Este conteúdo foi atualizado pela última vez em dezembro de 2023 e representa o estado do momento em que foi escrito. Os sistemas e as políticas de segurança do Google podem mudar no futuro, à medida que a proteção dos clientes é aprimorada.
Neste documento, descrevemos as práticas recomendadas que permitem implantar um conjunto fundamental de recursos no Google Cloud. Uma base da nuvem é o valor de referência de recursos, configurações e capacidades que permitem que as empresas adotem o Google Cloud para as necessidades comerciais delas. Uma base bem projetada permite governança consistente, controles de segurança, escala, visibilidade e acesso a serviços compartilhados em todas as cargas de trabalho no seu ambiente do Google Cloud. Depois de implantar os controles e a governança descritos neste documento, será possível implantar cargas de trabalho no Google Cloud.
O Blueprint de bases empresariais (anteriormente conhecido como Blueprint de fundações de segurança) é destinado a arquitetos, profissionais de segurança e equipes de engenharia de plataforma responsáveis por projetar um ambiente pronto para empresas no Google Cloud. O blueprint consiste no seguinte:
- Um repositório do GitHub terraform-example-foundation que contém os recursos implantáveis do Terraform.
- Um guia que descreve a arquitetura, o design e os controles que você implementa com o blueprint (este documento).
Você pode usar este guia de duas maneiras:
- Para criar uma base completa com base nas práticas recomendadas do Google. É possível implantar todas as recomendações deste guia como ponto de partida e personalizar o ambiente para atender aos requisitos específicos da sua empresa.
- Analisar um ambiente atual no Google Cloud. É possível comparar componentes específicos do seu design com as práticas recomendadas do Google.
Casos de uso compatíveis
O blueprint de base empresarial fornece uma camada básica de recursos e configurações que ajudam a ativar todos os tipos de cargas de trabalho no Google Cloud. Não importa se você está migrando cargas de trabalho de computação para o Google Cloud, criando aplicativos da Web conteinerizados ou cargas de trabalho de Big Data e machine learning, o blueprint de base empresarial ajuda você a criar seu ambiente para oferecer suporte a cargas de trabalho corporativas em escala. de dois minutos.
Depois de implantar o blueprint da base da empresa, é possível implantar cargas de trabalho diretamente ou implantar outros blueprints para oferecer suporte a cargas de trabalho complexas que exigem mais recursos.
Um modelo de segurança em profundidade
Os serviços do Google Cloud se beneficiam do design de segurança de infraestrutura do Google subjacente. É sua responsabilidade projetar a segurança nos sistemas criados com base no Google Cloud. O blueprint de base empresarial ajuda você a implementar um modelo de segurança de defesa profunda para seus serviços e cargas de trabalho do Google Cloud.
O diagrama a seguir mostra um modelo de segurança em profundidade para sua organização do Google Cloud, que combina controles de arquitetura, de políticas e de detetive.
O diagrama descreve os seguintes controles:
- Os controles de política são restrições programáticas que aplicam configurações de recursos aceitáveis e evitam configurações arriscadas. O blueprint usa uma combinação de controles de política, incluindo validação de infraestrutura como código (IaC, na sigla em inglês) no pipeline e restrições da política da organização.
- Os controles de arquitetura são a configuração de recursos do Google Cloud, como redes e hierarquia de recursos. A arquitetura de blueprints é baseada nas práticas recomendadas de segurança.
- Os controles de detecção permitem identificar comportamentos anômalos ou maliciosos na organização. O blueprint usa recursos da plataforma, como o Security Command Center, integra-se aos controles e fluxos de trabalho de detetive existentes, como uma central de operações de segurança (SOC, na sigla em inglês), e fornece recursos para aplicar controles de detetive personalizados.
Principais decisões:
Nesta seção, resumimos as decisões arquitetônicas de alto nível do blueprint.
O diagrama descreve como os serviços do Google Cloud contribuem para as principais decisões de arquitetura:
- Cloud Build:os recursos de infraestrutura são gerenciados usando um modelo GitOps. A IaC declarativa é escrita no Terraform e gerenciada em um sistema de controle de versões para revisão e aprovação, e os recursos são implantados usando o Cloud Build como a ferramenta de automação de integração e implantação contínuas (CI/CD). O pipeline também aplica verificações de política como código para validar se os recursos atendem às configurações esperadas antes da implantação.
- Cloud Identity: os usuários e a associação a grupos são sincronizados a partir do provedor de identidade atual. Os controles para o gerenciamento do ciclo de vida da conta de usuário e o Logon único (SSO) dependem dos controles e processos atuais do seu provedor de identidade.
- Identity and Access Management (IAM): as políticas de permissão (anteriormente conhecidas como políticas do IAM) dão acesso a recursos e são aplicadas a grupos com base na função do job. Os usuários são adicionados aos grupos apropriados para receber acesso de leitura aos recursos básicos. Todas as alterações nos recursos de fundação são implantadas por meio do pipeline de CI/CD, que usa identidades de conta de serviço com privilégios.
- Resource Manager: todos os recursos são gerenciados em uma única organização, com uma hierarquia de recursos de pastas que organiza os projetos por ambientes. Os projetos são rotulados com metadados para governança, incluindo atribuição de custos.
- Rede: as topologias de rede usam a VPC compartilhada para fornecer recursos de rede para cargas de trabalho em várias regiões e zonas, separadas por ambiente e gerenciadas centralmente. Todos os caminhos de rede entre hosts locais, recursos do Google Cloud nas redes VPC e serviços do Google Cloud são particulares. Por padrão, nenhum tráfego de saída ou de entrada da Internet pública é permitido.
- Cloud Logging: os coletores de registros agregados são configurados para coletar registros relevantes para segurança e auditoria em um projeto centralizado para retenção de longo prazo, análise e exportação para sistemas externos.
- Serviço de política da organização: as restrições da política da organização são configuradas para impedir várias configurações de alto risco.
- Gerenciador de secrets:projetos centralizados são criados para uma equipe responsável por gerenciar e auditar o uso de secrets de aplicativos confidenciais para ajudar a atender aos requisitos de conformidade.
- Cloud Key Management Service (Cloud KMS): projetos centralizados são criados para uma equipe responsável por gerenciar e auditar as chaves de criptografia para ajudar a atender aos requisitos de conformidade.
- Security Command Center:os recursos de detecção e monitoramento de ameaças são fornecidos usando uma combinação de controles de segurança integrados do Security Command Center e soluções personalizadas que permitem detectar e responder a ocorrências de segurança.
Confira alternativas para encontrar alternativas a essas decisões importantes.
A seguir
- Leia sobre autenticação e autorização (próximo documento desta série).