BeyondProd hace referencia a los servicios y los controles de la infraestructura de Google que funcionan juntos para proteger las cargas de trabajo. BeyondProd ayuda a proteger los servicios de la aplicación que Google ejecuta en su propio entorno, lo que incluye cómo Google cambia el código y garantiza el aislamiento del servicio. Aunque el documento de BeyondProd hace referencia a tecnologías específicas que Google usa para administrar su propia infraestructura que no se exponen a los clientes, los principios de seguridad de BeyondProd también se pueden aplicar a las aplicaciones de clientes.
BeyondProd incluye varios principios de seguridad clave que se aplican al plano. En la siguiente tabla, se asignan los principios de BeyondProd al plano.
| Principio de seguridad | Asignación al plano | Función de seguridad |
|---|---|---|
Protección perimetral de red |
Cloud Load Balancing |
Ayuda a brindar protección contra varios tipos de ataques DDoS, como UDP floods y SYN floods. |
Google Cloud Armor |
Ayuda a brindar protección contra ataques de aplicaciones web, ataques DDoS y bots a través de la protección siempre activa y las políticas de seguridad personalizables. |
|
Cloud CDN |
Ayuda a proporcionar mitigación de ataques DDoS a través de la entrega de carga de servicios expuestos a través de la entrega directa de contenido. |
|
Clústeres de GKE con acceso de Private Service Connect al plano de control y grupos de nodos privados para clústeres que solo usan direcciones IP privadas |
Ayuda a brindar protección contra amenazas de Internet pública y proporciona un control más detallado sobre el acceso a los clústeres. |
|
Política de firewall |
De forma estrecha, define una lista de entidades permitidas para el tráfico entrante a los servicios de GKE desde Cloud Load Balancing. |
|
No hay confianza mutua inherente entre los servicios |
Anthos Service Mesh |
Aplica la autenticación y la autorización para garantizar que solo los servicios aprobados puedan comunicarse entre sí. |
Workload Identity |
Mejora la seguridad, ya que reduce el riesgo de robo de credenciales a través de la automatización del proceso de autenticación y autorización para las cargas de trabajo, lo que elimina la necesidad de administrar y almacenar credenciales. |
|
Política de firewall |
Ayuda a garantizar que solo se permitan canales de comunicación aprobados en la red de Google Cloud para los clústeres de GKE. |
|
Máquinas confiables que ejecutan código con procedencia conocida |
Autorización Binaria |
Ayuda a garantizar que solo se implementen imágenes de confianza en GKE a través de la aplicación de la firma de imágenes y la validación de firmas durante la implementación. |
Aplicación de políticas coherente en todos los servicios |
Policy Controller |
Te permite definir y aplicar políticas que rigen tus clústeres de GKE. |
Lanzamiento de cambios simple, automatizado y estandarizado |
|
Proporciona un proceso de implementación automatizado y controlado con cumplimiento y validación integrados para compilar recursos y aplicaciones. |
Sincronizador de configuración |
Ayuda a mejorar la seguridad del clúster a través de la administración centralizada de parámetros de configuración y la conciliación de la configuración automatizada. |
|
Aislamiento entre cargas de trabajo que comparten un sistema operativo |
Container-Optimized OS |
Container-Optimized OS solo contiene los componentes esenciales necesarios para ejecutar contenedores de Docker, por lo que es menos vulnerable a exploits y software malicioso. |
Hardware y certificación de confianza |
Nodos de GKE protegidos |
Garantiza que solo se cargue el software de confianza cuando se inicia un nodo. Supervisa de forma continua la pila de software del nodo y te alerta si se detectan cambios. |
Próximos pasos
- Lee sobre la implementación del plano (siguiente documento de esta serie).