Architecture Center 提供了涵盖各种安全主题以及身份和访问权限管理 (IAM) 主题的内容资源。
使用入门
如果您刚开始接触 Google Cloud,或者刚开始接触 Google Cloud 上的安全和 IAM 设计,请从以下资源开始:
Architecture Center 中的安全和 IAM 资源
您可以通过输入资源名称或说明中的产品名称或短语来过滤以下安全和 IAM 资源列表。
|
使用 Identity Platform 和 Google 身份向 Firestore 验证用户的身份 使用 Identity Platform 作为用户身份和访问权限管理平台,设置对 Firestore 数据库的基于用户的访问权限控制。 使用的产品:Firebase、Firestore、Firestore 安全规则、Identity Platform |
|
对上传到 Cloud Storage 的文件进行自动恶意软件扫描 本文档介绍如何构建事件驱动型流水线来帮助您自动评估文件是否包含恶意代码。 使用的产品:Cloud Logging、Cloud Run、Cloud Storage、Eventarc |
|
缓解 Google Cloud CLI 的 OAuth 令牌被破解的最佳实践 介绍如何缓解攻击者破解 gcloud CLI 所使用的 OAuth 令牌造成的影响。 使用的产品:Google Cloud CLI |
|
本文介绍使容器易于操作的一系列最佳实践。这些做法涉及从安全性到监控和日志记录的各种主题。其目标在于使应用更容易在 Google Kubernetes Engine 中运行… 使用的产品:Cloud Monitoring、Cloud Storage、Google Kubernetes Engine (GKE) |
|
加密货币挖矿(也称为“比特币挖矿”)是用来创建新的加密货币和验证交易的过程。如果获得您的环境访问权限的攻击者也可能利用您的资源执行自己的挖矿操作并导致您产生费用,则会… 使用的产品:Cloud Key Management Service、Compute Engine、Google Cloud Armor、Identity and Access Management |
|
介绍可帮助您使用 Apigee API Management、Google Cloud Armor、reCAPTCHA Enterprise 和 Cloud CDN 保护应用和 API 的最佳做法。 使用的产品:Cloud Armor、Cloud CDN、Wap |
|
介绍生成式 AI 和机器学习 (ML) 蓝图,该蓝图部署了用于创建 AI 模型的流水线。 |
|
提供有关使用 Google Cloud 规划和设计混合云和多云环境的实用指导。 使用的产品:Anthos、Cloud Load Balancing、Compute Engine、Google Kubernetes Engine (GKE) |
|
介绍将具有专用 IP 地址的 Compute Engine 资源连接到互联网以及从互联网连接到这些资源的选项。 使用的产品:Cloud Load Balancing、Cloud NAT、Compute Engine、Identity-Aware Proxy |
|
本文档适用于在 Google Cloud 上运行集中式网络设备的网络管理员、解决方案架构师和专业运营人员。需要了解 Google Cloud 中的 Compute Engine 和 Virtual Private Cloud (VPC) 网络。 使用的产品:Cloud Load Balancing、Compute Engine |
|
在 Google Cloud 中为 FedRAMP 和 DoD 配置网络 提供配置指南,帮助您在部署 Google Cloud 网络政策时遵守 FedRAMP High 以及 DoD IL2、IL4 和 IL5 的设计要求。 |
|
使用 Spin.AI 为 Google Workspace 数据配置 SaaS 数据保护 如何使用 Cloud Storage 配置 SpinOne - 一体化 SaaS 数据保护。 |
|
许多组织都有合规性要求,根据内部要求或采用 Assured Workloads 来限制对明确批准的 API 列表的网络访问。在本地,通常通过代理满足此要求… 使用的产品:Assured Workloads |
|
使用 Cohesity HeliOS 和 Google Cloud 管理数据 Cohesity 如何与 Google Cloud Storage 搭配使用。Cohesity 是一个超融合辅助存储系统,用于将备份、测试/开发、文件服务和分析数据集整合到可扩缩的数据平台上。 使用的产品:Cloud Storage |
|
使用 Sensitive Data Protection 对大规模数据集中的个人身份信息进行去标识化和重标识处理 讨论了如何使用 Sensitive Data Protection 创建自动化数据转换流水线,以对个人身份信息 (PII) 等敏感数据进行去标识化处理。 使用的产品:BigQuery、Cloud Data Loss Prevention、Cloud Pub/Sub、Cloud Storage、Dataflow、Identity and Access Management |
|
通过 Cloud Healthcare API 对医疗图片进行去标识化处理 介绍研究人员、数据科学家、IT 团队或医疗保健和生命科学组织如何使用 Cloud Healthcare API 移除个人身份信息 (PII) 和受保护健康信息 (PHI)。 使用的产品:AI Platform、BigQuery、Cloud Storage、Dataflow、Datalab |
|
本文档介绍了着陆区的四种常见网络设计,并可帮助您选择最符合您需求的方案。 使用的产品:VPC Service Controls、Virtual Private Cloud |
|
使用 Cloud Functions 部署安全的无服务器架构 介绍如何在现有基础上额外增加一层控制机制,帮助保护使用 Cloud Functions(第 2 代)的无服务器应用。 使用的产品:Cloud Functions |
|
介绍如何在现有基础上额外增加一层控制机制,帮助保护使用 Cloud Run 的无服务器应用。 使用的产品:Cloud Run |
|
介绍了企业应用蓝图,该蓝图部署提供托管式软件开发和交付的内部开发者平台。 |
|
网络遥测会从您网络上的设备收集网络流量数据,以便于分析数据。通过网络遥测,安全运维团队可以检测基于网络的威胁并搜寻高级攻击者,这对于... 使用的产品:Compute Engine、Google Kubernetes Engine (GKE)、Logging、数据包镜像、VPC、Virtual Private Cloud |
|
介绍根据机密性、完整性和可用性要求设计安全的部署流水线的最佳实践。 使用的产品:App Engine、Cloud Run、Google Kubernetes Engine (GKE) |
|
本文档是一系列文章,介绍了将数据中心工作负载迁移到 Google Cloud 的企业的网络和安全架构。这些架构强调了高级连接、零信任安全原则和... 使用的产品:Anthos Service Mesh、Cloud CDN、Cloud DNS、Cloud Interconnect、Cloud Intrusion Detection System (Cloud IDS)、Cloud Load Balancing、Cloud NAT、Cloud VPN、Google Cloud Armor、Identity-Aware Proxy、Network Connectivity Center、Traffic Director、VPC Service Controls、Virtual Private Cloud |
|
这是介绍 Google Cloud 中的灾难恢复 (DR) 的系列文章中的第一篇,概述了 DR 规划流程:设计和实施 DR 计划需要了解的内容。 使用的产品:Cloud Key Management Service、Cloud Storage、Spanner |
|
本系列文章从专业的角度介绍了 Google Cloud 安全性方面的最佳做法,这些做法经过精心整理,使用户能够在 Google Cloud 上为其工作负载部署它们。 |
|
介绍了如何使用 Sensitive Data Protection 来缓解将 Google Cloud 数据库中存储的敏感数据泄露给用户的风险,同时仍保证用户能够查询有意义的数据。 使用的产品:Cloud Audit Logs、Cloud Data Loss Prevention、Cloud Key Management Service |
|
介绍有关在 Google Cloud 中部署 FortiGate 新一代防火墙 (NGFW) 的整体概念。 使用的产品:Cloud Load Balancing、Cloud NAT、Compute Engine、Virtual Private Cloud |
|
本指南适用于负责联邦风险和授权管理计划 (FedRAMP) 实施以及 Google Cloud 合规性的安全管理人员、合规性管理人员、IT 管理员和其他员工。本指南可帮助您... 使用的产品:Cloud Identity、Cloud Logging、Cloud Monitoring、Cloud VPN、Google Cloud Armor、Google Workspace、Identity and Access Management、Identity-Aware Proxy、Security Command Center |
|
讨论了常见的混合云和多云架构模式,并描述了这些模式最适合的场景。 使用的产品:Cloud Armor、Cloud DNS、Cloud Interconnect、Cloud Pub/Sub、Cloud Run、Cloud SQL、Cloud Storage、Google Kubernetes Engine (GKE)、Looker |
|
使用 Wiz 安全图和 Google Cloud 识别安全风险并确定优先级 介绍如何使用 Wiz 安全图和 Google Cloud 识别云工作负载中的安全风险并确定其优先级。 使用的产品:Artifact Registry、Cloud Audit Logs、Cloud SQL、Cloud Storage、Compute Engine、Google Kubernetes Engine (GKE)、Identity Access Management、Security Command Center |
|
本文档提供了为着陆区选择网络设计的步骤和指南。 使用的产品:Virtual Private Cloud |
|
使用 Cloud Build 和 GKE 实现 Binary Authorization 介绍如何使用适用于 Google Kubernetes Engine (GKE) 的 Binary Authorization。二进制授权是在容器映像上创建证明的过程,目的是为了在将映像部署到 GKE 之前验证映像是否满足特定条件。 使用的产品:Artifact Registry、Binary Authorization、Cloud Build、Cloud Key Management Service、Cloud Source Repositories、Google Kubernetes Engine (GKE) |
|
介绍可用于帮助保护生产环境中的数据仓库的架构,并介绍从外部网络(例如本地环境)将数据导入到 BigQuery 的最佳实践。 使用的产品:BigQuery |
|
将 Google Cloud 中的数据导入安全的 BigQuery 数据仓库 介绍可用于帮助保护生产环境中的数据仓库的架构,并介绍 Google Cloud 中数据仓库的数据治理最佳实践。 使用的产品:BigQuery、Cloud Data Loss Prevention、Cloud Key Management Service、Dataflow |
|
使用 Cloud Data Fusion 注入临床数据和运营数据 向研究人员、数据科学家和 IT 团队介绍 Cloud Data Fusion 如何通过注入、转换数据和将数据存储到 BigQuery(Google Cloud 上的汇总数据仓库)来解锁数据。 使用的产品:BigQuery、Cloud Data Fusion、Cloud Storage |
|
本系列文章介绍了如何在 Google Cloud 中设计和构建着陆区,为您提供关于身份初始配置、资源层次结构、网络设计和安全性的概要决策。 |
|
限制 Google Cloud 中 PCI 环境的合规性范围 介绍根据支付卡行业 (PCI) 安全标准委员会设计云端环境架构的最佳做法。 使用的产品:App Engine、BigQuery、Cloud Data Loss Prevention、Cloud Key Management Service、Cloud Logging、Cloud Monitoring、Cloud SQL、Identity and Access Management |
|
介绍如何使用开源工具实现对 Google Cloud 资源的即时特权访问。 使用的产品:App Engine、Identity-Aware Proxy |
|
帮助您规划、设计并实现将应用和基础架构工作负载迁移到 Google Cloud 的过程,包括计算、数据库和存储工作负载。 使用的产品:App Engine、Cloud Build、Cloud Data Fusion、Cloud Deployment Manager、Cloud Functions、Cloud Run、Cloud Storage、Container Registry、Data Catalog、Dataflow、Direct Peering、Google Kubernetes Engine (GKE)、Transfer Appliance |
|
由第三方创建来侵入系统以非法操作、加密和窃取数据的代码称为勒索软件。为了帮助您缓解勒索软件攻击,Google Cloud 为您提供了针对攻击的识别、保护、检测… 使用的产品:Chronicle、Google Workspace |
|
探索 Identity and Access Management(通常称为 IAM)的一般做法以及受其影响的人员,包括公司身份、客户身份和服务身份。 使用的产品:Cloud Identity、Identity and Access Management |
|
Google Cloud 上的“OWASP Top 10 2021”选项 帮助您确定有助于防范 OWASP Top 10 中列出的常见应用级攻击的 Google Cloud 产品和缓解策略。 使用的产品:Google Cloud Armor、Security Command Center |
|
演示如何在 Google Cloud 上为您的企业实现支付卡行业数据安全标准 (PCI DSS)。 使用的产品:App Engine、BigQuery、Cloud Data Loss Prevention、Cloud Functions、Cloud Key Management Service、Cloud Logging、Cloud Monitoring、Cloud Storage、Compute Engine、Google Kubernetes Engine (GKE)、VPC Service Controls |
|
本指南旨在帮助您解决在实施支付卡行业数据安全标准 (PCI DSS) 所要求的客户责任时,特定于 Google Kubernetes Engine (GKE) 应用的问题。免责声明:此… 使用的产品:Cloud Data Loss Prevention、Google Cloud Armor、Google Kubernetes Engine (GKE) |
|
在 Compute Engine 上执行 PostgreSQL 数据库的 PITR 创建演示数据库并运行应用工作负载。然后,您可以配置归档和备份过程。接下来,您将学习如何验证备份、归档和恢复过程。 使用的产品:Cloud Storage、Compute Engine |
|
保护 Vertex AI Workbench 用户管理的笔记本中的机密数据 介绍可用于保护 Vertex AI Workbench 用户管理的笔记本中的机密数据的安全控制措施和安全层。 使用的产品:BigQuery、Notebooks |
|
介绍如何将日志从 Cloud Logging 导出到 Cloud Storage,以满足组织的合规性要求。 使用的产品:Cloud Audit Logs、Cloud Logging、Cloud Storage |
|
使用 Anthos Service Mesh 保护和加密 Anthos 集群之间的通信 向管理 Kubernetes 集群的网络、平台和安全工程师介绍如何使用 Anthos Service Mesh 入站和出站网关处理集群间的外部通信。 使用的产品:Anthos Service Mesh、Cloud Networking、Compute Engine、Container Registry、Google Kubernetes Engine (GKE) |
|
使用 Palo Alto VM-Series NGFW 保护虚拟私有云网络 介绍了在 Google Cloud 中部署 Palo Alto Networks 虚拟机系列下一代防火墙 (NGFW) 时需要了解的网络概念。 使用的产品:Cloud Storage |
|
PCI on GKE 蓝图包含一组 Terraform 配置和脚本,演示如何在 Google Cloud 中引导 PCI 环境。此蓝图主要介绍 Online Boutique 应用,用户可以在其中浏览商品、将商品添加… 使用的产品:Google Kubernetes Engine (GKE) |
|
介绍了如何从 Google Cloud 收集、导出和分析日志,从而帮助您审核使用情况并检测数据和工作负载的威胁。使用包含的用于 BigQuery 或 Chronicle 的威胁检测查询,或自带 SIEM。 使用的产品:BigQuery、Cloud Logging、Compute Engine、Looker Studio |
|
使用 Google Cloud 和 Cloudentity 设置嵌入式金融解决方案 介绍向客户提供无缝且安全的嵌入式金融解决方案的架构选项。 使用的产品:Cloud Run、Google Kubernetes Engine (GKE)、Identity Platform |
|
介绍如何通过一个负责处理身份验证和授权逻辑(而不是客户端凭据)的代理将消息从移动应用或客户端应用发布到 Pub/Sub。 使用的产品:Cloud Build、Cloud Endpoints、Cloud Pub/Sub、Container Registry、Google Kubernetes Engine (GKE)、Identity and Access Management |
|
演示如何在 Cloud Functions 上设置受访问权限控制的信用卡和借记卡标记化服务。 使用的产品:Cloud Key Management Service、Firestore、Identity and Access Management |
|
使用 VPC Service Controls 和 Storage Transfer Service 将数据从 Amazon S3 转移到 Cloud Storage 介绍如何使用 Storage Transfer Service 和 VPC Service Controls 边界安全强化从 Amazon Simple Storage Service (Amazon S3) 到 Cloud Storage 的数据传输。 使用的产品:Access Context Manager、Cloud Storage、Storage Transfer Service、VPC Service Controls |
|
介绍如何使用 Google Cloud 工具排查与访问 Google Cloud 资源时的问题相关的用例。本文档未介绍如何排查最终用户对您的应用的访问权限问题。 使用的产品:Identity and Access Management |
|
使用 Microsoft SQL Server 备份在 Compute Engine 上进行时间点恢复 在 Compute Engine SQL Server 实例上执行备份,包括如何管理这些备份并将其存储到 Cloud Storage 中,以及如何将数据库恢复到某个时间点。 使用的产品:Cloud Storage、Compute Engine |