BeyondProd bezieht sich auf die Dienste und Einstellungen in der Google-Infrastruktur, die zum Schutz von Arbeitslasten zusammenarbeiten. BeyondProd trägt zum Schutz der Anwendungsdienste bei, die Google in seiner eigenen Umgebung ausführt, einschließlich der Art und Weise, wie Google Code ändert und wie Google für die Dienstisolierung sorgt. Obwohl sich das BeyondProd-Whitepaper auf bestimmte Technologien bezieht, die Google zur Verwaltung seiner eigenen Infrastruktur verwendet und die nicht für Kunden zugänglich sind, können die Sicherheitsprinzipien von BeyondProd auch auf Kundenanwendungen angewendet werden.
BeyondProd umfasst mehrere wichtige Sicherheitsgrundsätze, die für den Blueprint gelten. In der folgenden Tabelle sind die BeyondProd-Grundsätze dem Blueprint zugeordnet.
| Sicherheitsgrundsatz | Zuordnung zum Blueprint | Sicherheitsfunktion |
|---|---|---|
Edge-Netzwerkschutz |
Cloud Load Balancing |
Hilft, vor verschiedenen Arten von DDoS-Angriffen wie UDP- und SYN-Flooding zu schützen. |
Google Cloud Armor |
Bietet Schutz vor Webanwendungsangriffen, DDoS-Angriffen und Bots durch aktiven Schutz und anpassbare Sicherheitsrichtlinien. |
|
Cloud CDN |
Hilft, DDoS-Angriffe abzuschwächen, indem die Last von freigegebenen Diensten durch direktes Bereitstellen von Inhalten verringert wird. |
|
GKE-Cluster mit Private Service Connect-Zugriff auf die Steuerungsebene und private Knotenpools für Cluster, die nur private IP-Adressen verwenden |
Schützt vor Bedrohungen im öffentlichen Internet und kann den Zugriff auf die Cluster genauer steuern. |
|
Firewallrichtlinie |
Hiermit wird eine Zulassungsliste für eingehenden Traffic von Cloud Load Balancing an GKE-Dienste definiert. |
|
Kein inhärentes gegenseitiges Vertrauen unter den Diensten |
Cloud Service Mesh |
Erzwingt Authentifizierung und Autorisierung, damit nur genehmigte Dienste miteinander kommunizieren können. |
Workload Identity Federation for GKE |
Erhöht die Sicherheit, indem das Risiko von Anmeldedatendiebstahl durch Automatisierung des Authentifizierungs- und Autorisierungsprozesses für Arbeitslasten reduziert wird. Sie müssen also keine Anmeldedaten mehr verwalten und speichern. |
|
Firewallrichtlinie |
So wird sichergestellt, dass nur genehmigte Kommunikationskanäle innerhalb des Google Cloud-Netzwerks zu GKE-Clustern zulässig sind. |
|
Vertrauenswürdige Maschinen, auf denen Code bekannter Herkunft ausgeführt wird |
Binärautorisierung |
Sorgt dafür, dass nur vertrauenswürdige Images in GKE bereitgestellt werden, indem die Signatur von Images und die Signaturprüfung während der Bereitstellung erzwungen werden. |
Konsistente Richtlinienerzwingung bei allen Diensten |
Policy Controller |
Hiermit können Sie Richtlinien für Ihre GKE-Cluster definieren und erzwingen. |
Einfacher, automatisierter und standardisierter Rollout von Änderungen |
|
Bietet einen automatisierten und kontrollierten Bereitstellungsprozess mit integrierten Compliance- und Validierungsfunktionen zum Erstellen von Ressourcen und Anwendungen. |
Config Sync |
Verbessert die Clustersicherheit durch zentrales Konfigurationsmanagement und automatisierte Konfigurationsabgleiche. |
|
Isolation von Arbeitslasten, die dasselbe Betriebssystem verwenden |
Container-Optimized OS |
Container-Optimized OS enthält nur die für die Ausführung von Docker-Containern erforderlichen Komponenten. Dadurch ist es weniger anfällig für Exploits und Malware. |
Vertrauenswürdige Hardware und Attestierung |
Shielded GKE-Knoten |
Sorgt dafür, dass beim Starten eines Knotens nur vertrauenswürdige Software geladen wird. Überwacht kontinuierlich den Softwarestack des Knotens und benachrichtigt Sie, wenn Änderungen erkannt werden. |
Wie geht es weiter?
- Lesen Sie Blueprint bereitstellen (nächstes Dokument in dieser Reihe).