Questa pagina è stata tradotta dall'API Cloud Translation.

Progetto di base aziendale

Last reviewed 2023-12-20 UTC

Questi contenuti sono stati aggiornati a dicembre 2023 e rappresentano lo status quo al momento della loro stesura. Le norme e i sistemi di sicurezza di Google possono variare in futuro, grazie al costante miglioramento della protezione per i nostri clienti.

Questo documento descrive le best practice che consentono di eseguire il deployment di un set di risorse di base in Google Cloud. Un fondamento cloud è la base di risorse, configurazioni e funzionalità che consentono alle aziende di adottare Google Cloud per le loro esigenze aziendali. Una base ben progettata consente una governance coerente, controlli di sicurezza, scalabilità, visibilità e accesso a servizi condivisi su tutti i carichi di lavoro nel tuo ambiente Google Cloud. Dopo aver eseguito il deployment dei controlli e della governance descritti in questo documento, puoi eseguire il deployment dei carichi di lavoro in Google Cloud.

Il progetto delle basi aziendali (precedentemente noto come progetto degli elementi di base di sicurezza) è destinato ad architetti, professionisti della sicurezza e team di platform engineering responsabili della progettazione di un ambiente di livello enterprise su Google Cloud. Questo progetto è costituito da:

Un repository GitHub terraform-example-foundation che contiene gli asset Terraform di cui è possibile eseguire il deployment.
Una guida che descrive l'architettura, la progettazione e i controlli implementati con il progetto base (questo documento).

Puoi utilizzare questa guida in due modi:

per creare una base completa basata sulle best practice di Google. Puoi implementare tutti i suggerimenti di questa guida come punto di partenza, quindi personalizzare l'ambiente per soddisfare i requisiti specifici della tua azienda.
Per rivedere un ambiente esistente su Google Cloud. Puoi confrontare componenti specifici del tuo progetto con le best practice consigliate da Google.

Casi d'uso supportati

Il progetto di base aziendale fornisce un livello di base di risorse e configurazioni che aiutano a abilitare tutti i tipi di carichi di lavoro su Google Cloud. Che tu stia migrando carichi di lavoro di computing esistenti in Google Cloud, creando applicazioni web containerizzate o creando carichi di lavoro di big data e machine learning, il progetto base aziendale ti aiuta a creare il tuo ambiente per supportare i carichi di lavoro aziendali su larga scala.

Dopo aver eseguito il deployment del progetto di base aziendale, puoi eseguire il deployment dei carichi di lavoro direttamente o eseguire il deployment di progetti aggiuntivi per supportare carichi di lavoro complessi che richiedono funzionalità aggiuntive.

Un modello di sicurezza di difesa in profondità

I servizi Google Cloud traggono vantaggio dalla progettazione di sicurezza dell'infrastruttura di Google sottostante. È tua responsabilità progettare la sicurezza nei sistemi che crei su Google Cloud. Il progetto di base aziendale aiuta a implementare un modello di sicurezza per la difesa in profondità per i servizi e i carichi di lavoro di Google Cloud.

Il seguente diagramma mostra un modello di sicurezza di difesa in profondità per la tua organizzazione Google Cloud che combina controlli dell'architettura, dei criteri e di rilevamento.

Il modello di sicurezza della difesa in profondità.

Il diagramma descrive i seguenti controlli:

I controlli dei criteri sono vincoli di pubblicità programmatica che applicano configurazioni di risorse accettabili e impediscono configurazioni rischiose. Il progetto utilizza una combinazione di controlli dei criteri, tra cui la convalida di Infrastructure as-code (IaC) nella pipeline e vincoli dei criteri dell'organizzazione.
I controlli dell'architettura sono la configurazione delle risorse Google Cloud, come le reti e la gerarchia delle risorse. L'architettura del progetto si basa sulle best practice per la sicurezza.
I controlli di rilevamento consentono di rilevare comportamenti anomali o dannosi all'interno dell'organizzazione. Il progetto utilizza funzionalità della piattaforma come Security Command Center, si integra con i controlli di rilevamento e i flussi di lavoro esistenti, ad esempio un centro operativo di sicurezza, e fornisce funzionalità per applicare controlli di rilevamento personalizzati.

Decisioni chiave

Questa sezione riassume le decisioni architetturali di alto livello del progetto.

I servizi principali di Google Cloud nel progetto base.

Il diagramma descrive il modo in cui i servizi Google Cloud contribuiscono alle decisioni chiave relative all'architettura:

Cloud Build: le risorse dell'infrastruttura sono gestite tramite un modello GitHub. L'IaC dichiarativo è scritto in Terraform e gestito in un sistema di controllo della versione per la revisione e l'approvazione. Inoltre, il deployment delle risorse viene eseguito utilizzando Cloud Build come strumento di automazione di integrazione e deployment continui (CI/CD). La pipeline applica anche controlli Policy-as-code per convalidare che le risorse soddisfino le configurazioni previste prima del deployment.
Cloud Identity: gli utenti e le iscrizioni ai gruppi vengono sincronizzati dal tuo provider di identità esistente. I controlli per la gestione del ciclo di vita degli account utente e il Single Sign-On (SSO) si basano sui controlli e sui processi esistenti del tuo provider di identità.
Identity and Access Management (IAM): i criteri di autorizzazione (precedentemente noti come criteri IAM) consentono l'accesso alle risorse e vengono applicati ai gruppi in base alla funzione del job. Gli utenti vengono aggiunti ai gruppi appropriati per ricevere l'accesso di sola visualizzazione alle risorse di base. Il deployment di tutte le modifiche alle risorse di base viene eseguito tramite la pipeline CI/CD, che utilizza identità degli account di servizio con privilegi.
Resource Manager: tutte le risorse sono gestite in un'unica organizzazione, con una gerarchia di cartelle che organizza i progetti per ambiente. I progetti sono etichettati con metadati per la governance, tra cui l'attribuzione dei costi.
Networking: le topologie di rete utilizzano il VPC condiviso per fornire risorse di rete per i carichi di lavoro in più regioni e zone, separate per ambiente e gestite centralmente. Tutti i percorsi di rete tra host on-premise, risorse Google Cloud nelle reti VPC e servizi Google Cloud sono privati. Nessun traffico in uscita o in entrata dalla rete internet pubblica è consentito per impostazione predefinita.
Cloud Logging: i sink di log aggregati sono configurati in modo da raccogliere i log pertinenti per la sicurezza e il controllo in un progetto centralizzato per la conservazione, l'analisi e l'esportazione a lungo termine in sistemi esterni.
Servizio Criteri dell'organizzazione: i vincoli dei criteri dell'organizzazione sono configurati per impedire varie configurazioni ad alto rischio.
Secret Manager: i progetti centralizzati vengono creati per un team responsabile della gestione e del controllo dell'utilizzo di secret per applicazioni sensibili al fine di soddisfare i requisiti di conformità.
Cloud Key Management Service (Cloud KMS): vengono creati progetti centralizzati per un team responsabile della gestione e del controllo delle chiavi di crittografia al fine di soddisfare i requisiti di conformità.
Security Command Center: le funzionalità di rilevamento e monitoraggio delle minacce vengono fornite utilizzando una combinazione di controlli di sicurezza integrati di Security Command Center e soluzioni personalizzate che consentono di rilevare e rispondere agli eventi di sicurezza.

Per conoscere le alternative a queste decisioni chiave, consulta le alternative.

Passaggi successivi

Scopri di più su autenticazione e autorizzazione (documento successivo di questa serie).