mehrere Nutzungsfälle, um nach potenziell verdächtigem Verhalten zu suchen. Beispiele sind eine Anmeldung aus einer Liste von Super Admins oder anderen von Ihnen angegebenen Konten mit umfangreichen Berechtigungen, Änderungen an den Logging-Einstellungen oder Änderungen an Netzwerkrouten. Sie können die Anwendungsfälle erweitern, indem Sie neue Abfrageansichten für Ihre Anforderungen schreiben. Sie können eigene Abfragen schreiben oder sich Sicherheitsprotokollanalysen ansehen, um eine Bibliothek mit SQL-Abfragen zur Analyse von Google Cloud Protokollen zu erhalten.

Benutzerdefinierte Lösung zur Reaktion auf Asset-Änderungen

Wenn Sie auf Ereignisse in Echtzeit reagieren möchten, empfehlen wir Ihnen, mit Cloud Asset Inventory Asset-Änderungen zu überwachen. In dieser benutzerdefinierten Lösung ist ein Asset-Feed so konfiguriert, dass Benachrichtigungen über Änderungen an Ressourcen in Echtzeit an Pub/Sub ausgelöst werden. Cloud Run Functions führt dann benutzerdefinierten Code aus, um Ihre eigene Geschäftslogik basierend darauf zu erzwingen, ob die Änderung zugelassen werden sollte.

Der Blueprint enthält ein Beispiel für diese benutzerdefinierte Governance-Lösung, die IAM-Änderungen überwacht, durch die hochsensible Rollen wie „Organization Admin“, „Owner“ und „Editor“ hinzugefügt werden. Das folgende Diagramm beschreibt diese Lösung.

Das vorherige Diagramm zeigt diese Konzepte:

• An einer Zulassungsrichtlinie werden Änderungen vorgenommen.
• Der Cloud Asset Inventory-Feed sendet eine Echtzeitbenachrichtigung über die Änderung der Zulassungsrichtlinie an Pub/Sub.
• Pub/Sub löst eine Funktion aus.
• Cloud Run-Funktionen führen benutzerdefinierten Code aus, um Ihre Richtlinie durchzusetzen. Die Beispielfunktion enthält eine Logik, mit der geprüft wird, ob durch die Änderung einer Zulassungsrichtlinie die Rollen „Administrator für die Organisation“, „Inhaber“ oder „Bearbeiter“ hinzugefügt wurden. In diesem Fall erstellt die Funktion ein benutzerdefiniertes Sicherheitsergebnis und sendet es an das Security Command Center.
• Optional können Sie dieses Modell verwenden, um Maßnahmen zur Behebung von Problemen zu automatisieren. Sie können zusätzliche Geschäftslogik in Cloud Run-Funktionen schreiben, um automatisch Maßnahmen aufgrund des Ergebnisses zu ergreifen, z. B. die Zulassungsrichtlinie wieder in ihren vorherigen Zustand zu versetzen.

Darüber hinaus können Sie die von dieser Beispiellösung verwendete Infrastruktur und Logik erweitern, um anderen Ereignissen, die für Ihr Unternehmen wichtig sind, benutzerdefinierte Antworten hinzuzufügen.

Nächste Schritte

• Mehr über vorbeugende Kontrollen (nächstes Dokument in dieser Reihe) erfahren

Vorbeugende Kontrollen für akzeptable Ressourcenkonfigurationen

Wir empfehlen, Richtlinieneinschränkungen zu definieren, die akzeptable Ressourcenkonfigurationen erzwingen und riskante Konfigurationen verhindern. Der Blueprint verwendet eine Kombination aus Einschränkungen der Organisationsrichtlinien und IaC-Validierung (Infrastructure-as-Code) in Ihrer Pipeline. Durch diese Kontrollen wird verhindert, dass Ressourcen erstellt werden, die nicht Ihren Richtlinien entsprechen. Wenn Sie diese Steuerelemente schon früh beim Entwerfen und Erstellen Ihrer Arbeitslasten erzwingen, können Sie spätere Korrekturarbeiten vermeiden.

Einschränkungen für Organisationsrichtlinien

Der Organisationsrichtliniendienst erzwingt Einschränkungen, um sicherzustellen, dass bestimmte Ressourcenkonfigurationen in Ihrer Google Cloud -Organisation nicht erstellt werden können, auch nicht durch eine Person mit einer IAM-Rolle mit ausreichend Rechten.

Der Blueprint erzwingt Richtlinien auf dem Organisationsknoten, sodass diese Steuerelemente von allen Ordnern und Projekten in der Organisation übernommen werden. Dieses Richtlinienpaket soll bestimmte Konfigurationen mit hohem Risiko verhindern, z. B. die Freigabe einer VM für das öffentliche Internet oder die Gewährung öffentlichen Zugriffs auf Speicher-Buckets, es sei denn, Sie erlauben bewusst eine Ausnahme von der Richtlinie.

In der folgenden Tabelle werden die Einschränkungen für Organisationsrichtlinien beschrieben, die im Blueprint implementiert sind:

Diese Richtlinien sind ein Ausgangspunkt, den wir für die meisten Kunden und die meisten Szenarien empfehlen. Möglicherweise müssen Sie jedoch die Einschränkungen für Organisationsrichtlinien ändern, um bestimmte Arbeitslasttypen zu berücksichtigen. Beispielsweise wird eine Arbeitslast, die einen Cloud Storage-Bucket als Back-End für Cloud CDN zum Hosten öffentlicher Ressourcen verwendet, von storage.publicAccessPrevention blockiert, oder eine öffentliche Cloud Run-Anwendung, die keine Authentifizierung erfordert, wird durch iam.allowedPolicyMemberDomains blockiert. In diesen Fällen ändern Sie die Organisationsrichtlinie auf Ordner- oder Projektebene, um eine eng gefasste Ausnahme zuzulassen. Sie können auch Organisationsrichtlinien Einschränkungen bedingt hinzufügen, indem Sie ein Tag definieren, das eine Ausnahme oder Erzwingung für Richtlinien gewährt, und das Tag dann auf Projekte und Ordner anwenden.

Weitere Einschränkungen finden Sie unter Verfügbare Einschränkungen und Benutzerdefinierte Einschränkungen.

Vor der Bereitstellung Infrastruktur als Code validieren

Der Blueprint verwendet einen GitOps-Ansatz zur Verwaltung der Infrastruktur. Das bedeutet, dass alle Infrastrukturänderungen über versionierte Infrastructure as Code (IaC) implementiert werden und vor der Bereitstellung validiert werden können.

Die im Blueprint erzwungenen Richtlinien definieren zulässige Ressourcenkonfigurationen, die von Ihrer Pipeline bereitgestellt werden können. Wenn Code, der in Ihr GitHub-Repository hochgeladen wird, die Richtlinienprüfungen nicht besteht, werden keine Ressourcen bereitgestellt.

Informationen zur Verwendung von Pipelines und zur Durchsetzung von Kontrollen durch CI/CD-Automatisierung finden Sie unter Bereitstellungsmethodik.

Nächste Schritte

• Bereitstellungsmethode (nächstes Dokument in dieser Reihe)

Einrichtungsverfahren

Wir empfehlen die Verwendung einer deklarativen Infrastruktur, um Ihre Grundlage auf konsistente und steuerbare Weise bereitzustellen. Dieser Ansatz trägt zu einer einheitlichen Verwaltung bei, indem Richtlinienkontrollen für zulässige Ressourcenkonfigurationen in Ihren Pipelines erzwungen werden. Der Blueprint wird mit einem GitOps-Ablauf bereitgestellt, wobei Terraform verwendet wird, um die Infrastruktur als Code (IaC), ein Git-Repository für die Versionsverwaltung und Genehmigung von Code und Cloud Build für die CI/CD-Automatisierung in der Bereitstellungspipeline zu definieren. Eine Einführung in dieses Konzept finden Sie unter Infrastruktur als Code mit Terraform, Cloud Build und GitOps verwalten.

In den folgenden Abschnitten wird beschrieben, wie die Bereitstellungspipeline zum Verwalten von Ressourcen in Ihrer Organisation verwendet wird.

Pipelineebenen

Zur Trennung der Teams und des Technologie-Stacks, die für die Verwaltung verschiedener Ebenen Ihrer Umgebung verantwortlich sind, empfehlen wir ein Modell, das unterschiedliche Pipelines und verschiedene Identitäten verwendet, die für jede Schicht des Stacks verantwortlich sind.

Das folgende Diagramm zeigt unser empfohlenes Modell für die Trennung von einer Basispipeline, einer Infrastrukturpipeline und einer Anwendungspipeline.

Das Diagramm zeigt die Pipelineebenen in diesem Modell:

• Mit der Grundlagenpipeline werden die Grundlagenressourcen bereitgestellt, die auf der gesamten Plattform verwendet werden. Wir empfehlen, dass ein einzelnes zentrales Team für die Verwaltung der Basisressourcen zuständig ist, die von mehreren Geschäftsbereichen und Arbeitslasten genutzt werden.
• Mit der Infrastruktur-Pipeline werden Projekte und Infrastruktur bereitgestellt, die von Arbeitslasten wie VM-Instanzen oder Datenbanken verwendet werden. Im Blueprint wird für jede Geschäftseinheit eine separate Infrastrukturpipeline eingerichtet. Sie können aber auch eine einzelne Infrastrukturpipeline verwenden, die von mehreren Teams genutzt wird.
• Die Anwendungspipeline stellt die Artefakte für jede Arbeitslast bereit, z. B. Container oder Images. Möglicherweise haben Sie viele verschiedene Anwendungsteams mit individuellen Anwendungspipelines.

In den folgenden Abschnitten wird die Verwendung der einzelnen Pipelineebenen vorgestellt.

Die Grundlagenpipeline

Die Grundlagenpipeline stellt die Grundlagenressourcen bereit. Außerdem wird die Infrastrukturpipeline eingerichtet, mit der die von Arbeitslasten verwendete Infrastruktur bereitgestellt wird.

Um die Grundlagenpipeline zu erstellen, klonen Sie zuerst die terraform-example-foundation in Ihr eigenes Git-Repository oder verzweigen sie. Folgen Sie der Anleitung in der 0-bootstrap README-Datei, um den Bootstrap-Ordner und die Ressourcen zu konfigurieren.

Nachdem Sie die Basispipeline in der Phase 0-bootstrap erstellt haben, werden in den folgenden Phasen Ressourcen in der Basispipeline bereitgestellt. Lesen Sie die Anleitungen in der README-Datei für jede Phase und implementieren Sie die einzelnen Phasen nacheinander.

Infrastrukturpipeline

Über die Infrastruktur-Pipeline werden die Projekte und die Infrastruktur (z. B. die VM-Instanzen und Datenbanken) bereitgestellt, die von Arbeitslasten verwendet werden. Mit der Basispipeline werden mehrere Infrastrukturpipelines bereitgestellt. Diese Trennung zwischen der Grundlagenpipeline und der Infrastrukturpipeline ermöglicht eine Trennung zwischen platformweiten und arbeitslastspezifischen Ressourcen.

Das folgende Diagramm zeigt, wie im Blueprint mehrere Infrastrukturpipelines konfiguriert werden, die von verschiedenen Teams verwendet werden sollen.

Das Diagramm beschreibt die folgenden wichtigen Konzepte:

• Mit jeder Infrastruktur-Pipeline werden Infrastrukturressourcen unabhängig von den Basisressourcen verwaltet.
• Jede Geschäftseinheit hat eine eigene Infrastrukturpipeline, die in einem speziellen Projekt im Ordner common verwaltet wird.
• Jede der Infrastrukturpipelines hat ein Dienstkonto, das die Berechtigung hat, Ressourcen nur für die Projekte bereitzustellen, die dieser Geschäftseinheit zugeordnet sind. Diese Strategie erstellt eine Aufgabentrennung zwischen den privilegierten Dienstkonten, die für die Grundlagenpipeline verwendet werden, und denen, die von jeder Infrastrukturpipeline verwendet werden.

Dieser Ansatz mit mehreren Infrastrukturpipelines wird empfohlen, wenn Sie mehrere Entitäten in Ihrer Organisation haben, die die Fähigkeiten und Notwendigkeiten zur separaten Verwaltung ihrer Infrastruktur haben, insbesondere wenn sie unterschiedliche Anforderungen wie die Arten der Pipelinevalidierungsrichtlinie haben, die erzwungen werden soll. Alternativ können Sie auch eine einzelne Infrastrukturpipeline bevorzugen, die von einem einzigen Team mit einheitlichen Validierungsrichtlinien verwaltet wird.

In der terraform-example-foundation konfiguriert Phase 4 eine Infrastrukturpipeline und Phase 5 ein Beispiel für die Verwendung dieser Pipeline zum Bereitstellen von Infrastrukturressourcen.

Anwendungspipeline

Die Anwendungspipeline ist für das Bereitstellen von Anwendungsartefakten für jede einzelne Arbeitslast verantwortlich, z. B. für Images oder Kubernetes-Container, in denen die Geschäftslogik Ihrer Anwendung ausgeführt wird. Diese Artefakte werden in Infrastrukturressourcen bereitgestellt, die von der Infrastrukturpipeline bereitgestellt worden sind.

Der Blueprint zu Unternehmensgrundlagen richtet Ihre Grundlagenpipeline und die Infrastrukturpipeline ein, stellt jedoch keine Anwendungspipeline bereit. Eine Beispielanwendungspipeline finden Sie im Blueprint für Unternehmensanwendungen.

Pipeline mit Cloud Build automatisieren

Der Blueprint verwendet Cloud Build, um CI/CD-Prozesse zu automatisieren. In der folgenden Tabelle werden die Steuerelemente beschrieben, die in die Grundlagenpipeline und die Infrastrukturpipeline eingebunden sind, die vom Repository terraform-example-foundation bereitgestellt werden. Wenn Sie eigene Pipelines mit anderen CI/CD-Automatisierungstools entwickeln, empfehlen wir die Anwendung ähnlicher Steuerelemente.

Verzweigungsstrategie

Wir empfehlen eine persistente Verzweigungsstrategie, um Code an Ihr Git-System zu senden und Ressourcen über die Grundlagenpipeline bereitzustellen. Im folgenden Diagramm wird die persistente Verzweigungsstrategie beschrieben.

Im Diagramm werden drei persistente Zweige in Git (Entwicklung, Nicht-Produktion und Produktion) beschrieben, die die entsprechendenGoogle Cloud -Umgebungen widerspiegeln. Es gibt auch mehrere sitzungsspezifische Feature-Zweige, die keinen Ressourcen entsprechen, die in IhrenGoogle Cloud -Umgebungen bereitgestellt sind.

Wir empfehlen, einen Pull-Anfrageprozess (PR) in Ihr Git-System zu erzwingen, damit jeder Code, der in einen persistenten Zweig zusammengeführt wird, eine genehmigte Pull-Anfrage hat.

Führen Sie die folgenden allgemeinen Schritte aus, um Code mit dieser persistenten Verzweigungsstrategie zu entwickeln:

1. Wenn Sie neue Funktionen entwickeln oder an einer Fehlerbehebung arbeiten, erstellen Sie einen neuen Zweig, der auf dem Entwicklungszweig basiert. Verwenden Sie eine Namenskonvention für den Zweig, die die Art der Änderung, eine Ticketnummer oder eine andere Kennzeichnung sowie eine visuell lesbare Beschreibung wie feature/123456-org-policies enthält.
2. Wenn Sie die Arbeit im Feature-Zweig abschließen, öffnen Sie eine PR, die auf den Entwicklungszweig abzielt.
3. Wenn Sie die PR senden, löst die PR die Grundlagenpipeline aus, um terraform plan und terraform validate zum Staging und Prüfen der Änderungen auszuführen.
4. Nachdem Sie die Änderungen am Code validiert haben, führen Sie das Feature oder die Fehlerkorrektur im Entwicklungszweig zusammen.
5. Der Zusammenführungsprozess löst die Ausführung der Grundlagenpipeline aus, um terraform apply auszuführen und die neuesten Änderungen im Entwicklungszweig in der Entwicklungsumgebung bereitzustellen.
6. Prüfen Sie die Änderungen in der Entwicklungsumgebung mit beliebigen manuellen Prüfungen, Funktionstests oder End-to-End-Tests, die für Ihren Anwendungsfall relevant sind. Stufen Sie dann Änderungen an der Nicht-Produktionsumgebung hoch, indem Sie eine PR öffnen, die auf den Nicht-Produktionszweig abzielt, und führen Sie Ihre Änderungen zusammen.
7. Zum Bereitstellen von Ressourcen in der Produktionsumgebung wiederholen Sie den gleichen Vorgang wie in Schritt 6: Überprüfen und validieren Sie die bereitgestellten Ressourcen, öffnen Sie eine PR für den Produktionszweig und führen Sie die Zusammenführung durch.

Nächste Schritte

• Best Practices für die Betriebsabläufe (nächstes Dokument in dieser Reihe)

Best Practices für Vorgänge

In diesem Abschnitt werden Vorgänge vorgestellt, die Sie beim Bereitstellen und Ausführen zusätzlicher Arbeitslasten in Ihrer Google Cloud Umgebung berücksichtigen müssen. Dieser Abschnitt ist nicht als umfassender Leitfaden für alle Vorgänge in Ihrer Cloud-Umgebung gedacht. Er enthält jedoch Entscheidungen im Zusammenhang mit den architektonischen Empfehlungen und Ressourcen, die vom Blueprint bereitgestellt werden.

Ressourcen für die Stiftung aktualisieren

Der Blueprint bietet zwar einen übersichtlichen Ausgangspunkt für Ihre Grundlagenumgebung, doch können Ihre Grundlagenanforderungen im Laufe der Zeit wachsen. Nach der Erstbereitstellung können Sie die Konfigurationseinstellungen anpassen oder neue freigegebene Dienste erstellen, die von allen Arbeitslasten genutzt werden.

Wir empfehlen, alle Änderungen an Grundlagenressourcen über die Grundlagenpipeline vorzunehmen. Eine Einführung in den Ablauf des Schreibens und Zusammenführens von Code und Auslösen der Bereitstellungspipelines finden Sie unter Verzweigungsstrategie.

Attribute für neue Arbeitslastprojekte festlegen

Wenn Sie neue Projekte über das Projekt-Factory-Modul der Automatisierungspipeline erstellen, müssen Sie verschiedene Attribute konfigurieren. Der Prozess zum Entwerfen und Erstellen von Projekten für neue Arbeitslasten sollte Entscheidungen zu den folgenden Punkten umfassen:

• Zu aktivierende Google Cloud APIs
• Welche freigegebene VPC verwendet werden soll oder ob ein neues VPC-Netzwerk erstellt werden soll
• Welche IAM-Rollen für das erste project-service-account erstellt werden sollen, die von der Pipeline erstellt wird
• Welche Projektlabels angewendet werden sollen
• Der Ordner, in dem das Projekt bereitgestellt wird
• Welches Abrechnungskonto verwenden?
• Ob das Projekt einem VPC Service Controls-Perimeter hinzugefügt werden soll
• Ob ein Budget und ein Schwellenwert für Abrechnungsbenachrichtigungen für das Projekt konfiguriert werden sollen

Eine vollständige Liste der konfigurierbaren Attribute für jedes Projekt finden Sie in der Automatisierungspipeline unter Eingabevariablen für die Projekt-Factory.

Berechtigungen in großem Umfang verwalten

Wenn Sie Arbeitslastprojekte auf Ihrer Grundlage bereitstellen, müssen Sie überlegen, wie Sie den vorgesehenen Entwicklern und Nutzern dieser Projekte Zugriff gewähren. Wir empfehlen, Nutzer einer Gruppe hinzuzufügen, die von Ihrem vorhandenen Identitätsanbieter verwaltet wird, die Gruppen mit Cloud Identity zu synchronisieren und den Gruppen dann IAM-Rollen zuzuweisen. Beachten Sie immer das Prinzip der geringsten Berechtigung.

Wir empfehlen außerdem, den IAM Recommender zu verwenden, um Zulassungsrichtlinien zu identifizieren, die Rollen mit zu vielen Berechtigungen gewähren. Entwerfen Sie einen Prozess, um Empfehlungen regelmäßig zu überprüfen oder automatisch in Ihre Bereitstellungspipelines anzuwenden.

Änderungen zwischen dem Netzwerkteam und dem Anwendungsteam koordinieren

Bei den Netzwerktopologien, die mit dem Blueprint bereitgestellt werden, wird davon ausgegangen, dass Sie ein Team für die Verwaltung von Netzwerkressourcen und separate Teams für die Bereitstellung von Arbeitslastinfrastrukturressourcen haben. Beim Bereitstellen der Infrastruktur müssen die Arbeitslastteams Firewallregeln erstellen, um die vorgesehenen Zugriffspfade zwischen den Komponenten ihrer Arbeitslast zuzulassen. Sie sind jedoch nicht berechtigt, die Netzwerk-Firewallrichtlinien selbst zu ändern.

Planen Sie, wie Teams zusammenarbeiten, um die Änderungen an den zentralen Netzwerkressourcen zu koordinieren, die für die Bereitstellung von Anwendungen erforderlich sind. Sie könnten beispielsweise einen Prozess entwerfen, bei dem ein Arbeitslastteam Tags für seine Anwendungen anfordert. Das Netzwerkteam erstellt dann die Tags und fügt der Netzwerk-Firewallrichtlinie Regeln hinzu, die den Traffic zwischen Ressourcen mit den Tags ermöglichen, und delegiert die IAM-Rollen zur Verwendung der Tags an das Arbeitslastteam.

Umgebung mit dem Active Assist-Portfolio optimieren

Zusätzlich zum IAM-Recommender bietet Google Cloud das Active Assist-Dienstportfolio,mit dem Empfehlungen zur Optimierung Ihrer Umgebung gegeben werden. So liefern beispielsweise Firewall-Erkenntnisse oder der Recommender für unbeaufsichtigte Projekte umsetzbare Empfehlungen, mit denen Sie Ihren Sicherheitsstatus verbessern können.

Entwerfen Sie einen Prozess, um Empfehlungen regelmäßig zu überprüfen oder automatisch in Ihre Bereitstellungspipelines anzuwenden. Entscheiden Sie, welche Empfehlungen von einem zentralen Team verwaltet werden sollen und welche Verantwortung bei Arbeitslastinhabern liegt. Wenden Sie dann IAM-Rollen an, um entsprechend auf die Empfehlungen zuzugreifen.

Ausnahmen von Organisationsrichtlinien gewähren

Der Blueprint erzwingt eine Reihe von Einschränkungen für Organisationsrichtlinien, die den meisten Kunden in den meisten Szenarien empfohlen werden. Sie können jedoch auch legitime Anwendungsfälle haben, die nur begrenzte Ausnahmen von den Organisationsrichtlinien erfordern, die Sie umfassend erzwingen.

Beispielsweise erzwingt der Blueprint die Einschränkung iam.disableServiceAccountKeyCreation. Diese Einschränkung ist eine wichtige Sicherheitskontrolle, da ein gehackter Dienstkontoschlüssel erhebliche negative Auswirkungen haben kann. In den meisten Szenarien sollten sicherere Alternativen zu Dienstkontoschlüsseln für die Authentifizierung verwendet werden. Es gibt jedoch Anwendungsfälle, die sich nur mit einem Dienstkontoschlüssel authentifizieren können, z. B. ein lokaler Server, der Zugriff aufGoogle Cloud -Dienste benötigt und die Workload Identity-Föderation nicht verwenden kann. In diesem Szenario können Sie eine Ausnahme von der Richtlinie zulassen, sofern zusätzliche Kontrollmaßnahmen wie die Best Practices für die Verwaltung von Dienstkontoschlüsseln erzwungen werden.

Daher sollten Sie einen Prozess für Arbeitslasten entwickeln, um eine Ausnahme von Richtlinien anzufordern, und dafür sorgen, dass die Entscheidungsträger, die für die Erteilung von Ausnahmen verantwortlich sind, über das technische Wissen zur Validierung des Anwendungsfalls und zur Beratung darüber verfügen, ob zusätzliche Steuerelemente vorhanden sein müssen, um einen Ausgleich zu schaffen. Wenn Sie einer Arbeitslast eine Ausnahme gewähren, legen Sie die Einschränkung der Organisationsrichtlinie so eng wie möglich fest. Sie können auch Organisationsrichtlinien Einschränkungen bedingt hinzufügen, indem Sie ein Tag definieren, das eine Ausnahme oder Erzwingung für Richtlinien gewährt, und das Tag dann auf Projekte und Ordner anwenden.

Ressourcen mit VPC Service Controls schützen

Mit dem Blueprint können Sie Ihre Umgebung für VPC Service Controls vorbereiten, indem Sie das Basis- und das eingeschränkte Netzwerk voneinander trennen. Standardmäßig werden VPC Service Controls jedoch nicht durch den Terraform-Code aktiviert, da dies zu Unterbrechungen führen kann.

Ein Perimeter verwehrt Zugriff auf eingeschränkte Google Cloud Dienste durch Traffic, der außerhalb des Perimeters stammt. Dazu gehören die Konsole, Entwickler-Workstations und die Foundation-Pipeline, die zum Bereitstellen von Ressourcen verwendet wird. Wenn Sie VPC Service Controls verwenden, müssen Sie Ausnahmen für den Perimeter festlegen, die die gewünschten Zugriffspfade zulassen.

Ein VPC Service Controls-Perimeter ist für Exfiltrationskontrollen zwischen Ihrer Google Cloud Organisation und externen Quellen vorgesehen. Der Perimeter soll keine Allow-Richtlinien für die detaillierte Zugriffssteuerung auf einzelne Projekte oder Ressourcen ersetzen oder duplizieren. Wenn Sie einen Perimeter entwerfen und einrichten, empfehlen wir die Verwendung eines gemeinsamen einheitlichen Perimeters für einen geringeren Verwaltungsaufwand.

Wenn Sie mehrere Perimeter entwerfen müssen, um den Dienstverkehr innerhalb Ihrer Google Cloud Organisation detailliert zu steuern, empfehlen wir Ihnen, die Bedrohungen, die durch eine komplexere Perimeterstruktur angegangen werden, und die Zugriffspfade zwischen den Perimetern, die für die beabsichtigten Vorgänge erforderlich sind, klar zu definieren.

Berücksichtigen Sie bei der Einführung von VPC Service Controls Folgendes:

• Welche Ihrer Anwendungsfälle erfordern VPC Service Controls.

• Ob die erforderlichen Google Cloud Dienste VPC Service Controls unterstützen.

• Wie der Break-Glass-Zugriff konfiguriert werden soll, um den Perimeter zu ändern, falls er Ihre Automatisierungspipelines stört

• Informationen zum Entwerfen und Implementieren eines Perimeters mithilfe der Best Practices zum Aktivieren von VPC Service Controls

Nachdem der Perimeter aktiviert wurde, sollten Sie einen Prozess entwickeln, mit dem neue Projekte konsistent zum richtigen Perimeter hinzugefügt werden. Außerdem sollten Sie Ausnahmen planen, wenn Entwickler einen neuen Anwendungsfall haben, der von Ihrer aktuellen Perimeter-Konfiguration abgelehnt wird.

Organisationsweite Änderungen in einer separaten Organisation testen

Wir empfehlen, Änderungen nie ohne Tests in der Produktion bereitzustellen. Bei Arbeitslastressourcen wird dieser Ansatz durch separate Umgebungen für Entwicklung, Nicht-Produktion und Produktion unterstützt. Einige Ressourcen in der Organisation haben jedoch keine separaten Umgebungen, um Tests zu ermöglichen.

Bei Änderungen auf Organisationsebene oder anderen Änderungen, die sich auf Produktionsumgebungen wie die Konfiguration zwischen Ihrem Identitätsanbieter und Cloud Identity auswirken können, sollten Sie eine separate Organisation zu Testzwecken erstellen.

Fernzugriff auf virtuelle Maschinen steuern

Da wir empfehlen, die unveränderliche Infrastruktur über die Grundlagenpipeline, die Infrastrukturpipeline und die Anwendungspipeline bereitzustellen, empfehlen wir Ihnen außerdem, Entwicklern nur eingeschränkten Zugriff auf eine virtuelle Maschine über SSH oder RDP für außergewöhnliche Anwendungsfälle zu gewähren.

Für Szenarien, in denen ein Remotezugriff erforderlich ist, empfehlen wir, den Nutzerzugriff nach Möglichkeit mit OS Login zu verwalten. Bei diesem Ansatz werden verwaltete Google Cloud Dienste verwendet, um die Zugriffssteuerung, die Kontolebenszyklusverwaltung, die Bestätigung in zwei Schritten und die Protokollierung von Prüfungen durchzusetzen. Wenn Sie den Zugriff über SSH-Schlüssel in Metadaten oder RDP-Anmeldedaten zulassen müssen, liegt es in Ihrer Verantwortung, den Lebenszyklus von Anmeldedaten zu verwalten und Anmeldedaten sicher außerhalb von Google Cloudzu speichern.

In jedem Fall kann ein Nutzer mit SSH- oder RDP-Zugriff auf eine VM ein Risiko für die Eskalierung von Berechtigungen darstellen. Berücksichtigen Sie dies bei der Gestaltung Ihres Zugriffsmodells. Der Nutzer kann Code mit den Berechtigungen des zugehörigen Dienstkontos auf dieser VM ausführen oder den Metadatenserver abfragen, um das Zugriffstoken aufzurufen, das zur Authentifizierung von API-Anfragen verwendet wird. Dieser Zugriff kann dann eine Rechteausweitung darstellen, wenn Sie nicht beabsichtigt haben, dass der Nutzer mit den Berechtigungen des Dienstkontos arbeitet.

Budgetüberschreitungen durch Budgetbenachrichtigungen vermeiden

Der Blueprint implementiert Best Practices für die Kostenverwaltung, die im Google Cloud Architektur-Framework: Kostenoptimierung vorgestellt wurden. Dazu gehören:

• Verwenden Sie ein einzelnes Rechnungskonto für alle Projekte in der Enterprise Foundation.

• Weisen Sie jedem Projekt ein billingcode-Metadatenlabel zu, mit dem Kosten auf Kostenstellen verteilt werden.

• Legen Sie Budgets und Benachrichtigungsgrenzwerte fest.

Sie sind dafür verantwortlich, Budgets zu planen und Abrechnungsbenachrichtigungen zu konfigurieren. Mit dem Blueprint werden Budgetwarnungen für Arbeitslastprojekte erstellt, wenn die prognostizierten Ausgaben voraussichtlich 120% des Budgets erreichen. Mit diesem Ansatz kann ein zentrales Team Fälle mit erheblichen Mehrausgaben erkennen und beheben. Eine erhebliche und unerwartete Steigerung der Ausgaben ohne klaren Grund kann ein Indikator für einen Sicherheitsvorfall sein und sollte sowohl aus Kosten- als auch aus Sicherheitsperspektive untersucht werden.

Je nach Anwendungsfall können Sie ein Budget festlegen, das auf den Kosten eines gesamten Umgebungsordners oder aller Projekte basiert, die mit einer bestimmten Kostenstelle in Verbindung stehen, anstatt detaillierte Budgets für jedes Projekt festzulegen. Wir empfehlen außerdem, die Budget- und Benachrichtigungseinstellungen an die Eigentümer der Arbeitslast zu delegieren, die für die tägliche Überwachung detailliertere Benachrichtigungsgrenzwerte festlegen können.

Eine Anleitung zum Erstellen von FinOps-Funktionen, einschließlich der Budgetprognose für Arbeitslasten, finden Sie unter Erste Schritte mit FinOps in Google Cloud Google Cloud.

Kosten auf interne Kostenstellen verteilen

In der Console können Sie Abrechnungsberichte aufrufen, um Kosten in mehreren Dimensionen aufzurufen und zu prognostizieren. Zusätzlich zu den vordefinierten Berichten empfehlen wir, Abrechnungsdaten in ein BigQuery-Dataset im Projekt prj-c-billing-export zu exportieren. Mit den exportierten Abrechnungseinträgen können Sie Kosten anhand von Projektlabel-Metadaten wie billingcode auf benutzerdefinierte Dimensionen wie Ihre internen Kostenstellen verteilen.

Die folgende SQL-Abfrage ist eine Beispielabfrage, mit der Sie die Kosten für alle Projekte ermitteln können, die nach dem Projektlabel billingcode gruppiert sind.

#standardSQL
SELECT
   (SELECT value from UNNEST(labels) where key = 'billingcode') AS costcenter,
   service.description AS description,
   SUM(cost) AS charges,
   SUM((SELECT SUM(amount) FROM UNNEST(credits))) AS credits
FROM PROJECT_ID.DATASET_ID.TABLE_NAME
GROUP BY costcenter, description
ORDER BY costcenter ASC, description ASC

Informationen zum Einrichten dieses Exports finden Sie unter Cloud Billing-Daten nach BigQuery exportieren.

Wenn Sie eine interne Abrechnung oder eine Kostenaufschlüsselung zwischen Kostenstellen benötigen, müssen Sie die Daten aus dieser Abfrage in Ihre internen Prozesse einbinden.

Ergebnisse aus Aufdeckungskontrollen in Ihr vorhandenes SIEM aufnehmen

Die Grundlagenressourcen helfen Ihnen zwar beim Konfigurieren aggregierter Ziele für Audit-Logs und Sicherheitsergebnisse, doch liegt es in Ihrer Verantwortung, zu entscheiden, wie Sie diese Signale nutzen und verwenden.

Wenn Sie Logs aus allen Cloud- und lokalen Umgebungen in einem vorhandenen SIEM aggregieren müssen, entscheiden Sie, wie Sie Logs aus dem prj-c-logging-Projekt und Ergebnissen aus Security Command Center in Ihre vorhandenen Tools und Prozesse aufnehmen möchten. Sie können einen einzelnen Export für alle Logs und Ergebnisse erstellen, wenn ein einzelnes Team für die Überwachung der Sicherheit in Ihrer gesamten Umgebung verantwortlich ist, oder Sie können mehrere Exporte erstellen, die nach den Logs und Ergebnissen gefiltert sind, die für mehrere Teams mit unterschiedlichen Verantwortlichkeiten erforderlich sind.

Wenn das Protokollvolumen und die Kosten zu hoch sind, können Sie Duplikate vermeiden, indem Sie Google Cloud -Protokolle und ‑Ergebnisse nur inGoogle Cloudaufbewahren. In diesem Fall müssen Ihre bestehenden Teams die richtigen Zugriffsrechte haben und geschult sein, um direkt inGoogle Cloudmit Protokollen und Ergebnissen zu arbeiten.

• Erstellen Sie für Audit-Logs Logansichten, um einzelnen Teams Zugriff auf eine Teilmenge von Logs in einem zentralisierten Log-Bucket zu gewähren, anstatt Logs in mehrere Buckets zu duplizieren, wodurch die Log-Speicherkosten erhöht werden.
• Gewähren Sie aus Sicherheitsgründen Rollen auf Ordner- und Projektebene für Security Command Center, damit Teams Sicherheitsergebnisse nur für die Projekte, für die sie zuständig sind, direkt in der Console aufrufen und verwalten können.

Kontinuierliche Entwicklung der Bibliothek für Kontrollen

Der Blueprint beginnt mit einer Referenz der Kontrollen, um Bedrohungen zu erkennen und zu verhindern. Wir empfehlen Ihnen, diese Kontrollen zu prüfen und je nach Ihren Anforderungen zusätzliche Kontrollen hinzuzufügen. In der folgenden Tabelle sind die Mechanismen zur Durchsetzung von Governance-Richtlinien und ihre Erweiterung für zusätzliche Anforderungen zusammengefasst:

Diese Kontrollen können sich ändern, wenn sich Ihre Anforderungen und die Reife vonGoogle Cloud ändern.

Verschlüsselungsschlüssel mit dem Cloud Key Management Service verwalten

Google Cloud bietet für alle Kundeninhalte eine Standardverschlüsselung inaktiver Daten, aber auch Cloud Key Management Service (Cloud KMS), um Ihnen zusätzliche Kontrolle über Ihre Verschlüsselungsschlüssel für inaktive Daten zu bieten. Wir empfehlen Ihnen, zu prüfen, ob die Standardverschlüsselung ausreicht oder ob Sie aufgrund einer Complianceanforderung Cloud KMS verwenden müssen, um Schlüssel selbst zu verwalten. Weitere Informationen finden Sie unter Entscheiden, wie Sie Compliance-Anforderungen für die Verschlüsselung inaktiver Daten erfüllen.

Der Blueprint stellt ein prj-c-kms-Projekt im gemeinsamen Ordner und ein prj-{env}-kms-Projekt in jedem Umgebungsordner für die zentrale Verwaltung von Verschlüsselungsschlüsseln bereit. So kann ein zentrales Team Verschlüsselungsschlüssel prüfen und verwalten, die von Ressourcen in Arbeitslastprojekten verwendet werden, um rechtliche und Compliance-Anforderungen zu erfüllen.

Je nach operativem Modell möchten Sie möglicherweise eine einzelne zentralisierte Projektinstanz von Cloud KMS unter der Kontrolle eines einzelnen Teams verwenden, oder Sie möchten Verschlüsselungsschlüssel separat in jeder Umgebung verwalten oder Sie bevorzugen möglicherweise mehrere verteilte Instanzen, damit die Rechenschaftspflicht für Verschlüsselungsschlüssel an die entsprechenden Teams delegiert werden kann Ändern Sie das Terraform-Codebeispiel nach Bedarf entsprechend Ihrem operativen Modell.

Optional können Sie Organisationsrichtlinien für vom Kunden verwaltete Verschlüsselungsschlüssel (Customer-Managed Encryption Keys, CMEKs) erzwingen, um zu erzwingen, dass bestimmte Ressourcentypen immer einen CMEK-Schlüssel erfordern und dass nur CMEK-Schlüssel aus einer Zulassungsliste vertrauenswürdiger Projekte verwendet werden können.

Anmeldedaten von Anwendungen mit Secret Manager speichern und prüfen

Wir empfehlen, sensible Secrets wie API-Schlüssel, Passwörter und private Zertifikate niemals in Quellcode-Repositories zu committen. Übertragen Sie stattdessen das Secret an Secret Manager und weisen Sie dem Nutzer oder Dienstkonto, das auf das Secret zugreifen muss, die IAM-Rolle Zugriffsfunktion für Secret Manager-Secret zu. Wir empfehlen, die IAM-Rolle einem einzelnen Secret zuzuweisen, nicht allen Secrets im Projekt.

Nach Möglichkeit sollten Sie Produktions-Secrets automatisch in den CI/CD-Pipelines generieren und für Nutzer unzugänglich aufbewahren, außer in Break-Glass-Situationen. Achten Sie in diesem Fall darauf, dass Sie keinen Nutzern oder Gruppen IAM-Rollen zum Lesen dieser Geheimnisse gewähren.

Der Blueprint stellt ein einzelnes prj-c-secrets-Projekt im gemeinsamen Ordner und ein prj-{env}-secrets-Projekt in jedem Umgebungsordner für die zentrale Verwaltung von Secrets bereit. Mit diesem Ansatz kann ein zentrales Team von Entwicklern die von Anwendungen verwendeten Geheimnisse prüfen und verwalten, um rechtliche und Compliance-Anforderungen zu erfüllen.

Je nach operativem Modell können Sie eine einzelne zentralisierte Instanz von Secret Manager unter der Kontrolle eines einzelnen Teams verwenden oder Secrets in jeder Umgebung separat verwalten oder mehrere verteilte Instanzen von Secret Manager bevorzugen, damit jedes Arbeitslastteam seine eigenen Secrets verwalten kann. Ändern Sie das Terraform-Codebeispiel nach Bedarf entsprechend Ihrem operativen Modell.

Notfallzugriff auf hoch privilegierte Konten planen

Wir empfehlen zwar, Änderungen an Grundlagenressourcen über einen versionierten IaC zu verwalten, der von der Grundlagenpipeline bereitgestellt wird, doch kann es außergewöhnliche oder Notfallszenarien geben, die einen privilegierten Zugriff zum direkten Ändern Ihrer Umgebung erfordern. Wir empfehlen Ihnen, Notfallkonten (manchmal auch als Notfall- oder Wartungskonten bezeichnet) zu planen, die im Notfall oder bei Ausfällen der Automatisierungsprozesse einen hoch privilegierten Zugriff auf Ihre Umgebung haben.

In der folgenden Tabelle sind einige Beispiele für die Verwendung von Notfallkonten aufgeführt.

Die Art und Weise, wie Sie den Notfallzugriff ermöglichen, hängt von den vorhandenen Tools und Verfahren ab. Beispiele für Mechanismen:

• Verwenden Sie Ihre vorhandenen Tools für die privilegierte Zugriffsverwaltung, um einen Nutzer vorübergehend einer Gruppe hinzuzufügen, die mit IAM-Rollen mit hohen Berechtigungen vordefiniert ist, oder verwenden Sie die Anmeldedaten eines Kontos mit umfangreichen Berechtigungen.
• Stellen Sie Konten vorab nur für Administratoren bereit. Die Entwicklerin Dana könnte beispielsweise die Identität dana@beispiel.de für die tägliche Nutzung und admin-dana@beispiel.de für den Notfallzugriff haben.
• Verwenden Sie eine Anwendung wie den privilegierten Just-in-Time-Zugriff, mit der Entwickler privilegierte Rollen selbst eskalieren können.

Unabhängig vom verwendeten Mechanismus sollten Sie überlegen, wie Sie die folgenden Fragen operativ beantworten:

• Wie legen Sie den Umfang und die Detailgenauigkeit des Notfallzugriffs fest? Beispielsweise können Sie für unterschiedliche Geschäftseinheiten unterschiedliche Break-Glass-Mechanismen entwerfen, damit diese sich nicht gegenseitig stören.
• Wie verhindert Ihr Mechanismus Missbrauch? Benötige ich Genehmigungen? Beispiel: Sie haben möglicherweise aufgeteilte Vorgänge, bei denen eine Person Anmeldedaten enthält und eine andere Person das MFA-Token enthält.
• Wie prüfen und benachrichtigen Sie bei einem Notfallzugriff? Sie können beispielsweise ein benutzerdefiniertes Modul für die Ereignisbedrohungserkennung konfigurieren, um eine Sicherheitsanfrage zu erstellen, wenn ein vordefiniertes Notfallkonto verwendet wird.
• Wie entfernen Sie den Notfallzugriff und nehmen Sie den normalen Betrieb wieder auf, nachdem der Vorfall vorbei ist?

Für häufige Aufgaben zur Berechtigungserweiterung und zum Zurückrollen von Änderungen empfehlen wir, automatisierte Workflows zu entwerfen, bei denen ein Nutzer die Aktion ausführen kann, ohne dass eine Berechtigungserweiterung für seine Nutzeridentität erforderlich ist. Dieser Ansatz kann dazu beitragen, menschliche Fehler zu reduzieren und die Sicherheit zu verbessern.

Für Systeme, die regelmäßig Eingriffe erfordern, ist die Automatisierung der Korrektur möglicherweise die beste Lösung. Google empfiehlt Kunden, einen Zero-Touch-Produktionsansatz zu verwenden, um alle Produktionsänderungen mithilfe von Automatisierung, sicheren Proxys oder geprüften Notfallzugriffsmethoden vorzunehmen. Google stellt die SRE-Bücher für Kunden zur Verfügung, die den SRE-Ansatz von Google übernehmen möchten.

Nächste Schritte

• Lesen Sie Blueprint bereitstellen (nächstes Dokument in dieser Reihe).

Blueprint bereitstellen

In diesem Abschnitt werden der Prozess, den Sie zum Bereitstellen des Blueprints verwenden können, sowie seine Namenskonventionen und Alternativen zu Blueprint-Empfehlungen beschrieben.

Zusammenfassung

Wenn Sie Ihre eigene Unternehmensgrundlage gemäß den Best Practices und Empfehlungen aus diesem Blueprint bereitstellen möchten, folgen Sie den allgemeinen Aufgaben, die in diesem Abschnitt zusammengefasst sind. Die Bereitstellung erfordert eine Kombination aus erforderlichen Einrichtungsschritten, einer automatisierten Bereitstellung über die terraform-example-foundation auf GitHub und zusätzlichen Schritten, die manuell konfiguriert werden müssen, nachdem die erste Grundlagenbereitstellung abgeschlossen ist.

Zusätzliche Verwaltungsfunktionen für Kunden mit sensiblen Arbeitslasten

Google Cloud bietet zusätzliche Verwaltungsfunktionen, mit denen Sie Ihre Sicherheits- und Compliance-Anforderungen erfüllen können. Einige Funktionen führen jedoch zu zusätzlichen Kosten oder operativen Kompromissen, die möglicherweise nicht für jeden Kunden geeignet sind. Diese Funktionen erfordern auch benutzerdefinierte Eingaben für Ihre spezifischen Anforderungen, die nicht vollständig im Blueprint automatisiert werden können und einen Standardwert für alle Kunden haben.

In diesem Abschnitt werden Sicherheitskontrollen vorgestellt, die Sie zentral auf Ihre Foundation anwenden. Dieser Abschnitt ist nicht als vollständige Liste aller Sicherheitsmaßnahmen gedacht, die Sie auf bestimmte Arbeitslasten anwenden können. Weitere Informationen zu den Sicherheitsprodukten und ‑lösungen von Google finden Sie im Google Cloud Best Practices-Center für Sicherheit.

Bewerten Sie anhand Ihrer Compliance-Anforderungen, Ihrer Risikobereitschaft und der Vertraulichkeit der Daten, ob die folgenden Kontrollmaßnahmen für Ihre Stiftung geeignet sind.

Namenskonventionen

Wir empfehlen, eine standardisierte Namenskonvention für IhreGoogle Cloud -Ressourcen zu verwenden. In der folgenden Tabelle werden die empfohlenen Konventionen für Ressourcennamen im Blueprint beschrieben.

Alternativen zu Standardempfehlungen

Die im Blueprint empfohlenen Best Practices eignen sich möglicherweise nicht für alle Kunden. Sie können jede der Empfehlungen an Ihre spezifischen Anforderungen anpassen. In der folgenden Tabelle werden einige der allgemeinen Varianten vorgestellt, die Sie basierend auf Ihrem vorhandenen Technologie-Stack und Ihrer Arbeitsweise möglicherweise benötigen.

Nächste Schritte

• Implementieren Sie den Blueprint mithilfe der Terraform-Beispielgrundlage auf GitHub.
• Weitere Informationen zu Best Practices für Design-Prinzipien finden Sie im Google Cloud Architecture Framework.

• Prüfen Sie die Bibliothek mit Blueprints, um das Design und den Build gängiger Unternehmensarbeitslasten zu beschleunigen. Dazu gehören:

  • Daten aus Google Cloud in ein gesichertes BigQuery-Data Warehouse importieren

  • Daten aus einem externen Netzwerk in ein gesichertes BigQuery-Data Warehouse importieren

  • Mit Cloud Run Functions eine sichere serverlose Architektur bereitstellen

  • Mit Cloud Run eine sichere serverlose Architektur bereitstellen

• Erhalten Sie weitere Informationen zu ähnlichen Lösungen zur Bereitstellung in der Grundlagenumgebung.

• Wenn Sie auf eine Demoumgebung zugreifen möchten, kontaktieren Sie uns unter security-foundations-blueprint-support@google.com.