BeyondProd bezieht sich auf die Dienste und Einstellungen in der Infrastruktur von Google, die zum Schutz von Arbeitslasten zusammenarbeiten. BeyondProd schützt die Anwendungsdienste, die Google in seiner eigenen Umgebung ausführt, einschließlich der Art und Weise, wie Google Code ändert und wie Google für die Dienstisolation sorgt. Im BeyondProd-Dokument werden zwar bestimmte Technologien beschrieben, die Google zur Verwaltung der eigenen Infrastruktur verwendet und die Kunden nicht zur Verfügung stehen, die Sicherheitsprinzipien von BeyondProd können jedoch auch auf Kundenanwendungen angewendet werden.
BeyondProd umfasst mehrere wichtige Sicherheitsgrundsätze, die für den Blueprint gelten. In der folgenden Tabelle werden die BeyondProd-Grundsätze dem Blueprint zugeordnet.
| Sicherheitsgrundsatz | Blueprint zuordnen | Sicherheitsfunktion |
|---|---|---|
Edge-Netzwerkschutz |
Cloud Load Balancing |
Schützt vor verschiedenen Arten von DDoS-Angriffen wie UDP- und SYN-Floods. |
Cloud Armor |
Bietet Schutz vor Angriffen auf Webanwendungen, DDoS-Angriffen und Bots durch immer aktiven Schutz und anpassbare Sicherheitsrichtlinien. |
|
Cloud CDN |
Hilft, DDoS-Angriffe abzuwehren, indem die Last von exponierten Diensten genommen wird, indem Inhalte direkt bereitgestellt werden. |
|
GKE-Cluster mit Private Service Connect-Zugriff auf die Steuerungsebene und private Knotenpools für Cluster, die nur private IP-Adressen verwenden |
Schützt vor Bedrohungen im öffentlichen Internet und kann den Zugriff auf die Cluster genauer steuern. |
|
Firewallrichtlinie |
Definiert eine Zulassungsliste für eingehenden Traffic zu GKE-Diensten von Cloud Load Balancing. |
|
Kein inhärentes gegenseitiges Vertrauen unter den Diensten |
Cloud Service Mesh |
Erzwingt Authentifizierung und Autorisierung, um sicherzustellen, dass nur genehmigte Dienste miteinander kommunizieren können. |
Workload Identity Federation for GKE |
Erhöht die Sicherheit, indem das Risiko des Anmeldedatendiebstahls verringert wird. Dies geschieht durch die Automatisierung des Authentifizierungs- und Autorisierungsprozesses für Arbeitslasten, wodurch Sie keine Anmeldedaten mehr verwalten und speichern müssen. |
|
Firewallrichtlinie |
So wird sichergestellt, dass imGoogle Cloud -Netzwerk nur genehmigte Kommunikationskanäle zu GKE-Clustern zulässig sind. |
|
Vertrauenswürdige Maschinen, auf denen Code bekannter Herkunft ausgeführt wird |
Binärautorisierung |
Sorgt dafür, dass nur vertrauenswürdige Images in GKE bereitgestellt werden, indem die Bildsignierung und Signaturvalidierung während der Bereitstellung erzwungen werden. |
Konsistente Richtlinienerzwingung bei allen Diensten |
Policy Controller |
Sie können Richtlinien definieren und erzwingen, die Ihre GKE-Cluster regeln. |
Einfacher, automatisierter und standardisierter Rollout von Änderungen |
|
Bietet einen automatisierten und kontrollierten Bereitstellungsprozess mit integrierter Compliance und Validierung zum Erstellen von Ressourcen und Anwendungen. |
Config Sync |
Trägt zur Verbesserung der Clustersicherheit bei, da eine zentrale Konfigurationsverwaltung und ein automatischer Konfigurationsabgleich möglich sind. |
|
Isolation von Arbeitslasten, die dasselbe Betriebssystem verwenden |
Container-Optimized OS |
Container-Optimized OS enthält nur die wesentlichen Komponenten, die zum Ausführen von Docker-Containern erforderlich sind. Dadurch ist es weniger anfällig für Exploits und Malware. |
Vertrauenswürdige Hardware und Attestierung |
Shielded GKE-Knoten |
Sorgt dafür, dass beim Starten eines Knotens nur vertrauenswürdige Software geladen wird. Überwacht kontinuierlich den Software-Stack des Knotens und benachrichtigt Sie, wenn Änderungen erkannt werden. |
Wie geht es weiter?
- Lesen Sie Blueprint bereitstellen (nächstes Dokument in dieser Reihe).