BeyondProd si riferisce ai servizi e ai controlli dell'infrastruttura di Google che funzionano per proteggere i carichi di lavoro. BeyondProd contribuisce a proteggere per le applicazioni che Google esegue nel proprio ambiente, incluse le Google cambia il codice e il modo in cui garantisce l'isolamento dei servizi. Sebbene L'articolo BeyondProd si riferisce a tecnologie specifiche che Google per gestire la propria infrastruttura non esposta ai clienti, principi di sicurezza di BeyondProd possono essere applicati ai clienti applicazioni.
BeyondProd include diversi principi chiave di sicurezza applicabili al progetto. La seguente tabella mappa l'ambiente principi al progetto.
Principio di sicurezza | Mappatura sul progetto in corso... | Funzionalità di sicurezza |
---|---|---|
Protezione perimetrale della rete |
Cloud Load Balancing |
Contribuisce a proteggere da vari tipi di attacchi DDoS, come flood UDP e Inondazioni SYN. |
Google Cloud Armor |
Contribuisce a garantire protezione contro attacchi alle applicazioni web, attacchi DDoS, e bot attraverso protezione sempre attiva e sicurezza personalizzabile criteri. |
|
Cloud CDN |
Consente di mitigare gli attacchi DDoS eliminando il carico e i servizi esposti direttamente pubblicando contenuti. |
|
I cluster GKE con accesso a Private Service Connect il piano di controllo e i pool di nodi privati per i cluster che utilizzano l'IP privato solo indirizzi |
Contribuisce a proteggere dalle minacce su internet pubbliche e a fornire di più e un controllo granulare sull'accesso ai cluster. |
|
Criterio firewall |
Definisce in modo restrittivo una lista consentita per il traffico in entrata verso i servizi GKE di Cloud Load Balancing. |
|
Nessuna attendibilità reciproca intrinseca tra i servizi |
Cloud Service Mesh |
Impone l'autenticazione e l'autorizzazione per garantire che solo possono comunicare tra loro. |
Workload Identity |
Migliora la sicurezza riducendo il rischio di furto di credenziali attraverso automatizzare il processo di autenticazione e autorizzazione per i carichi di lavoro, eliminando la necessità di gestire e archiviare le credenziali. |
|
Criterio firewall |
Contribuisce a garantire che solo i canali di comunicazione approvati siano consentiti all'interno del dalla rete Google Cloud ai cluster GKE. |
|
Macchine attendibili che eseguono codice di provenienza nota |
Autorizzazione binaria |
Aiuta a garantire che venga eseguito il deployment su GKE solo delle immagini attendibili applicando la firma dell'imaging e la convalida della firma e deployment continuo. |
Applicazione coerente dei criteri in tutti i servizi |
Policy Controller |
Ti consente di definire e applicare i criteri che regolano il tuo cluster GKE. |
Implementazione semplice, automatica e standardizzata delle modifiche |
|
Fornisce un processo di deployment automatizzato e controllato con la conformità e la convalida per sviluppare risorse e applicazioni. |
Config Sync |
Aiuta a migliorare la sicurezza del cluster fornendo una configurazione centralizzata la gestione e la riconciliazione automatica della configurazione. |
|
Isolamento tra carichi di lavoro che condividono lo stesso sistema operativo |
Container-Optimized OS |
Container-Optimized OS contiene solo componenti essenziali richiesto per l'esecuzione di container Docker, il che li rende meno vulnerabili agli exploit e malware. |
Hardware e attestazione affidabili |
Nodi GKE schermati |
Garantisce che all'avvio di un nodo venga caricato solo il software attendibile. Continua monitora lo stack software del nodo, avvisandoti in caso di modifiche rilevato. |
Passaggi successivi
- Scopri di più sul deployment del progetto (nel documento successivo questa serie).