BeyondProd mengacu pada layanan dan kontrol dalam infrastruktur Google yang bekerja sama untuk membantu melindungi beban kerja. BeyondProd membantu melindungi layanan aplikasi yang dijalankan Google di lingkungannya sendiri, termasuk cara Google mengubah kode dan cara Google memastikan isolasi layanan. Meskipun dokumen BeyondProd mengacu pada teknologi tertentu yang digunakan Google untuk mengelola infrastrukturnya sendiri yang tidak diekspos kepada pelanggan, prinsip keamanan BeyondProd juga dapat diterapkan pada aplikasi pelanggan.
BeyondProd mencakup beberapa prinsip keamanan utama yang berlaku untuk cetak biru. Tabel berikut memetakan prinsip BeyondProd ke blueprint.
| Prinsip keamanan | Memetakan ke cetak biru | Kemampuan keamanan |
|---|---|---|
Perlindungan edge jaringan |
Cloud Load Balancing |
Membantu melindungi dari berbagai jenis serangan DDoS seperti serangan UDP dan SYN. |
Cloud Armor |
Membantu memberikan perlindungan terhadap serangan aplikasi web, serangan DDoS, dan bot melalui perlindungan yang selalu aktif dan kebijakan keamanan yang dapat disesuaikan. |
|
Cloud CDN |
Membantu menyediakan mitigasi serangan DDoS dengan mengalihkan beban dari layanan yang terekspos dengan menayangkan konten secara langsung. |
|
Cluster GKE dengan akses Private Service Connect ke bidang kontrol dan kumpulan node pribadi untuk cluster yang hanya menggunakan alamat IP pribadi |
Membantu melindungi dari ancaman internet publik dan membantu memberikan kontrol yang lebih terperinci atas akses ke cluster. |
|
Kebijakan firewall |
Mendefinisikan daftar yang diizinkan untuk traffic masuk ke layanan GKE dari Cloud Load Balancing. |
|
Tidak ada kepercayaan timbal balik yang melekat di antara layanan |
Mesh Layanan Cloud |
Menerapkan autentikasi dan otorisasi untuk membantu memastikan hanya layanan yang disetujui yang dapat berkomunikasi satu sama lain. |
Workload Identity Federation for GKE |
Meningkatkan keamanan dengan mengurangi risiko pencurian kredensial melalui mengotomatiskan proses autentikasi dan otorisasi untuk beban kerja, sehingga Anda tidak perlu mengelola dan menyimpan kredensial. |
|
Kebijakan firewall |
Membantu memastikan hanya saluran komunikasi yang disetujui yang diizinkan dalam Google Cloud jaringan ke cluster GKE. |
|
Mesin tepercaya yang menjalankan kode dengan asal yang diketahui |
Otorisasi Biner |
Membantu memastikan hanya image tepercaya yang di-deploy ke GKE dengan menerapkan penandatanganan image dan validasi tanda tangan selama deployment. |
Penerapan kebijakan yang konsisten di seluruh layanan |
Pengontrol Kebijakan |
Memungkinkan Anda menentukan dan menerapkan kebijakan yang mengatur cluster GKE Anda. |
Peluncuran perubahan yang sederhana, otomatis, dan terstandardisasi |
|
Menyediakan proses deployment otomatis dan terkontrol dengan kepatuhan dan validasi bawaan untuk membangun resource dan aplikasi. |
Config Sync |
Membantu meningkatkan keamanan cluster dengan menyediakan pengelolaan konfigurasi terpusat dan rekonsiliasi konfigurasi otomatis. |
|
Isolasi antara workload yang berbagi sistem operasi |
Container-Optimized OS |
Container-Optimized OS hanya berisi komponen penting yang diperlukan untuk menjalankan container Docker, sehingga lebih tidak rentan terhadap eksploitasi dan malware. |
Hardware tepercaya dan pengesahan |
Node GKE yang Terlindungi |
Memastikan hanya software tepercaya yang dimuat saat node melakukan booting. Terus memantau stack software node, memberi tahu Anda jika ada perubahan yang terdeteksi. |
Langkah berikutnya
- Baca cara men-deploy blueprint (dokumen berikutnya dalam seri ini).