Questi contenuti sono stati aggiornati a dicembre 2023 e rappresentano lo status quo al momento in cui è stata scritta. Le norme e i sistemi di sicurezza di Google potrebbero cambiare in futuro, grazie al costante miglioramento della protezione per i nostri clienti.
Questo documento descrive le best practice che ti consentono di eseguire il deployment di risorse in Google Cloud. Un elemento di base cloud è la base risorse, configurazioni e capacità che consentono alle aziende di adottare Google Cloud per le loro esigenze aziendali. Una base ben progettata consente governance, controlli di sicurezza, scalabilità, visibilità e accesso coerenti e servizi condivisi in tutti i carichi di lavoro nel tuo ambiente Google Cloud. Dopo eseguire il deployment dei controlli e della governance descritti in questo documento, il deployment dei carichi di lavoro in Google Cloud.
Il progetto di base aziendale (precedentemente noto come progetto di base progetti di base) è destinata ad architetti, professionisti della sicurezza e di platform engineering responsabili della progettazione di un su Google Cloud. Questo progetto è costituito da:
- R Repository GitHub di terraform-example-foundation che contiene gli asset Terraform di cui è possibile eseguire il deployment.
- Una guida che descrive l'architettura, la progettazione e i controlli disponibili implementare con il progetto (questo documento).
Puoi utilizzare questa guida in due modi:
- Per creare una base completa basata sulle migliori funzionalità di Google pratiche. Puoi implementare tutti i suggerimenti di questa guida come punto di partenza e poi personalizzare l'ambiente in base alle tue business" requisiti specifici.
- Per rivedere un ambiente esistente su Google Cloud. Puoi Confrontare componenti specifici del tuo design con i migliori consigliati da Google pratiche.
Casi d'uso supportati
Il progetto di base aziendale fornisce un livello di base di risorse e che aiutano ad abilitare tutti i tipi di carichi di lavoro su Google Cloud. Che tu stia eseguendo la migrazione di carichi di lavoro di computing esistenti a Google Cloud, creando applicazioni web containerizzate o creando big data e learning, il progetto di base aziendale ti aiuta a creare per supportare carichi di lavoro aziendali su larga scala.
Dopo aver eseguito il deployment del progetto di base aziendale, puoi eseguire il deployment dei carichi di lavoro o eseguire il deployment di progetti aggiuntivi per supportare carichi di lavoro complessi richiedono funzionalità aggiuntive.
Un modello di sicurezza di difesa in profondità
I servizi Google Cloud traggono vantaggio dall'infrastruttura Progettazione della sicurezza dell'infrastruttura di Google. È tua responsabilità progettare la sicurezza nei sistemi su cui crei il meglio di Google Cloud. Il progetto di base aziendale ti aiuta per implementare un modello di sicurezza di difesa in profondità per i servizi Google Cloud e carichi di lavoro.
Il seguente diagramma mostra un modello di sicurezza di difesa in profondità per il tuo Organizzazione Google Cloud che combina controlli dell'architettura, criteri e controlli detective.
Il diagramma descrive i seguenti controlli:
- I controlli dei criteri sono vincoli di pubblicità programmatica che applicano accettabili e prevengono configurazioni rischiose. La il progetto utilizza una combinazione di controlli dei criteri, tra cui la convalida Infrastructure as Code (IaC) nella pipeline e nell'organizzazione vincoli dei criteri.
- I controlli dell'architettura sono la configurazione di Google Cloud come le reti e la gerarchia delle risorse. L'architettura del progetto si basa sulle best practice per la sicurezza.
- I controlli di rilevamento consentono di rilevare comportamenti anomali o dannosi. all'interno dell'organizzazione. Il progetto utilizza funzionalità della piattaforma come Security Command Center si integra con i controlli di rilevamento e flussi di lavoro, come un centro operativo di sicurezza (SOC), e fornisce per applicare controlli di rilevamento personalizzati.
Decisioni chiave
Questa sezione riassume le decisioni generali relative all'architettura progetto.
Il diagramma descrive il modo in cui i servizi Google Cloud contribuiscono alle decisioni relative all'architettura:
- Cloud Build: le risorse dell'infrastruttura sono gestite tramite una GitOps. IaC dichiarativo è scritto in Terraform e gestito in un sistema di controllo della versione per la revisione e l'approvazione. e il deployment delle risorse viene eseguito utilizzando Cloud Build come strumento di automazione per l'integrazione e il deployment continuo (CI/CD). La pipeline Applica inoltre controlli Policy-as-code per verificare che le risorse soddisfino configurazioni previste prima del deployment.
- Cloud Identity:gli utenti e le iscrizioni ai gruppi vengono sincronizzati da il tuo provider di identità esistente. Controlli per il ciclo di vita degli account utente e il Single Sign-On (SSO) si basano sui controlli e dei processi del tuo provider di identità.
- Identity and Access Management (IAM): criteri di autorizzazione (precedentemente noti come criteri IAM) consentono l'accesso alle risorse e vengono applicati ai gruppi della funzione lavorativa. Gli utenti vengono aggiunti ai gruppi appropriati per ricevere accesso di sola visualizzazione alle risorse di base. Tutte le modifiche agli elementi di base di risorse il cui deployment viene eseguito tramite la pipeline CI/CD che utilizza le identità degli account di servizio.
- Resource Manager: tutte le risorse sono gestite in un'unica organizzazione, con una gerarchia di risorse che organizza i progetti in base agli ambienti. I progetti sono etichettati con metadati per la governance inclusa l'attribuzione dei costi.
- Networking: le topologie di rete utilizzano un VPC condiviso per fornire e risorse di rete per carichi di lavoro in più regioni e zone, separate dall'ambiente e gestite centralmente. Tutti i percorsi di rete tra host on-premise, risorse Google Cloud nelle reti VPC I servizi Google Cloud sono privati. Nessun traffico in uscita o in entrata il traffico proveniente dalla rete internet pubblica è consentito per impostazione predefinita.
- Cloud Logging: sink di log aggregati configurati per raccogliere i log pertinenti per la sicurezza e l'auditing in un progetto centralizzato a lungo termine conservazione, analisi ed esportazione in sistemi esterni.
- Servizio Criteri dell'organizzazione:i vincoli dei criteri dell'organizzazione sono per evitare varie configurazioni ad alto rischio.
- Secret Manager:i progetti centralizzati vengono creati per un team responsabile della gestione e del controllo dell'utilizzo di applicazioni sensibili, per soddisfare i requisiti di conformità.
- Cloud Key Management Service (Cloud KMS): vengono creati progetti centralizzati per responsabile della gestione e del controllo delle chiavi di crittografia al fine di soddisfare di conformità.
- Security Command Center: le funzionalità di rilevamento e monitoraggio delle minacce sono fornita tramite una combinazione di controlli di sicurezza integrati Security Command Center e soluzioni personalizzate che ti consentono di rilevare e rispondere eventi di sicurezza.
Per conoscere le alternative a queste decisioni chiave, consulta le alternative.
Passaggi successivi
- Scopri di più su autenticazione e autorizzazione (documento successivo di questa serie).