BeyondProd hace referencia a los servicios y controles de la infraestructura de Google que trabajan conjuntamente para proteger las cargas de trabajo. BeyondProd ayuda a proteger los servicios de aplicaciones que Google ejecuta en su propio entorno, incluido cómo cambia Google el código y cómo asegura el aislamiento de los servicios. Aunque el documento de BeyondProd hace referencia a tecnologías específicas que Google usa para gestionar su propia infraestructura y que no se exponen a los clientes, los principios de seguridad de BeyondProd también se pueden aplicar a las aplicaciones de los clientes.
BeyondProd incluye varios principios de seguridad clave que se aplican al plan. En la siguiente tabla se asignan los principios de BeyondProd al plano.
| Principio de seguridad | Asignación a un plano | Función de seguridad |
|---|---|---|
Protección del perímetro de la red |
Cloud Load Balancing |
Ayuda a proteger frente a varios tipos de ataques DDoS, como inundaciones UDP e inundaciones SYN. |
Cloud Armor |
Ayuda a protegerse frente a ataques a aplicaciones web, ataques DDoS y bots mediante una protección permanente y políticas de seguridad personalizables. |
|
Cloud CDN |
Ayuda a mitigar los ataques DDoS al reducir la carga de los servicios expuestos mediante la publicación directa de contenido. |
|
Clústeres de GKE con acceso de Private Service Connect al plano de control y a grupos de nodos privados para clústeres que solo usen direcciones IP privadas |
Ayuda a protegerse frente a las amenazas de Internet públicas y a proporcionar un control más granular sobre el acceso a los clústeres. |
|
Política de cortafuegos |
Define de forma precisa una lista de permitidos para el tráfico entrante a los servicios de GKE desde Cloud Load Balancing. |
|
Inexistencia de confianza mutua inherente entre los servicios |
Cloud Service Mesh |
Aplica la autenticación y la autorización para asegurarse de que solo los servicios aprobados puedan comunicarse entre sí. |
Workload Identity Federation para GKE |
Mejora la seguridad al reducir el riesgo de robo de credenciales mediante la automatización del proceso de autenticación y autorización de las cargas de trabajo, lo que elimina la necesidad de gestionar y almacenar credenciales. |
|
Política de cortafuegos |
Ayuda a garantizar que solo se permitan los canales de comunicación aprobados en la red a los clústeres de GKE.Google Cloud |
|
Máquinas de confianza que ejecutan código de procedencia conocida |
Autorización binaria |
Ayuda a asegurar que solo se desplieguen imágenes de confianza en GKE aplicando la firma de imágenes y la validación de firmas durante el despliegue. |
Implementación coherente de políticas en los servicios |
Policy Controller |
Te permite definir y aplicar políticas que rigen tus clústeres de GKE. |
Simplificación, automatización y normalización de la implementación de cambios |
|
Proporciona un proceso de implementación automatizado y controlado con cumplimiento y validación integrados para crear recursos y aplicaciones. |
Config Sync |
Ayuda a mejorar la seguridad del clúster proporcionando una gestión de la configuración centralizada y una conciliación de la configuración automatizada. |
|
Aislamiento entre cargas de trabajo que compartan sistema operativo |
Container-Optimized OS |
Container-Optimized OS solo contiene los componentes esenciales necesarios para ejecutar contenedores Docker, lo que lo hace menos vulnerable a exploits y malware. |
Hardware y atestación de confianza |
Nodos de GKE blindados |
Asegura que solo se cargue software de confianza cuando se inicia un nodo. Monitoriza continuamente la pila de software del nodo y te avisa si se detecta algún cambio. |
Siguientes pasos
- Consulta información sobre cómo implementar el plano (el siguiente documento de esta serie).