本页内容的上次更新时间为 2023 年 12 月,代表截至本文撰写之时的状况。由于我们会不断改善对客户的保护机制,Google 的安全政策和系统今后可能会发生变化。
本文档介绍了在 Google Cloud 中部署一组基础资源的最佳实践。云基础是资源、配置和能力的基准,使公司能够采用 Google Cloud 来满足其业务需求。设计良好的基础可让您的 Google Cloud 环境中的所有工作负载实现一致的治理、安全控制、扩缩、可见性和对共享服务的访问权限。部署本文档中介绍的控制和治理后,您可以将工作负载部署到 Google Cloud。
企业基础蓝图(以前称为安全基础蓝图)适用于负责设计 Google Cloud 上的企业级环境的架构师、安全从业人员和平台工程团队。此蓝图包含以下内容:
- 包含可部署的 Terraform 资产的 terraform-example-foundation GitHub 代码库。
- 描述您使用蓝图实现的架构、设计和控制的指南(本文档)。
您可以通过以下两种方式之一使用本指南:
- 根据 Google 的最佳实践创建完整的基础。您可以在开始时部署本指南中的所有建议,然后自定义环境以满足您的业务特定要求。
- 查看 Google Cloud 上的现有环境。您可以将设计的特定组件与 Google 推荐的最佳实践进行比较。
支持的使用场景
企业基础蓝图提供了一个基准层资源和配置,有助于在 Google Cloud 上启用所有类型的工作负载。无论您是将现有的计算工作负载迁移到 Google Cloud、构建容器化 Web 应用,还是创建大数据和机器学习工作负载,企业基础蓝图都可以帮助您构建环境来大规模支持企业工作负载。
部署企业基础蓝图后,您可以直接部署工作负载,也可以部署其他蓝图以支持需要额外功能的复杂工作负载。
纵深防御安全模型
Google Cloud 服务受益于底层的 Google 基础设施安全设计。您负责在 Google Cloud 之上构建的系统中设计安全机制。企业基础蓝图可帮助您为 Google Cloud 服务和工作负载实现纵深防御安全模型。
下图展示了 Google Cloud 组织的纵深防御安全模型,该模型结合了架构控制、政策控制和检测性控制。
下图介绍了以下控制:
- 政策控制属于程序化限制条件,用于强制执行可接受的资源配置并防止进行有风险的配置。此蓝图结合使用了政策控制(包括流水线中的基础设施即代码 (IaC) 验证)和组织政策限制条件。
- 架构控制是 Google Cloud 资源(如网络和资源层次结构)的配置。此蓝图架构基于安全最佳实践。
- 借助检测性控制,您可以检测组织内的异常行为或恶意行为。此蓝图使用 Security Command Center 等平台功能,与安全运维中心 (SOC) 等现有检测控制和工作流集成,并提供强制执行自定义检测性控制的功能。
主要决策
本部分汇总了该蓝图的架构概要决策。
下图说明了 Google Cloud 服务如何有助于做出关键架构决策:
- Cloud Build:基础设施资源使用 GitOps 模型进行管理。声明式 IaC 是使用 Terraform 编写的,并在版本控制系统中接受管理以供审核和批准,资源使用 Cloud Build 作为持续集成和持续部署 (CI/CD) 自动化工具进行部署。流水线还强制执行政策即代码检查,以在部署前验证资源是否符合预期配置。
- Cloud Identity:从现有身份提供方同步用户和群组成员资格。用户账号生命周期管理和单点登录 (SSO) 的控制依赖于身份提供方的现有控制和流程。
- Identity and Access Management (IAM):允许政策(以前称为 IAM 政策)允许访问资源,并根据作业功能应用于群组。系统会将用户添加到相应的群组,以获得对基础资源的“只能查看”权限。对基础资源的所有更改都通过 CI/CD 流水线进行部署,该流水线使用特权服务账号身份。
- Resource Manager:所有资源都由单个组织管理,并且文件夹资源层次结构按环境组织项目。项目标有元数据(包括费用归属)以方便进行治理。
- 网络:网络拓扑使用共享 VPC 为跨多个区域和可用区的工作负载提供网络资源,这些资源按环境分隔并集中管理。本地主机、VPC 网络中的 Google Cloud 资源和 Google Cloud 服务之间的所有网络路径都是专用的。默认情况下,不允许出站流量前往公共互联网或入站流量来自公共互联网。
- Cloud Logging:汇总日志接收器配置为将与安全和审核相关的日志收集到一个集中项目中,以进行长期保留、分析以及导出到外部系统。
- 组织政策服务:组织政策限制条件配置为防止各种高风险的配置。
- Secret Manager:为负责管理和审核敏感应用密文的使用的团队创建集中式项目,以帮助满足合规性要求。
- Cloud Key Management Service (Cloud KMS):为负责管理和审核加密密钥的团队创建集中式项目,以帮助满足合规性要求。
- Security Command Center:Security Command Center 的内置安全控制和可用于检测和响应安全事件的自定义解决方案相结合,提供了威胁检测和监控功能。
如需了解这些主要决策的替代方案,请参阅替代方案。
后续步骤
- 了解身份验证和授权(本系列的下一个文档)。