Das gated-Muster basiert auf einer Architektur, die ausgewählte Anwendungen und Dienste basierend auf bestimmten freigegebenen APIs oder Endpunkten zwischen den verschiedenen Umgebungen detailliert freigibt. In diesem Leitfaden wird dieses Muster in drei mögliche Optionen unterteilt, die jeweils vom jeweiligen Kommunikationsmodell abhängen:
- Gatewaygesteuerter ausgehender Traffic
Gatewaygesteuerter ausgehender und gatewaygesteuerter eingehender Traffic (bidirektional in beide Richtungen)
Wie bereits in diesem Leitfaden erwähnt, können die hier beschriebenen Netzwerkarchitekturmuster an verschiedene Anwendungen mit unterschiedlichen Anforderungen angepasst werden. Um den spezifischen Anforderungen verschiedener Anwendungen gerecht zu werden, kann Ihre Haupt-Landingzone-Architektur ein Muster oder eine Kombination von Mustern gleichzeitig enthalten. Die spezifische Bereitstellung der ausgewählten Architektur wird durch die spezifischen Kommunikationsanforderungen der einzelnen Gated-Muster bestimmt.
In dieser Reihe werden die einzelnen Gated-Pattern und ihre möglichen Designoptionen erläutert. Eine gängige Designoption, die für alle ‑Gated-Muster gilt, ist jedoch die verteilte Zero-Trust-Architektur für containerisierte Anwendungen mit Mikrodienstarchitektur. Diese Option basiert auf Cloud Service Mesh, Apigee und Apigee Adapter for Envoy, einer schlanken Apigee-Gateway-Bereitstellung in einem Kubernetes-Cluster. Apigee Adapter for Envoy ist ein beliebter Open-Source-Edge- und -Dienstproxy, der für Cloud-first-Anwendungen entwickelt wurde. Diese Architektur steuert die zulässige sichere Kommunikation zwischen Diensten und die Kommunikationsrichtung auf Dienstebene. Richtlinien für die Traffic-Kommunikation können basierend auf dem ausgewählten Muster entworfen, optimiert und auf Dienstebene angewendet werden.
Mit Gated-Mustern können Sie Cloud Next Generation Firewall Enterprise mit Intrusion Prevention Service (IPS) implementieren, um eine Deep Packet Inspection zur Bedrohungsprävention ohne Design- oder Routingänderungen durchzuführen. Diese Prüfung hängt von den jeweiligen Anwendungen ab, auf die zugegriffen wird, vom Kommunikationsmodell und von den Sicherheitsanforderungen. Wenn die Sicherheitsanforderungen eine Layer-7- und Deep-Packet-Inspection mit erweiterten Firewallmechanismen erfordern, die über die Möglichkeiten der Cloud Next Generation Firewall hinausgehen, können Sie eine zentrale Next Generation Firewall (NGFW) verwenden, die in einer virtuellen Netzwerk-Appliance (NVA) gehostet wird. Mehrere Sicherheitspartner von Google Cloud bieten NGFW-Appliances an, die Ihre Sicherheitsanforderungen erfüllen können. Die Integration von NVAs in diese gesteuerten Muster kann die Einführung mehrerer Sicherheitszonen im Netzwerkdesign erfordern, die jeweils unterschiedliche Zugriffssteuerungsebenen haben.