Questi contenuti sono stati aggiornati l'ultima volta a dicembre 2023 e rappresentano lo status quo del momento in cui sono stati redatti. Criteri e sistemi di sicurezza di Google possono variare in futuro, in virtù del costante miglioramento della protezione per i nostri clienti.
Questo documento descrive le best practice che consentono di eseguire il deployment di un set di risorse di base in Google Cloud. Una piattaforma cloud è la base di risorse, configurazioni e funzionalità che consentono alle aziende di adottare Google Cloud per le proprie esigenze aziendali. Una base ben progettata consente di assicurare coerenza in termini di governance, controlli di sicurezza, scalabilità, visibilità e accesso ai servizi condivisi in tutti i carichi di lavoro nel tuo ambiente Google Cloud. Dopo aver eseguito il deployment dei controlli e della governance descritti in questo documento, puoi eseguire il deployment dei carichi di lavoro in Google Cloud.
Il progetto di base aziendale (precedentemente noto come progetto di base per la sicurezza) è destinato ad architetti, professionisti della sicurezza e team di ingegneri di piattaforma responsabili della progettazione di un ambiente di livello enterprise su Google Cloud. Questo progetto è costituito dai seguenti elementi:
- Un repository GitHub terraform-example-foundation contenente gli asset Terraform di cui è possibile eseguire il deployment.
- Una guida che descrive l'architettura, il design e i controlli implementati con il progetto base (questo documento).
Puoi utilizzare questa guida in due modi:
- per creare una base completa basata sulle best practice di Google. Puoi eseguire il deployment di tutti i suggerimenti di questa guida come punto di partenza, quindi personalizzare l'ambiente per soddisfare i requisiti specifici della tua attività.
- Esaminare un ambiente esistente su Google Cloud. Puoi confrontare componenti specifici della tua progettazione con le best practice consigliate da Google.
Casi d'uso supportati
Il progetto di base aziendale fornisce un livello di base di risorse e configurazioni che consentono di abilitare tutti i tipi di carichi di lavoro su Google Cloud. Che tu stia eseguendo la migrazione di carichi di lavoro di computing esistenti a Google Cloud, creando applicazioni web containerizzate o creando carichi di lavoro di big data e machine learning, il progetto di base aziendale ti aiuta a creare il tuo ambiente per supportare carichi di lavoro aziendali su larga scala.
Dopo aver eseguito il deployment del progetto di base aziendale, puoi eseguire il deployment dei carichi di lavoro direttamente o eseguire il deployment di progetti aggiuntivi per supportare carichi di lavoro complessi che richiedono funzionalità aggiuntive.
Un modello di sicurezza per la difesa in profondità
I servizi Google Cloud traggono vantaggio dalla progettazione della sicurezza dell'infrastruttura Google sottostante. È tua responsabilità progettare la sicurezza nei sistemi che crei su Google Cloud. Il progetto di base aziendale ti aiuta a implementare un modello di sicurezza per la difesa in profondità per i servizi e i carichi di lavoro Google Cloud.
Il seguente diagramma mostra un modello di sicurezza di difesa in profondità per la tua organizzazione Google Cloud che combina controlli dell'architettura, dei criteri e dei controlli di rilevamento.
Il diagramma descrive i seguenti controlli:
- I controlli dei criteri sono vincoli programmatici che applicano configurazioni di risorse accettabili e prevengono configurazioni rischiose. Il progetto utilizza una combinazione di controlli dei criteri, tra cui la convalida di Infrastructure as Code (IaC) nella pipeline e nei vincoli dei criteri dell'organizzazione.
- I controlli dell'architettura sono la configurazione delle risorse Google Cloud come reti e gerarchia delle risorse. L'architettura del progetto si basa sulle best practice per la sicurezza.
- I controlli di rilevamento consentono di rilevare comportamenti anomali o dannosi all'interno dell'organizzazione. Il progetto utilizza funzionalità della piattaforma come Security Command Center, si integra con i controlli di rilevamento e i flussi di lavoro esistenti come un Security Operations Center (SOC) e fornisce la funzionalità per applicare controlli di rilevamento personalizzati.
Decisioni chiave
Questa sezione riassume le decisioni architettoniche di alto livello del progetto.
Il diagramma descrive in che modo i servizi di Google Cloud contribuiscono alle decisioni chiave relative all'architettura:
- Cloud Build: le risorse di infrastruttura sono gestite utilizzando un modello GitHub. IaC dichiarativo è scritto in Terraform e gestito in un sistema di controllo della versione per la revisione e l'approvazione, e il deployment delle risorse viene eseguito utilizzando Cloud Build come strumento di automazione per l'integrazione continua e il deployment continuo (CI/CD). La pipeline applica inoltre controlli Policy as Code per verificare che le risorse soddisfino le configurazioni previste prima del deployment.
- Cloud Identity: gli utenti e le iscrizioni ai gruppi vengono sincronizzati dal tuo provider di identità esistente. I controlli per la gestione del ciclo di vita degli account utente e il Single Sign-On (SSO) si basano sui controlli e sui processi esistenti del tuo provider di identità.
- Identity and Access Management (IAM): i criteri di autorizzazione (precedentemente noti come criteri IAM) consentono l'accesso alle risorse e vengono applicati ai gruppi in base alla funzione lavorativa. Gli utenti vengono aggiunti ai gruppi appropriati per ricevere l'accesso in sola visualizzazione alle risorse di base. Il deployment di tutte le modifiche alle risorse di base viene eseguito tramite la pipeline CI/CD che utilizza identità degli account di servizio con privilegi.
- Resource Manager: tutte le risorse sono gestite in una singola organizzazione, con una gerarchia di risorse di cartelle che organizza i progetti in base agli ambienti. I progetti sono etichettati con metadati per la governance, compresa l'attribuzione dei costi.
- Networking: le topologie di rete utilizzano il VPC condiviso per fornire risorse di rete per i carichi di lavoro in più regioni e zone, separate per ambiente e gestite centralmente. Tutti i percorsi di rete tra host on-premise, risorse Google Cloud nelle reti VPC e servizi Google Cloud sono privati. Per impostazione predefinita non è consentito alcun traffico in uscita verso o in entrata dalla rete internet pubblica.
- Cloud Logging: i sink di log aggregati sono configurati per raccogliere log pertinenti per la sicurezza e il controllo in un progetto centralizzato per la conservazione, l'analisi e l'esportazione a lungo termine su sistemi esterni.
- Cloud Monitoring: i progetti di monitoraggio dell'ambito sono configurati per visualizzare le metriche sulle prestazioni delle applicazioni in più progetti in un unico posto.
- Servizio Criteri dell'organizzazione: i vincoli dei criteri dell'organizzazione sono configurati per prevenire varie configurazioni ad alto rischio.
- Secret Manager: i progetti centralizzati vengono creati per un team responsabile della gestione e del controllo dell'uso di secret delle applicazioni sensibili al fine di soddisfare i requisiti di conformità.
- Cloud Key Management Service (Cloud KMS): i progetti centralizzati vengono creati per un team responsabile della gestione e del controllo delle chiavi di crittografia al fine di soddisfare i requisiti di conformità.
- Security Command Center: le funzionalità di rilevamento e monitoraggio delle minacce sono fornite utilizzando una combinazione di controlli di sicurezza integrati di Security Command Center e soluzioni personalizzate che consentono di rilevare e rispondere agli eventi di sicurezza.
Per alternative a queste decisioni chiave, consulta le alternative.
Passaggi successivi
- Leggi ulteriori informazioni su autenticazione e autorizzazione (documento successivo di questa serie).