BeyondProd si riferisce ai servizi e ai controlli nell'infrastruttura di Google che funzionano insieme per contribuire a proteggere i carichi di lavoro. BeyondProd contribuisce a proteggere i servizi applicativi che Google esegue nel proprio ambiente, tra cui le modalità di modifica del codice e di isolamento dei servizi. Sebbene il documento BeyondProd si riferisca a tecnologie specifiche che Google utilizza per gestire la propria infrastruttura che non sono esposte ai clienti, i principi di sicurezza di BeyondProd possono essere applicati anche alle applicazioni dei clienti.
BeyondProd include diversi principi di sicurezza fondamentali che si applicano al progetto. La tabella seguente mappa i principi di BeyondProd al progetto.
| Principio di sicurezza | Mappatura al progetto | Funzionalità di sicurezza |
|---|---|---|
Protezione perimetrale della rete |
Cloud Load Balancing |
Aiuta a proteggere da vari tipi di attacchi DDoS, come UDP flood e SYN flood. |
Cloud Armor |
Aiuta a fornire protezione da attacchi alle applicazioni web, attacchi DDoS e bot tramite protezione sempre attiva e criteri di sicurezza personalizzabili. |
|
Cloud CDN |
Contribuisce a fornire la mitigazione degli attacchi DDoS sottraendo carico ai servizi esposti tramite la pubblicazione diretta dei contenuti. |
|
Cluster GKE con accesso Private Service Connect al control plane e ai pool di nodi privati per i cluster che utilizzano solo indirizzi IP privati |
Contribuisce a proteggere dalle minacce di internet pubblico e a fornire un controllo più granulare sull'accesso ai cluster. |
|
Policy firewall |
Definisce in modo restrittivo una lista consentita per il traffico in entrata ai servizi GKE da Cloud Load Balancing. |
|
Nessuna attendibilità reciproca intrinseca tra i servizi |
Cloud Service Mesh |
Applica l'autenticazione e l'autorizzazione per garantire che solo i servizi approvati possano comunicare tra loro. |
Federazione delle identità per i workload per GKE |
Migliora la sicurezza riducendo il rischio di furto delle credenziali automatizzando il processo di autenticazione e autorizzazione per i carichi di lavoro, eliminando la necessità di gestire e archiviare le credenziali. |
|
Policy firewall |
Consente di garantire che all'interno della reteGoogle Cloud siano consentiti solo i canali di comunicazione approvati per i cluster GKE. |
|
Macchine attendibili che eseguono codice di provenienza nota |
Autorizzazione binaria |
Consente di garantire che su GKE venga eseguito il deployment solo di immagini attendibili applicando la firma delle immagini e la convalida della firma durante il deployment. |
Applicazione coerente dei criteri tra i diversi servizi |
Policy Controller |
Consente di definire e applicare criteri che regolano i cluster GKE. |
Implementazione semplice, automatica e standardizzata delle modifiche |
|
Fornisce un processo di deployment automatizzato e controllato con conformità e convalida integrate per creare risorse e applicazioni. |
Config Sync |
Consente di migliorare la sicurezza del cluster fornendo una gestione centralizzata della configurazione e una riconciliazione automatica della configurazione. |
|
Isolamento tra carichi di lavoro che condividono lo stesso sistema operativo |
Container-Optimized OS |
Container-Optimized OS contiene solo i componenti essenziali necessari per l'esecuzione di container Docker, il che lo rende meno vulnerabile a exploit e malware. |
Hardware affidabile e sicuro e attestazione |
Shielded GKE Nodes |
Garantisce che venga caricato solo software attendibile all'avvio di un nodo. Monitora continuamente lo stack software del nodo e ti avvisa se vengono rilevate modifiche. |
Passaggi successivi
- Scopri di più su come implementare il progetto base (documento successivo di questa serie).