BeyondProd 是指 Google 基礎架構中協同運作,有助於保護工作負載的服務和控制項。BeyondProd 可協助保護 Google 在自家環境中執行的應用程式服務,包括 Google 變更程式碼的方式,以及 Google 如何確保服務隔離。雖然 BeyondProd 報告中提到的特定技術是 Google 用於管理自身基礎架構的技術,並未向客戶公開,但 BeyondProd 的安全性原則也適用於客戶應用程式。
BeyondProd 包含幾項適用於藍圖的重要安全性原則。下表將 BeyondProd 原則對應至藍圖。
| 安全性原則 | 對應至藍圖 | 安全防護能力 |
|---|---|---|
網路邊緣保護 |
Cloud Load Balancing |
協助防範各種 DDoS 攻擊類型,例如 UDP 泛洪和 SYN 泛洪。 |
Google Cloud Armor |
透過全天候防護和可自訂的安全性政策,協助防範網路應用程式攻擊、分散式阻斷服務攻擊和機器人。 |
|
Cloud CDN |
直接提供內容,有助於減輕暴露服務的負載,進而緩解 DDoS 攻擊。 |
|
具備 Private Service Connect 存取權的 GKE 叢集,以及僅使用私人 IP 位址的叢集私人節點集區 |
可協助防範公開網際網路威脅,並提供更精細的叢集存取權控管機制。 |
|
防火牆政策 |
針對 Cloud Load Balancing 的 GKE 服務輸入流量,定義較嚴格的許可清單。 |
|
服務之間沒有固有的相互信任 |
Cloud Service Mesh |
強制執行驗證和授權,確保只有經過核准的服務才能相互通訊。 |
Workload Identity Federation for GKE |
自動化工作負載的驗證和授權程序,降低憑證遭竊的風險,進而提升安全性,讓您不必管理和儲存憑證。 |
|
防火牆政策 |
有助於確保Google Cloud 網路到 GKE 叢集之間僅允許已核准的通訊管道。 |
|
由受信任的機器執行來源已知的程式碼 |
二進位授權 |
在部署期間強制執行映像檔簽署和簽名驗證,確保只有受信任的映像檔會部署至 GKE。 |
跨服務強制執行一致政策 |
Policy Controller |
讓您定義並強制執行管理 GKE 叢集的政策。 |
簡單、自動化且標準化的變更發布作業 |
|
提供自動化且受控的部署程序,內建法規遵循和驗證機制,可建構資源和應用程式。 |
Config Sync |
提供集中式設定管理和自動設定比對功能,有助於提升叢集安全性。 |
|
共用作業系統的工作負載之間的隔離措施 |
Container-Optimized OS |
Container-Optimized OS 只包含執行 Docker 容器所需的必要元件,因此不易遭到漏洞攻擊和惡意軟體入侵。 |
可信任的硬體和認證 |
受防護的 GKE 節點 |
確保節點啟動時,只會載入受信任的軟體。持續監控節點的軟體堆疊,並在偵測到任何變更時發出警示。 |
後續步驟
- 請參閱藍圖部署程序 (本系列的下一篇文件)。