BeyondProd 是指 Google 基礎架構中的服務和控管機制,這些機制會相互搭配,共同保護工作負載。BeyondProd 有助於保護 Google 在自家環境中執行的應用程式服務,包括 Google 如何變更程式碼,以及如何確保服務隔離。雖然 BeyondProd 論文是指 Google 用來管理自家基礎架構的特定技術,這些技術不會向客戶公開,但 BeyondProd 的安全原則也適用於客戶應用程式。
BeyondProd 包含幾項重要的安全原則,適用於藍圖。下表將 BeyondProd 原則對應至藍圖。
| 安全性原則 | 對應至藍圖 | 安全防護能力 |
|---|---|---|
網路邊緣防護 |
Cloud Load Balancing |
有助於防範各種 DDoS 攻擊類型,例如 UDP 洪水攻擊和 SYN 洪水攻擊。 |
Cloud Armor |
透過全天候防護和可自訂的安全性政策,防範網路應用程式攻擊、DDoS 攻擊和機器人。 |
|
Cloud CDN |
直接提供內容,將負載從公開服務移開,協助緩解 DDoS 攻擊。 |
|
GKE 叢集,可透過 Private Service Connect 存取控制層,以及僅使用私人 IP 位址的叢集私人節點集區 |
有助於防範公開網際網路的威脅,並提供更精細的叢集存取權控管。 |
|
防火牆政策 |
明確定義允許清單,允許 Cloud Load Balancing 將輸入流量傳送至 GKE 服務。 |
|
服務之間沒有固有的相互信任 |
Cloud Service Mesh |
強制執行驗證和授權,確保只有核准的服務可以彼此通訊。 |
Workload Identity Federation for GKE |
自動執行工作負載的驗證和授權程序,減少憑證遭竊的風險,進而提升安全性,您也不必管理及儲存憑證。 |
|
防火牆政策 |
確保只有核准的通訊管道能從Google Cloud 網路連線至 GKE 叢集。 |
|
由受信任的機器執行來源已知的程式碼 |
二進位授權 |
在部署期間強制執行映像檔簽署和簽章驗證,確保只有受信任的映像檔會部署至 GKE。 |
在各項服務中一致地強制執行政策 |
Policy Controller |
可讓您定義及強制執行 GKE 叢集的管理政策。 |
簡單、自動化且標準化的變更推出作業 |
|
提供自動化且受控的部署程序,內建法規遵循和驗證功能,可建構資源和應用程式。 |
Config Sync |
提供集中式設定管理和自動設定調解功能,協助提升叢集安全性。 |
|
共用作業系統的工作負載之間的隔離措施 |
Container-Optimized OS |
Container-Optimized OS 只包含執行 Docker 容器所需的必要元件,因此較不容易受到惡意探索和惡意軟體攻擊。 |
受信任的硬體和認證 |
受防護的 GKE 節點 |
確保節點啟動時只會載入受信任的軟體。持續監控節點的軟體堆疊,並在偵測到任何變更時發出警報。 |
後續步驟
- 請參閱部署藍圖 (本系列文件的下一份文件)。