企業基礎藍圖

本文件說明在 Google Cloud中部署基礎資源組合的最佳做法。雲端基礎架構是資源、設定和功能的基準，可讓公司根據業務需求採用Google Cloud 。設計良好的基礎架構可在 Google Cloud 環境中的所有工作負載中，提供一致的治理、安全控管、規模、可視性，以及存取共用服務的權限。部署本文所述的控管機制和治理機制後，您就可以將工作負載部署至 Google Cloud。

企業基礎藍圖 (舊稱安全基礎藍圖) 適用於負責在 Google Cloud上設計企業級環境的架構師、安全性從業人員和平台工程團隊。這個藍圖包含以下內容：

• 包含可部署 Terraform 資產的 terraform-example-foundation GitHub 存放區。
• 指南：說明您透過藍圖 (本文件) 實作的架構、設計和控制項。

您可以透過下列任一方式使用本指南：

• 按照 Google 最佳做法建立完整基礎。您可以先部署本指南中的所有最佳化建議，然後再視業務需求自訂環境。
• 如要查看 Google Cloud上的現有環境，您可以比較設計的特定元件，並與 Google 建議的最佳做法進行比較。

支援應用實例

企業基礎藍圖提供資源和設定的基準層，有助於在 Google Cloud上啟用所有類型的工作負載。無論您是要將現有運算工作負載遷移至 Google Cloud、建構容器化網頁應用程式，或是建立大數據和機器學習工作負載，企業基礎架構藍圖都能協助您建構環境，以便大規模支援企業工作負載。

部署企業基礎架構藍圖後，您可以直接部署工作負載，或部署其他藍圖，以支援需要額外功能的複雜工作負載。

深度防禦安全性模型

Google Cloud 服務可從底層 Google 基礎架構安全性設計中受益。您有責任在 Google Cloud上建構的系統中設計安全性。企業基礎架構藍圖可協助您為 Google Cloud 服務和工作負載導入層層防衛的安全性模型。

下圖為貴Google Cloud 機構的深度防護安全性模型，結合了架構控管、政策控管和偵測控管。

下圖說明以下控制項：

• 政策控管是程式碼限制，可強制執行可接受的資源設定，並防止有風險的設定。此範本會結合多種政策控制項，包括管道中的基礎架構即程式碼 (IaC) 驗證和機構政策限制。
• 架構控管是網路和資源階層等 Google Cloud資源的設定。藍圖架構以安全性最佳做法為依據。
• 偵測控管機制可讓您偵測組織內的異常或惡意行為。此範本會使用 Security Command Center 等平台功能，整合您現有的偵測控管和工作流程 (例如安全作業中心 (SOC))，並提供強制執行自訂偵測控管的功能。

重要決策

本節將概要說明藍圖的高階架構決策。

下圖說明 Google Cloud 服務如何協助做出關鍵的架構決策：

• Cloud Build：使用 GitOps 模型管理基礎架構資源。宣告式 IaC 會使用 Terraform 編寫，並在版本管控系統中管理，以便進行審查和核准。資源會使用 Cloud Build 部署，做為持續整合和持續部署 (CI/CD) 自動化工具。管道也會強制執行政策做為程式碼的檢查，在部署前驗證資源是否符合預期的設定。
• Cloud Identity：使用者和群組會從現有的身分識別資訊提供者同步處理。使用者帳戶生命週期管理和單一登入 (SSO) 的控制項，取決於您所用識別資訊提供者的現有控制項和程序。
• 身分與存取權管理 (IAM)：允許政策 (舊稱「IAM 政策」) 可允許存取資源，並根據工作職能套用至群組。使用者會加入適當的群組，以便取得基礎資源的唯讀存取權。基礎資源的所有變更都會透過使用特權服務帳戶身分的 CI/CD 管道部署。
• Resource Manager：所有資源都由單一機構管理，並以資料夾的資源階層將專案依環境分組。專案會加上治理中繼資料標籤，包括費用歸屬。
• 網路：網路拓樸會使用共用虛擬私有雲，為跨多個區域和區域的工作負載提供網路資源，並以環境區隔，集中管理。地端主機、 Google Cloud 虛擬私有雲網路中的資源，以及 Google Cloud 服務之間的所有網路路徑都是私人。根據預設，系統不會允許傳出流量傳送至公開網際網路，也不會允許來自公開網際網路的傳入流量。
• Cloud Logging：匯總記錄接收器會收集與安全性和稽核相關的記錄，並將這些記錄匯入集中式專案，以利長期保留、分析及匯出至外部系統。
• 機構政策服務：設定機構政策限制，以防範各種高風險設定。
• Secret Manager：為負責管理及稽核敏感應用程式機密資料使用情形的團隊建立集中式專案，以符合法規遵循要求。
• Cloud Key Management Service (Cloud KMS)：為負責管理及稽核加密金鑰的團隊建立集中式專案，以符合法規遵循規定。
• Security Command Center：Security Command Center 內建的安全控制項和自訂解決方案可同時提供威脅偵測和監控功能，協助您偵測並回應安全性事件。

如需這些重要決策的替代方案，請參閱替代方案。

後續步驟

• 請參閱驗證和授權 (本系列的下一篇文件)。