Progetto di base per le aziende

Last reviewed 2023-12-20 UTC

Questi contenuti sono stati aggiornati l'ultima volta a dicembre 2023 e rappresentano lo status quo al momento della loro redazione. I criteri e i sistemi di sicurezza di Google potranno variare in futuro, in virtù del costante miglioramento della protezione per i nostri clienti.

Questo documento descrive le best practice che ti consentono di eseguire il deployment di un insieme di risorse di base in Google Cloud. Una base cloud è la linea di base di risorse, configurazioni e funzionalità che consentono alle aziende di adottareGoogle Cloud per le proprie esigenze aziendali. Una base ben progettata consente una governance, controlli di sicurezza, scalabilità, visibilità e accesso coerenti ai servizi condivisi su tutti i carichi di lavoro nel tuo Google Cloud ambiente. Dopo aver eseguito il deployment dei controlli e della governance descritti in questo documento, puoi eseguire il deployment dei carichi di lavoro in Google Cloud.

Il blueprint delle basi per le aziende (in precedenza blueprint delle basi per la sicurezza) è destinato ad architetti, professionisti della sicurezza e team di ingegneria della piattaforma che si occupano della progettazione di un ambiente adatto alle aziende su Google Cloud. Questo blueprint è costituito da quanto segue:

  • Un repository GitHub terraform-example-foundation che contiene gli asset Terraform di cui è possibile eseguire il deployment.
  • Una guida che descrive l'architettura, il design e i controlli che implementi con il progetto (questo documento).

Puoi utilizzare questa guida in due modi:

  • Per creare una base completa in base alle best practice di Google. Puoi eseguire il deployment di tutti i consigli di questa guida come punto di partenza, quindi personalizzare l'ambiente in base alle esigenze specifiche della tua attività.
  • Per esaminare un ambiente esistente su Google Cloud. Puoi confrontare componenti specifici del tuo design con le best practice consigliate da Google.

Casi d'uso supportati

Il progetto della piattaforma aziendale fornisce un livello di base di risorse e configurazioni che consentono di attivare tutti i tipi di carichi di lavoro su Google Cloud. Che tu stia eseguendo la migrazione di carichi di lavoro di calcolo esistenti a Google Cloud, sviluppando applicazioni web containerizzate o creando carichi di lavoro di big data e machine learning, il blueprint di base enterprise ti aiuta a creare il tuo ambiente per supportare i carichi di lavoro aziendali su larga scala.

Dopo aver eseguito il deployment del progetto della piattaforma aziendale, puoi eseguire il deployment dei carichi di lavoro direttamente o di altri progetti per supportare carichi di lavoro complessi che richiedono funzionalità aggiuntive.

Un modello di sicurezza di difesa in profondità

Google Cloud trarrà vantaggio dalla progettazione della sicurezza dell'infrastruttura Google di base. È tua responsabilità progettare la sicurezza nei sistemi che crei su Google Cloud. Il blueprint Enterprise Foundation ti aiuta a implementare un modello di sicurezza di difesa in profondità per i tuoi servizi e carichi di lavoro. Google Cloud

Il seguente diagramma mostra un modello di sicurezza di difesa in profondità per la tuaGoogle Cloud organizzazione che combina controlli dell'architettura, controlli dei criteri e controlli di rilevamento.

Il modello di sicurezza di difesa in profondità.

Il diagramma descrive i seguenti controlli:

  • I controlli delle norme sono vincoli programmatici che applicano configurazioni delle risorse accettabili e impediscono configurazioni rischiose. Il blueprint utilizza una combinazione di controlli delle norme, inclusa la convalida IaC (Infrastructure as Code) nella pipeline e i vincoli delle norme dell'organizzazione.
  • I controlli dell'architettura sono la configurazione di Google Cloud risorse come reti e gerarchia delle risorse. L'architettura del progetto si basa sulle best practice per la sicurezza.
  • I controlli di rilevamento ti consentono di rilevare comportamenti anomali o dannosi all'interno dell'organizzazione. Il blueprint utilizza funzionalità della piattaforma come Security Command Center, si integra con i controlli di rilevamento esistenti e i flussi di lavoro come un Security Operations Center (SOC) e fornisce funzionalità per applicare controlli di rilevamento personalizzati.

Decisioni chiave

Questa sezione riassume le decisioni di architettura di alto livello del progetto.

Servizi Google Cloud principali nel blueprint.

Il diagramma descrive in che modo i Google Cloud servizi contribuiscono alle decisioni di architettura chiave:

  • Cloud Build:le risorse di infrastruttura vengono gestite utilizzando un modello GitOps. L'IaC dichiarativa è scritta in Terraform e gestita in un sistema di controllo della versione per la revisione e l'approvazione. Le risorse vengono implementate utilizzando Cloud Build come strumento di automazione dell'integrazione e del deployment continui (CI/CD). La pipeline inoltre applica controlli di policy as code per verificare che le risorse soddisfino le configurazioni previste prima del deployment.
  • Cloud Identity: gli utenti e l'appartenenza ai gruppi vengono sincronizzati dal tuo provider di identità esistente. I controlli per la gestione del ciclo di vita degli account utente e il Single Sign-On (SSO) si basano sui controlli e sulle procedure esistenti del tuo provider di identità.
  • Identity and Access Management (IAM): i criteri di autorizzazione (in precedenza noti come criteri IAM) consentono l'accesso alle risorse e vengono applicati ai gruppi in base alla funzione del job. Gli utenti vengono aggiunti ai gruppi appropriati per ricevere accesso di sola visualizzazione alle risorse di base. Tutte le modifiche alle risorse di base vengono implementate tramite la pipeline CI/CD che utilizza le identità degli account di servizio privilegiati.
  • Resource Manager: tutte le risorse vengono gestite in un'unica organizzazione, con una gerarchia di risorse di cartelle che organizza i progetti in base agli ambienti. I progetti sono etichettati con metadati per la governance, tra cui l'attribuzione dei costi.
  • Networking: le topologie di rete utilizzano il VPC condiviso per fornire risorse di rete per i carichi di lavoro in più regioni e zone, separate per ambiente e gestite centralmente. Tutti i percorsi di rete tra gli host on-premise, le risorse nelle reti VPC e i servizi sono privati. Google Cloud Google Cloud Per impostazione predefinita, non è consentito alcun traffico in uscita o in entrata dalla rete internet pubblica.
  • Cloud Logging: i canali di log aggregati sono configurati per raccogliere i log pertinenti per la sicurezza e il controllo in un progetto centralizzato per la conservazione, l'analisi e l'esportazione a lungo termine in sistemi esterni.
  • Servizio di criteri dell'organizzazione:i vincoli dei criteri dell'organizzazione sono configurati per impedire varie configurazioni ad alto rischio.
  • Secret Manager:i progetti centralizzati vengono creati per un team responsabile della gestione e del controllo dell'utilizzo di secret di applicazioni sensibili per contribuire a soddisfare i requisiti di conformità.
  • Cloud Key Management Service (Cloud KMS): i progetti centralizzati vengono creati per un team responsabile della gestione e del controllo delle chiavi di crittografia per contribuire a soddisfare i requisiti di conformità.
  • Security Command Center: le funzionalità di monitoraggio e rilevamento delle minacce vengono offerte utilizzando una combinazione di controlli di sicurezza integrati di Security Command Center e soluzioni personalizzate che ti consentono di rilevare e rispondere agli eventi di sicurezza.

Per le alternative a queste decisioni chiave, vedi Alternative.

Passaggi successivi