Architecture Center 提供了涵盖各种安全主题以及身份和访问权限管理 (IAM) 主题的内容资源。
开始使用
如果您刚开始接触 Google Cloud,或者刚开始接触 Google Cloud 上的安全和 IAM 设计,请从以下资源开始:
Architecture Center 中的安全和 IAM 资源
您可以通过输入资源名称或说明中的产品名称或短语来过滤以下安全和 IAM 资源列表。
|
对上传到 Cloud Storage 的文件进行自动恶意软件扫描 本文档介绍如何构建事件驱动型流水线来帮助您自动评估文件是否包含恶意代码。 使用的产品:Cloud Logging、Cloud Run、Cloud Storage、Eventarc |
|
缓解 Google Cloud CLI 的 OAuth 令牌被破解的最佳实践 介绍如何缓解攻击者破解 gcloud CLI 所使用的 OAuth 令牌造成的影响。 使用的产品:Google Cloud CLI |
|
加密货币挖矿(也称为“比特币挖矿”)是用来创建新的加密货币和验证交易的过程。如果获得您的环境访问权限的攻击者也可能利用您的资源执行自己的挖矿操作并导致您产生费用,则会… 使用的产品:Cloud Key Management Service、Compute Engine、Google Cloud Armor、Identity and Access Management |
|
介绍可帮助您使用 Apigee API Management、Google Cloud Armor、reCAPTCHA Enterprise 和 Cloud CDN 保护应用和 API 的最佳做法。 使用的产品:Cloud CDN |
|
介绍生成式 AI 和机器学习 (ML) 蓝图,该蓝图部署了用于创建 AI 模型的流水线。 |
|
提供有关使用 Google Cloud 规划和设计混合云和多云环境的实用指导。 使用的产品:Cloud Load Balancing、Compute Engine、GKE Enterprise、Google Kubernetes Engine (GKE) |
|
介绍将具有专用 IP 地址的 Compute Engine 资源连接到互联网以及从互联网连接到这些资源的选项。 使用的产品:Cloud Load Balancing、Cloud NAT、Compute Engine、Identity-Aware Proxy |
|
使用 C3 AI 和 Google Cloud 开发应用。 使用的产品:Cloud Storage、Google Kubernetes Engine (GKE)、虚拟私有云 |
|
在 Google Cloud 中为 FedRAMP 和 DoD 配置网络 提供配置指南,帮助您在部署 Google Cloud 网络政策时遵守 FedRAMP High 以及 DoD IL2、IL4 和 IL5 的设计要求。 |
|
使用 Spin.AI 为 Google Workspace 数据配置 SaaS 数据保护 如何使用 Cloud Storage 配置 SpinOne - 一体化 SaaS 数据保护。 |
|
许多组织都有合规性要求,根据内部要求或采用 Assured Workloads 来限制对明确批准的 API 列表的网络访问。在本地,通常通过代理满足此要求… |
|
使用 Cohesity HeliOS 和 Google Cloud 管理数据 Cohesity 如何与 Google Cloud Storage 搭配使用。Cohesity 是一个超融合辅助存储系统,用于将备份、测试/开发、文件服务和分析数据集整合到可扩缩的数据平台上。 使用的产品:Cloud Storage |
|
使用 Sensitive Data Protection 对大规模数据集中的个人身份信息进行去标识化和重标识处理 讨论了如何使用 Sensitive Data Protection 创建自动化数据转换流水线,以对个人身份信息 (PII) 等敏感数据进行去标识化处理。 使用的产品:BigQuery、Cloud Pub/Sub、Cloud Storage、Dataflow、Identity and Access Management、敏感数据保护 |
|
本文档介绍了着陆区的四种常见网络设计,并可帮助您选择最符合您需求的方案。 使用的产品:VPC Service Controls、Virtual Private Cloud |
|
介绍如何在现有基础上额外增加一层控制机制,帮助保护使用 Cloud Run 的无服务器应用。 使用的产品:Cloud Run |
|
介绍如何在现有基础上额外增加一层控制机制,帮助保护使用 Cloud Functions(第 2 代)的无服务器应用。 使用的产品:Cloud Functions |
|
介绍了企业应用蓝图,该蓝图部署提供托管式软件开发和交付的内部开发者平台。 |
|
网络遥测会从您网络上的设备收集网络流量数据,以便于分析数据。通过网络遥测,安全运维团队可以检测基于网络的威胁并搜寻高级攻击者,这对于... 使用的产品:Compute Engine、Google Kubernetes Engine (GKE)、Virtual Private Cloud |
|
介绍根据机密性、完整性和可用性要求设计安全的部署流水线的最佳实践。 使用的产品:App Engine、Cloud Run、Google Kubernetes Engine (GKE) |
|
本文档是一系列文章,介绍了将数据中心工作负载迁移到 Google Cloud 的企业的网络和安全架构。这些架构强调了高级连接、零信任安全原则和... 使用的产品:Cloud CDN、Cloud DNS、Cloud Interconnect、Cloud Intrusion Detection System (Cloud IDS)、Cloud Load Balancing、Cloud NAT、Cloud Service Mesh、Cloud VPN、Google Cloud Armor、Identity-Aware Proxy、Network Connectivity Center、VPC Service Controls、虚拟私有云 |
|
这是介绍 Google Cloud 中的灾难恢复 (DR) 的系列文章中的第一篇,概述了 DR 规划流程:设计和实施 DR 计划需要了解的内容。 使用的产品:Cloud Key Management Service、Cloud Storage、Spanner |
|
讨论边缘混合模式如何在网络边缘本地运行时间关键型和业务关键型工作负载,从而解决连接问题。 使用的产品:Cloud Pub/Sub、Cloud Storage、Google Kubernetes Engine (GKE) |
|
本系列文章从专业的角度介绍了 Google Cloud 安全性方面的最佳做法,这些做法经过精心整理,使用户能够在 Google Cloud 上为其工作负载部署它们。 |
|
介绍了如何将工作负载的生产环境保留在现有数据中心中,但将公有云用于其他非生产环境。 使用的产品:Cloud Pub/Sub、Cloud Storage、Google Kubernetes Engine (GKE) |
|
将 Google Cloud 与 Active Directory 联合 使用的产品:Cloud Identity、Google Cloud Directory Sync |
|
将 Google Cloud 与 Microsoft Entra ID(以前称为 Azure AD)联合 使用的产品:Google Cloud Directory Sync |
|
介绍有关在 Google Cloud 中部署 FortiGate 新一代防火墙 (NGFW) 的整体概念。 使用的产品:Cloud Load Balancing、Cloud NAT、Compute Engine、Virtual Private Cloud |
|
本指南适用于负责联邦风险和授权管理计划 (FedRAMP) 实施以及 Google Cloud 合规性的安全管理人员、合规性管理人员、IT 管理员和其他员工。本指南可帮助您... 使用的产品:Cloud Identity、Cloud Logging、Cloud Monitoring、Cloud VPN、Google Cloud Armor、Google Workspace、Identity and Access Management、Identity-Aware Proxy、Security Command Center |
|
讨论了常见的混合云和多云架构模式,并描述了这些模式最适合的场景。 使用的产品:Cloud DNS、Cloud Interconnect、Cloud Pub/Sub、Cloud Run、Cloud SQL、Cloud Storage、Google Cloud Armor、Google Kubernetes Engine (GKE)、Looker |
|
使用 Wiz 安全图和 Google Cloud 识别安全风险并确定优先级 介绍如何使用 Wiz 安全图和 Google Cloud 识别云工作负载中的安全风险并确定其优先级。 使用的产品:Artifact Registry、Cloud Audit Logs、Cloud SQL、Cloud Storage、Compute Engine、Google Kubernetes Engine (GKE)、Security Command Center |
|
本文档提供了为着陆区选择网络设计的步骤和指南。 使用的产品:Virtual Private Cloud |
|
介绍可用于帮助保护生产环境中的数据仓库的架构,并介绍从外部网络(例如本地环境)将数据导入到 BigQuery 的最佳实践。 使用的产品:BigQuery |
|
将 Google Cloud 中的数据导入安全的 BigQuery 数据仓库 介绍可用于帮助保护生产环境中的数据仓库的架构,并介绍 Google Cloud 中数据仓库的数据治理最佳实践。 使用的产品:BigQuery、Cloud Key Management Service、Dataflow、Sensitive Data Protection |
|
本系列文章介绍了如何在 Google Cloud 中设计和构建着陆区,为您提供关于身份初始配置、资源层次结构、网络设计和安全性的概要决策。 |
|
限制 Google Cloud 中 PCI 环境的合规性范围 介绍根据支付卡行业 (PCI) 安全标准委员会设计云端环境架构的最佳做法。 使用的产品:App Engine、BigQuery、Cloud Key Management Service、Cloud Logging、Cloud Monitoring、Cloud SQL、Identity and Access Management、Sensitive Data Protection |
|
介绍如何使用开源工具实现对 Google Cloud 资源的即时特权访问。 使用的产品:App Engine、Identity-Aware Proxy |
|
帮助您规划、设计并实现将应用和基础架构工作负载迁移到 Google Cloud 的过程,包括计算、数据库和存储工作负载。 使用的产品:App Engine、Cloud Build、Cloud Data Fusion、Cloud Deployment Manager、Cloud Functions、Cloud Run、Cloud Storage、Container Registry、Data Catalog、Dataflow、Direct Peering、Google Kubernetes Engine (GKE)、Transfer Appliance |
|
由第三方创建来侵入系统以非法操作、加密和窃取数据的代码称为勒索软件。为了帮助您缓解勒索软件攻击,Google Cloud 为您提供了针对攻击的识别、保护、检测… 使用的产品:Google Security Operations、Google Workspace |
|
探索 Identity and Access Management(通常称为 IAM)的一般做法以及受其影响的人员,包括公司身份、客户身份和服务身份。 使用的产品:Cloud Identity、Identity and Access Management |
|
Google Cloud 上的“OWASP Top 10 2021”选项 帮助您确定有助于防范 OWASP Top 10 中列出的常见应用级攻击的 Google Cloud 产品和缓解策略。 使用的产品:Google Cloud Armor、Security Command Center |
|
演示如何在 Google Cloud 上为您的企业实现支付卡行业数据安全标准 (PCI DSS)。 使用的产品:App Engine、BigQuery、Cloud Functions、Cloud Key Management Service、Cloud Logging、Cloud Monitoring、Cloud Storage、Compute Engine、Google Kubernetes Engine (GKE)、Sensitive Data Protection、VPC Service Controls |
|
本指南旨在帮助您解决在实施支付卡行业数据安全标准 (PCI DSS) 所要求的客户责任时,特定于 Google Kubernetes Engine (GKE) 应用的问题。免责声明:此… 使用的产品:Google Cloud Armor、Google Kubernetes Engine (GKE)、Sensitive Data Protection |
|
使用 Palo Alto VM-Series NGFW 保护虚拟私有云网络 介绍了在 Google Cloud 中部署 Palo Alto Networks 虚拟机系列下一代防火墙 (NGFW) 时需要了解的网络概念。 使用的产品:Cloud Storage |
|
PCI on GKE 蓝图包含一组 Terraform 配置和脚本,演示如何在 Google Cloud 中引导 PCI 环境。此蓝图主要介绍 Online Boutique 应用,用户可以在其中浏览商品、将商品添加… 使用的产品:Google Kubernetes Engine (GKE) |
|
介绍了如何从 Google Cloud 收集、导出和分析日志,从而帮助您审核使用情况并检测数据和工作负载的威胁。使用包含的用于 BigQuery 或 Chronicle 的威胁检测查询,或自带 SIEM。 使用的产品:BigQuery、Cloud Logging、Compute Engine、Looker Studio |
|
使用 Google Cloud 和 Cloudentity 设置嵌入式金融解决方案 介绍向客户提供无缝且安全的嵌入式金融解决方案的架构选项。 使用的产品:Cloud Run、Google Kubernetes Engine (GKE)、Identity Platform |
|
使用 Google Cloud Armor、负载均衡和 Cloud CDN 部署可编程的全球前端 提供使用全球前端的架构,该架构融合了 Google Cloud 最佳做法,以帮助扩缩、保护和加速面向互联网的应用交付。 |