El patrón cerrado se basa en una arquitectura que expone aplicaciones y servicios seleccionados de manera detallada, según las APIs o los extremos expuestos específicos entre los diferentes entornos. En esta guía, se clasifica este patrón en tres opciones posibles, cada una determinada por el modelo de comunicación específico:
- Salida cerrada
Entrada y salida cerradas (cerradas bidireccionales en ambas direcciones)
Como se mencionó antes en esta guía, los patrones de arquitectura de red que se describen aquí se pueden adaptar a varias aplicaciones con requisitos diversos. Para abordar las necesidades específicas de las diferentes aplicaciones, la arquitectura de la zona de destino principal puede incorporar un patrón o una combinación de patrones de forma simultánea. La implementación específica de la arquitectura seleccionada se determina según los requisitos de comunicación específicos de cada patrón cerrado.
En esta serie, se analiza cada patrón cerrado y sus posibles opciones de diseño. Sin embargo, una opción de diseño común aplicable a todos los patrones cerrados es la arquitectura distribuida de confianza cero para aplicaciones alojadas en contenedores con arquitectura de microservicios. Esta opción cuenta con la tecnología de Cloud Service Mesh, Apigee y Apigee Adapter for Envoy, una implementación de puerta de enlace básica de Apigee en un clúster de Kubernetes. El adaptador de Apigee para Envoy es un proxy de servicio y de código abierto popular diseñado para las aplicaciones centradas en la nube. Este control de arquitectura permitió las comunicaciones seguras de servicio a servicio y la dirección de la comunicación a nivel de servicio. Las políticas de comunicación de tráfico se pueden diseñar, ajustar y aplicar a nivel de servicio según el patrón seleccionado.
Los patrones cerrados permiten la implementación de Cloud Next Generation Firewall Enterprise con el servicio de prevención de intrusiones (IPS) para realizar una inspección profunda de paquetes para la prevención de amenazas sin ningún diseño ni modificaciones de enrutamiento. Esa inspección está sujeta a las aplicaciones específicas a las que se accede, el modelo de comunicación y los requisitos de seguridad. Si los requisitos de seguridad exigen una inspección profunda de paquetes y una capa 7 con mecanismos avanzados de firewall que superan las capacidades de Cloud Next Generation Firewall, puedes usar un firewall centralizado de última generación (NGFW) alojado en un dispositivo virtual de red (NVA) Varios socios de seguridad de Google Cloud ofrecen dispositivos NGFW que pueden cumplir con tus requisitos de seguridad. La integración de NVAs con estos patrones cerrados puede requerir la introducción de varias zonas de seguridad dentro del diseño de red, cada una con niveles de control de acceso distintos.