Questa pagina è stata tradotta dall'API Cloud Translation.

Panoramica del servizio Secured Landing Zone

Questa pagina fornisce una panoramica del servizio Secured Landing Zone.

Panoramica

Google fornisce indicazioni sulle best practice tramite i progetti di sicurezza, che ti consentono di raggiungere i tuoi obiettivi di sicurezza e conformità mentre esegui il deployment dei carichi di lavoro su Google Cloud. Puoi eseguire il deployment di un progetto base ed eseguire il provisioning delle risorse Google Cloud. Quando le risorse iniziano a interagire in tempo reale, le best practice consentono a queste risorse di operare in modo sicuro.

Terminologia

Prima di iniziare a utilizzare il servizio Secured Landing Zone, di seguito sono riportate alcune terminologia che ti aiuteranno a impostare il contesto nel resto di questo argomento.

Progetto di sicurezza

Un progetto per la sicurezza è un pacchetto di artefatti di configurazione e/o di criteri di cui è possibile eseguire il deployment e riutilizzabili. Il progetto ha anche un'architettura consigliata allo scopo di implementare una zona di destinazione influenzata specifica e/o una soluzione di carico di lavoro insieme alla documentazione e agli attestati associati. Gli sviluppatori possono combinare e scrivere progetti per assemblare infrastruttura, piattaforme e servizi per applicazioni più complessi. Per maggiori informazioni sui progetti per la sicurezza, consulta Progetti per le zone di destinazione di cui è possibile eseguire il deployment.

Deployment

Un deployment è l'idratazione di un progetto in risorse effettive.

Zona di destinazione

Una zona di destinazione è un ambiente cloud di cui è stato eseguito il deployment, costituito da tutte le risorse preconfigurate e connesse di cui hai bisogno, su cui puoi creare il tuo carico di lavoro specifico.

Componenti di una postura di sicurezza

La strategia di sicurezza di un deployment è costituita da tre componenti:

Configurazioni stateful di ciascuna risorsa di cui è stato eseguito il deployment, ad esempio architettura del perimetro di servizio VPC del deployment, impostazioni IAM delle singole risorse, etichette definite, tag di dati e tag di criteri.
Vincoli di comportamento associati alle azioni intraprese dalle risorse, ad esempio pattern di accesso ai dati, pattern di accesso amministrativo, risorse CRUD (Crea, Lettura, Aggiornamento ed Eliminazione) consentite e limitate.
Vincoli e configurazioni ambientali dell'ambiente attorno alle risorse e tra le risorse, ad esempio criteri a livello di organizzazione e cartella, percorsi di accesso da autorizzazioni e ruoli dei gruppi di amministrazione e sicurezza della catena di fornitura del software dei servizi che interagiscono con il deployment e i dati.

Servizio zona di destinazione protetta

Il servizio Secured Landing Zone è una funzionalità di Security Command Center Premium. Protegge la strategia di sicurezza dei deployment della zona di destinazione e dei carichi di lavoro creati da un progetto di sicurezza seguendo queste istruzioni:

Rilevare violazioni dei criteri nei controlli stateful, comportamentali e ambientali da quelli specificati nel progetto base.
Generazione dei risultati del servizio Secured Landing Zone per le violazioni dei criteri.
Correggere automaticamente un sottoinsieme di violazioni dei criteri ripristinando il deployment alle configurazioni specificate nel progetto base originale.

Zona di destinazione protetta

Una zona di destinazione protetta è un deployment che è stato protetto dal servizio Secured Landing Zone.

Terraforme

Terraform è uno strumento Infrastructure as Code che consente di creare, modificare e migliorare l'infrastruttura di produzione in modo sicuro e prevedibile. È uno strumento open source che codifica le API in file di configurazione dichiarativi che possono essere condivisi tra membri del team, trattati come codice, modificati, rivisti e sottoposti al controllo delle versioni. Per saperne di più sulla gestione dell'Infrastructure as Code, consulta Gestire l'infrastruttura come codice con Terraform.

File del piano Terraform

Con Terraform, puoi creare un piano di esecuzione che ti consente di visualizzare l'anteprima delle modifiche che Terraform è stato configurato per apportare nella tua infrastruttura. Il file del piano Terraform ti consente di determinare lo stato desiderato di tutte le risorse dichiarate, quindi confronta lo stato desiderato con gli oggetti reali dell'infrastruttura gestiti con la directory di lavoro e l'area di lavoro attuali.

Come utilizzare il servizio Secured Landing Zone

Dopo aver eseguito il deployment di un progetto di sicurezza, puoi abilitare un'istanza del servizio Secured Landing Zone su quel deployment per proteggere e applicare la strategia di sicurezza definita nel progetto originale.

La figura seguente illustra il flusso di lavoro per l'utilizzo del servizio Secured Landing Zone:

Come funziona il servizio Secured Landing Zone

Il flusso di lavoro prevede le seguenti fasi:

Crea: configura i criteri

Utilizzi un progetto di sicurezza per configurare criteri di sicurezza per l'implementazione di una soluzione di carico di lavoro in una zona di destinazione. Questi includono architettura, sicurezza di rete, flusso di dati consentito, logging e altre best practice di sicurezza per le risorse sottostanti. Terraform consente di esprimere, inizializzare ed eseguire il provisioning delle risorse con l'aiuto di file di configurazione dichiarativi.

Esegui il deployment: configura le risorse

Utilizzando gli strumenti Terraform e il file del piano Terraform, puoi applicare le configurazioni ed eseguire il deployment delle risorse.

Esegui: rileva e correggi

Abilita un'istanza del servizio Secured Landing Zone per il deployment specifico. Il servizio Secured Landing Zone può aiutare a rilevare, avvisare e risolvere eventuali violazioni dei criteri in tempo reale nei deployment a partire dai criteri definiti in origine. Il servizio Secured Landing Zone) tiene traccia delle risorse di cui è stato eseguito il deployment (come descritto nella fase di deployment), tiene traccia delle modifiche alla postura di sicurezza dell'infrastruttura, identifica le violazioni dei criteri e richiama le azioni di correzione appropriate. Queste violazioni delle norme vengono identificate e visualizzate come risultati pertinenti.

Quando si verifica una violazione della sicurezza, viene generato un risultato. Per maggiori informazioni sulle categorie di risultati e sulle soluzioni disponibili, consulta Correzione dei risultati del servizio delle zone di destinazione per la sicurezza.

Passaggi successivi

Scopri come utilizzare il servizio Security Landing Zone
Scopri come correggere i risultati del servizio Security Landing Zone