本文介紹一系列文章,說明企業將資料中心工作負載遷移至Google Cloud時,適用的網路和安全架構。這些架構強調進階連線、零信任安全防護原則,以及混合式環境的管理能力。
如隨附文件「Architectures for Protecting Cloud Data Planes」所述,企業部署的架構種類繁多,可滿足雲端連線和安全防護需求。我們將這些架構分為三種不同的架構模式:直接轉移、混合式服務和零信任分散式架構。本文件會根據企業選擇的架構,考量不同的安全方法。此外,本文也會說明如何使用Google Cloud提供的建構區塊,實現這些方法。您應將這些安全防護指南與其他架構指南一併使用,涵蓋可靠性、可用性、規模、效能和控管。
本文件旨在協助系統架構師、網路管理員和安全管理員,規劃將地端工作負載遷移至雲端。假設:
- 您熟悉資料中心網路和安全概念。
- 您在內部部署資料中心有現有工作負載,且熟悉這些工作負載的用途和使用者。
- 您至少有一些預計要遷移的工作負載。
- 您大致瞭解「保護雲端資料層的架構」一文所述的概念。
本系列包含以下文件:
- 設計網路以遷移企業工作負載:架構方法 (本文件)
- 網路:安全存取雲端內部資源的參考架構
- 網路:提供面向網際網路的應用程式:參考架構
- 混合式雲端和多雲端工作負載的網路:參考架構
本文將歸納三種主要架構模式,並介紹可用於建立基礎架構的資源建構區塊。最後,本文會說明如何將建構區塊組合成一系列符合模式的參考架構。您可以參考這些架構,做為自己架構的指引。
本文以虛擬機器 (VM) 為例,說明工作負載資源。這項資訊也適用於使用 VPC 網路的其他資源,例如 Cloud SQL 執行個體和 Google Kubernetes Engine 節點。
架構模式總覽
網路工程師通常專注於在內部部署資料中心建構實體網路基礎架構和安全基礎架構。
雲端遷移之旅改變了這種做法,因為雲端網路建構是軟體定義的。在雲端中,應用程式擁有者對基礎架構堆疊的控制權有限。他們需要具備安全周邊和工作負載隔離功能的模型。
在本系列文章中,我們將探討三種常見的架構模式。這些模式會相互建構,可視為一種光譜,而非嚴格的選擇。
隨即轉移模式
在「直接轉移」架構模式中,企業應用程式擁有者會將工作負載遷移至雲端,但不會重構這些工作負載。網路和安全工程師會使用第 3 層和第 4 層控制項,透過模仿內部部署實體裝置的網路虛擬設備,以及虛擬私有雲網路中的雲端防火牆規則,提供保護措施。工作負載擁有者會在虛擬私有雲網路中部署服務。
混合式服務模式
使用升級與轉移方式建構的工作負載可能需要存取 BigQuery 或 Cloud SQL 等雲端服務。這類雲端服務的存取權通常位於第 4 層和第 7 層。在此情況下,無法嚴格在第 3 層進行隔離和安全防護。因此,系統會根據要存取的服務和要求存取權的服務身分,使用服務網路和 VPC Service Controls 提供連線和安全性。在此模型中,您可以表示豐富的存取權控管政策。
零信任分散式模式
在零信任架構中,企業應用程式會將安全防護機制延伸至邊界控制項以外的範圍。在安全防護範圍內,工作負載只能在 IAM 身分具有特定權限時,才能與其他工作負載通訊 (預設為拒絕)。在零信任分散式架構中,信任是以身分為基礎,並針對每個應用程式強制執行。工作負載會建構為具有集中核發身分的微服務。這樣一來,服務就能驗證呼叫者,並根據政策,針對每項要求決定是否允許存取。這個架構通常是使用分散式 Proxy (服務網格) 實作,而不是使用集中式閘道。
企業可以設定 Identity-Aware Proxy (IAP),對使用者和裝置強制執行零信任存取權政策,確保企業應用程式安全無虞。IAP 提供以身分和情境為依據的控制項,可供您管理來自網際網路或內部網路的使用者流量。
合併模式
企業在建構或遷移商務應用程式至雲端時,通常會結合使用這三種架構模式。
Google Cloud 提供一系列產品和服務,做為實作雲端資料層的建構區塊,支援架構模式。本文稍後會說明這些建構模塊。雲端資料平面提供的控管機制,加上管理雲端資源的管理控管機制,共同構成端對端安全範圍的基礎。這個組合建立的邊界可讓您控管、部署及執行雲端工作負載。
資源階層結構與管理控制項
本節將摘要說明Google Cloud 做為資源容器提供的管理控制項。這些控制項包括機構資源、資料夾和專案,可讓您將雲端資源分組並以階層方式整理。Google Cloud 這種階層式整理方式可提供擁有權結構,以及套用政策和控管措施的錨點。
Google 機構資源是階層中的根節點,也是在雲端建立部署作業的基礎。機構資源可包含資料夾和專案。資料夾的子項可以是專案或其他資料夾。專案之下則是所有其他雲端資源。
您可以使用資料夾將專案分組。專案是建立、啟用及使用所有 Google Cloud服務的基本要件。您可以透過專案管理 API、啟用計費功能、新增及移除協作者,以及管理權限。
您可以使用 Google Identity and Access Management (IAM),在所有資源階層層級指派角色,並定義存取政策和權限。階層中較低的資源會沿用 IAM 政策。階層中較低層級的資源擁有者無法變更這些政策。在某些情況下,身分和存取權管理會在更精細的層級提供,例如在命名空間或叢集中的物件範圍,如 Google Kubernetes Engine 所示。
Google 虛擬私有雲網路的設計考量
設計雲端遷移策略時,請務必制定企業使用虛擬私有雲網路的策略。您可以將虛擬私有雲網路視為傳統實體網路的虛擬版本。這是完全獨立的私人網路分割區。根據預設,部署在一個虛擬私有雲網路中的工作負載或服務,無法與另一個虛擬私有雲網路中的作業通訊。因此,虛擬私有雲網路可形成安全邊界,達到工作負載隔離效果。
由於雲端中的每個 VPC 網路都是完全虛擬的網路,因此每個網路都有自己的私人 IP 位址空間。因此,您可以在多個虛擬私有雲網路中使用相同的 IP 位址,而不會發生衝突。典型的內部部署作業可能會耗用 RFC 1918 私人 IP 位址空間的大部分。另一方面,如果您同時有內部部署和虛擬私有雲網路的工作負載,只要這些網路未連線或對等互連,您就可以在不同的虛擬私有雲網路中重複使用相同的位址範圍,因此 IP 位址空間的使用速度較慢。
虛擬私有雲網路是全球性的
Google Cloud 中的 VPC 網路是全域網路,也就是說,在具有 VPC 網路的專案中部署的資源,可以使用 Google 的私人骨幹直接通訊。
如圖 1 所示,專案中的 VPC 網路可以包含不同區域的子網路,這些子網路涵蓋多個可用區。任何區域的 VM 都可以使用本機 VPC 路由,以私密方式相互通訊。
圖 1. Google Cloud 全域虛擬私有雲網路實作,並在不同區域中設定子網路。
使用共用虛擬私有雲共用網路
共用虛擬私有雲可讓機構資源將多個專案連線至通用的虛擬私有雲網路,以便使用共用網路的內部 IP 位址安全地相互通訊。該共用網路的網路管理員會套用並強制執行網路資源的集中控管。
使用共用虛擬私有雲時,您必須先將其中一項專案指派為「主專案」,然後再另外附加一或多項「服務專案」。主專案中的虛擬私有雲網路稱為「共用虛擬私有雲網路」。服務專案中符合條件的資源皆能使用共用虛擬私有雲網路的子網路。
企業通常會在需要網路和安全管理員集中管理網路資源 (例如子網路和路徑) 時,使用共用虛擬私有雲網路。同時,應用程式和開發團隊也能透過共用虛擬私有雲網路,在指定子網路中建立及刪除 VM 執行個體,並使用服務專案部署工作負載。
使用虛擬私有雲網路隔離環境
使用虛擬私有雲網路隔離環境有許多優點,但您也需要考慮一些缺點。本節將說明這些取捨考量,並介紹實作隔離的常見模式。
隔離環境的原因
由於 VPC 網路代表隔離網域,許多企業會使用這類網路,將環境或業務單位放在不同的網域中。建立虛擬私有雲層級隔離的常見原因如下:
- 企業想在兩個虛擬私有雲網路之間建立預設拒絕通訊,因為這些網路代表具有組織意義的區別。詳情請參閱本文件稍後的「常見的虛擬私有雲網路隔離模式」。
- 企業可能因為現有的內部部署環境、收購或部署至其他雲端環境,而需要有重疊的 IP 位址範圍。
- 企業想將聯播網的完整管理控制權委派給企業的一部分。
隔離環境的缺點
使用虛擬私有雲網路建立獨立環境可能會有缺點。如果有多個虛擬私有雲網路,管理跨多個網路的服務時,可能會增加管理負擔。本文將探討可管理這項複雜性的技術。
常見的虛擬私有雲網路隔離模式
以下是隔離虛擬私有雲網路的常見模式:
- 隔離開發、測試和實際工作環境。企業可透過這個模式,完全區隔開發、測試環境和實際運作環境。實際上,這種結構會維護多個完整的應用程式副本,並在每個環境之間逐步推出。在這個模式中,虛擬私有雲網路會做為安全界線。開發人員可高度存取開發 VPC 網路,以執行日常工作。開發完成後,工程生產團隊或 QA 團隊可將變更內容遷移至預先發布環境,以便整合測試變更內容。準備好部署變更時,系統會將變更傳送至正式環境。
- 隔離業務單位。部分企業希望在業務單位之間實施高度隔離,尤其是收購的單位,或是需要高度自主性和隔離的單位。在這個模式中,企業通常會為每個業務單位建立虛擬私有雲網路,並將該虛擬私有雲的控制權委派給業務單位的管理員。企業會使用本文稍後說明的技術,公開涵蓋整個企業的服務,或代管涵蓋多個業務單位的面向使用者應用程式。
建議建立獨立環境
建議您設計虛擬私有雲網路時,盡量擴大網域,以符合企業的管理和安全邊界。您可以使用防火牆等安全控制措施,在同一個虛擬私有雲網路中執行的工作負載之間,實現額外的隔離。
如要進一步瞭解如何為貴機構設計及建構隔離策略,請參閱 Google Cloud 企業基礎藍圖中的「虛擬私有雲設計的最佳做法與參考架構」和「網路」。
Cloud 網路的建構模塊
本節將探討網路連線、網路安全、服務網路和服務安全的重要建構區塊。圖 2 顯示這些構成要素之間的關聯。您可以使用特定列中列出的一或多項產品。
圖 2. 雲端網路連線和安全防護領域的建構區塊。
以下各節將討論每個建構區塊,以及可用於每個區塊的Google Cloud 服務。
網路連線
網路連線區塊位於階層的底部。負責將資源連線至內部部署資料中心或其他雲端。 Google Cloud 視需求而定,您可能只需要其中一項產品,也可能需要全部產品來處理不同的用途。
Cloud VPN
Cloud VPN 可讓您透過 IPsec VPN 連線,將遠端分公司或其他雲端服務供應商連線至 Google 虛擬私有雲網路。在兩個網路之間傳輸的流量會由其中一個 VPN 閘道加密,然後由另一個 VPN 閘道解密,藉此保護透過網際網路傳輸的資料。
Cloud VPN 可讓您連線至地端環境,且費用比 Cloud Interconnect 低 (詳情請參閱下一節),但頻寬較低。 Google Cloud 如果您有符合規定的架構,可以佈建高可用性 VPN,以符合可用性高達 99.99% 的服務水準協議要求。舉例來說,Cloud VPN 非常適合用於非任務關鍵用途,或將連線擴展至其他雲端供應商。
Cloud Interconnect
Cloud Interconnect 提供企業級專屬連線, Google Cloud 與使用 VPN 或網際網路連線相比,具有更高的總處理量和更可靠的網路效能。 專屬互連網路可從路由器直接連線至 Google 網路。合作夥伴互連網路透過廣大的合作夥伴網路提供專屬連線,與專屬互連網路相比,合作夥伴互連網路可能提供更廣泛的涵蓋範圍或其他頻寬選項。Cross-Cloud Interconnect 提供專屬的直接連線,可將虛擬私有雲網路連結至其他雲端服務供應商。專屬互連網路需要您在 Google 設有網路連接點的主機代管服務供應商連線,但合作夥伴互連網路則不需要。Cloud Interconnect 可確保內部部署網路或其他雲端網路與虛擬私有雲網路之間的流量不會周遊公用網際網路。
只要佈建適當的架構,即可佈建這些 Cloud Interconnect 連線,以符合高達 99.99% 可用性的服務水準協議要求。您可以考慮使用 Cloud Interconnect 支援需要低延遲、高頻寬和可預測效能的工作負載,同時確保所有流量維持私密。
混合式網路的 Network Connectivity Center
Network Connectivity Center 可在內部部署網路和其他雲端網路之間提供網站對網站連線。這項服務會使用 Google 的骨幹網路,在您的網站之間提供可靠的連線。
此外,您也可以設定 VM 或第三方供應商Google Cloud 路由器設備做為邏輯輪輻連結,將現有的 SD-WAN 疊加網路擴展至。
您可以使用路由器設備、VPN 或 Cloud Interconnect 網路做為輪輻附件,存取虛擬私有雲網路內的資源。您可以使用 Network Connectivity Center 整合內部部署網站、其他雲端服務中的資源,以及Google Cloud 之間的連線,並透過單一檢視畫面管理所有連線。
虛擬私有雲網路的 Network Connectivity Center
您也可以使用虛擬私有雲輪輻,在多個虛擬私有雲網路之間建立網狀或星狀拓撲。您可以使用 Network Connectivity Center 混合式輪輻,將中樞連線至地端部署或其他雲端。
虛擬私有雲網路對等互連
虛擬私有雲網路對等互連可讓您連線 Google 虛擬私有雲網路,讓不同虛擬私有雲網路中的工作負載能夠在內部通訊,無論這些網路是否屬於同一專案或同一機構資源皆可。流量會留在 Google 的網路中,而且不會周遊公開網際網路。
虛擬私有雲網路對等互連功能要求對等互連的網路不得有重疊的 IP 位址。
網路安全
網路安全防護區塊位於網路連線區塊上方。根據 IP 封包的特徵,決定是否允許存取資源。
Cloud NGFW
Cloud Next Generation Firewall (Cloud NGFW) 是一種分散式防火牆服務,可讓您在機構、資料夾和網路層級套用防火牆政策。系統一律會強制執行已啟用的防火牆規則,保護採用各種設定和作業系統的執行個體,即便 VM 尚未完全啟動亦然。這些規則會套用至每個執行個體,也就是說,規則會保護特定網路中 VM 之間的連線,以及與網路外部的連線。您可以使用 IAM 管理的標記控管規則套用作業,藉此控管特定規則涵蓋的 VM。Cloud NGFW 也提供封包的 L7 檢查選項。
封包鏡像
封包鏡像功能會複製虛擬私有雲網路中指定執行個體的流量,並轉送至收集器以供檢查。封包鏡像作業會擷取所有流量和封包資料,包括酬載和標頭。您可以為輸入和輸出流量設定鏡像,也可以只為輸入或輸出流量設定鏡像。鏡像作業是在 VM 執行個體上進行,而非在網路上。
網路虛擬設備
網路虛擬設備可讓您對虛擬網路套用安全與法規遵循控制措施,與地端環境中的控制措施保持一致。方法是將 Google Cloud Marketplace 中提供的 VM 映像檔部署至具有多個網路介面的 VM,並將每個介面連結至不同的 VPC 網路,藉此執行各種網路虛擬功能。
虛擬設備的常見用途如下:
- 新一代防火牆 (NGFW)。NGFW NVA 可在 Cloud NGFW 未涵蓋的情況下提供防護,或與地端部署 NGFW 安裝作業保持管理一致性。
- 入侵偵測系統/入侵防禦系統 (IDS/IPS)。 網路型 IDS 可提供潛在惡意流量的相關資訊。 為防止入侵,IPS 裝置可以阻擋惡意流量抵達目的地。 Google Cloud 提供 Cloud 入侵偵測系統 (Cloud IDS) 做為代管服務。
- 安全 Web 閘道 (SWG)。SWG 可讓企業對往來網際網路的流量套用公司政策,藉此阻擋網際網路的威脅。方法是使用網址篩選、惡意程式碼偵測和存取控制。 Google Cloud 提供 Secure Web Proxy 做為受管理服務。
- 網路位址轉譯 (NAT) 閘道。 NAT 閘道會轉換 IP 位址和通訊埠。舉例來說,這項轉譯作業有助於避免 IP 位址重疊。 Google Cloud 提供Cloud NAT 做為代管服務。
- 網頁應用程式防火牆 (WAF)。 網路應用程式防火牆 (WAF) 的設計目的是封鎖傳入網路應用程式的惡意 HTTP(S) 流量。 Google Cloud 透過 Google Cloud Armor 安全性政策提供 WAF 功能。WAF 供應商提供的確切功能有所不同,因此請務必先判斷自身需求。
Cloud IDS
Cloud IDS 是入侵偵測服務,可針對您網路上的入侵、惡意軟體、間諜軟體、指令與控制攻擊等,提供威脅偵測服務。Cloud IDS 的運作方式是建立含有 VM 的 Google 管理對等互連網路,這些 VM 會接收鏡像流量。然後由 Palo Alto Networks 威脅防護技術檢查鏡像流量,提供進階威脅偵測功能。
Cloud IDS 可讓您完整掌握子網路內流量,方便您監控 VM 對 VM 的通訊,藉此偵測水平擴散。
Cloud NAT
Cloud NAT 為應用程式提供全代管的軟體定義網路位址轉譯支援。這項服務可針對沒有外部 IP 位址的 VM 傳出流量,執行來源網路位址轉譯 (來源 NAT 或 SNAT)。
防火牆深入分析
防火牆深入分析可協助您瞭解並最佳化防火牆規則。這項功能會提供防火牆規則使用方式的資料、公開錯誤設定,以及找出可更嚴格的規則。此外,這項功能還會運用機器學習技術預測防火牆規則的未來使用情形,協助您判斷是否要移除或收緊過於寬鬆的規則。
網路記錄
您可以使用多項 Google Cloud 產品記錄及分析網路流量。
「防火牆規則記錄」可讓您稽核、驗證及分析防火牆規則的效果。舉例來說,您可以判斷用來拒絕流量的防火牆規則是否正常運作。需要瞭解特定防火牆規則影響的連線數量時,這項功能也能派上用場。
您必須為需要記錄連線的每項防火牆規則,個別啟用防火牆規則記錄。無論規則的動作 (允許或拒絕) 或方向 (輸入或輸出) 為何,防火牆規則記錄都是任何防火牆規則的選項。
虛擬私有雲流量記錄會從VM 執行個體收發的網路流量中取樣,並記錄下來,包括做為 Google Kubernetes Engine (GKE) 節點的執行個體。這類記錄檔可用於執行網路監控、鑑識、即時安全性分析和支出最佳化調整作業。
Service Networking
服務網路區塊負責提供查詢服務,告知服務要求應前往何處 (DNS、Service Directory),並將要求傳送到正確的位置 (Private Service Connect、Cloud Load Balancing)。
Cloud DNS
工作負載是透過網域名稱存取。 Cloud DNS 可將網域名稱轉換為世界各地的 IP 位址,不僅穩定可靠,延遲時間也很短。Cloud DNS 提供公開區域和不公開的代管 DNS 區域。公開區域會顯示在公開網際網路上,而不公開區域只會顯示在您指定的一或多個虛擬私人雲端網路上。
Cloud Load Balancing
在 Google Cloud中,負載平衡器是重要元件,可將流量導向各種服務,提供速度和效率,並協助改善內部和外部流量的全球安全性。
我們的負載平衡器也能在多個雲端或混合式環境中,路由傳送及擴充流量。因此,無論應用程式位於何處或託管在多少個位置,Cloud Load Balancing 都能成為「前門」,讓應用程式擴大規模。Google 提供多種負載平衡類型:全域和區域、外部和內部,以及第 4 層和第 7 層。
Service Directory
Service Directory 可讓您管理服務目錄,並提供單一安全平台,供您發布、探索及連結服務,所有作業都以身分型存取權控管為基礎。您可以使用這項服務註冊具名服務及其端點。您可以手動註冊,也可以透過與 Private Service Connect、GKE 和 Cloud Load Balancing 的整合功能註冊。您可以使用明確的 HTTP 和 gRPC API,以及 Cloud DNS,進行服務探索。
Cloud Service Mesh
Cloud Service Mesh 旨在透過在服務網格架構中啟用豐富的流量管理和安全防護政策,執行複雜的分散式應用程式。
Cloud Service Mesh 支援以 Kubernetes 為基礎的區域和全球部署作業,包括 Google Cloud 和地端部署作業,可從代管型 Istio 產品獲益。此外,這項功能也支援 Google Cloud 在 VM 或無 Proxy gRPC 上使用 Proxy。
Private Service Connect
Private Service Connect 可透過單一端點,讓工作負載在虛擬私有雲網路之間存取,藉此建立服務抽象化。這項功能可讓兩個網路在用戶端/伺服器模型中通訊,只向消費者公開服務,而不是整個網路或工作負載本身。服務導向的網路模型可讓網路管理員推斷網路間公開的服務,而非子網路或虛擬私有雲,進而以生產者-消費者模型使用服務,無論是第一方或第三方服務 (SaaS) 皆適用。
透過 Private Service Connect,消費者虛擬私有雲可以使用私人 IP 位址連線至 Google API 或其他虛擬私有雲中的服務。
您可以將 Private Service Connect 擴充至內部部署網路,存取連線至 Google API 或其他虛擬私有雲網路中受管理服務的端點。Private Service Connect 可在第 4 層或第 7 層使用服務。
在第 4 層,Private Service Connect 會要求供應商建立一或多個專屬的 Private Service Connect 子網路。這些子網路也稱為 NAT 子網路。 Private Service Connect 會使用從其中一個 Private Service Connect 子網路選取的 IP 位址執行來源 NAT,將要求轉送至服務供應商。這種做法可讓您在消費者和生產者之間使用重疊的 IP 位址。
在第 7 層,您可以建立 Private Service Connect 後端,方法是使用內部應用程式負載平衡器。內部應用程式負載平衡器可讓您使用網址對應選擇可用的服務。詳情請參閱「關於 Private Service Connect 後端」。
私人服務存取權
私人服務存取權是指在您的虛擬私有雲網路與 Google 或第三方所擁有網路之間建立的私人連線。Google 或提供服務的第三方稱為「服務生產端」。私人服務存取權會使用虛擬私有雲網路對等互連建立連線,且供應商和用戶虛擬私有雲網路必須彼此對等互連。這與 Private Service Connect 不同,後者可讓您將單一私人 IP 位址投影到子網路中。
私人連線可讓您 VPC 網路中的 VM 執行個體及您存取的服務,能夠透過內部 IP 位址進行專屬通訊。VM 執行個體不需要網際網路存取權或外部 IP 位址,就能透過私人服務存取權連線至服務。您也可以使用 Cloud VPN 或 Cloud Interconnect,為內部部署主機提供存取服務供應商網路的方式,將私人服務存取權擴展至內部部署網路。如要查看支援私人服務存取權的 Google 管理服務清單,請參閱虛擬私有雲說明文件中的「支援的服務」一節。
無伺服器虛擬私有雲存取
無伺服器虛擬私有雲存取可讓您從無伺服器環境 (例如 Cloud Run、App Engine 或 Cloud Run 函式) 中代管的服務,直接連線至虛擬私有雲網路。設定無伺服器虛擬私有雲存取後,無伺服器環境就能使用內部 DNS 和內部 IP 位址,將要求傳送至虛擬私有雲網路。這些要求的相關回應也會使用虛擬網路。
只有在流量是透過無伺服器虛擬私有雲存取連接器,從無伺服器環境傳送要求後的回應時,無伺服器虛擬私有雲存取才會將虛擬私有雲網路的內部流量傳送至無伺服器環境。
無伺服器 VPC 存取具有下列優點:
- 傳送至虛擬私有雲網路的要求絕不會暴露在網際網路上。
- 相較於透過網際網路通訊,透過無伺服器虛擬私有雲存取通訊的延遲時間可能較短。
直接虛擬私有雲輸出
直接虛擬私有雲輸出可讓 Cloud Run 服務將流量傳送至虛擬私有雲網路,不必設定無伺服器虛擬私有雲存取連接器。
服務安全性
服務安全區塊會根據要求者的身分,或根據對封包模式的較高層級瞭解,而非僅根據個別封包的特徵,控管資源的存取權。
Google Cloud Armor for DDoS/WAF
Google Cloud Armor 是一項網頁應用程式防火牆 (WAF) 和分散式阻斷服務 (DDoS) 緩解服務,可協助您防範多種威脅,保護網頁應用程式和服務。這些威脅包括分散式阻斷服務攻擊、網頁攻擊 (例如跨網站指令碼攻擊 (XSS) 和 SQL 注入攻擊 (SQLi)),以及詐欺和自動化攻擊。
Google Cloud Armor 會檢查 Google 全球邊緣服務點的傳入要求。內建一組網路應用程式防火牆規則,可掃描常見的網路攻擊,並採用先進的機器學習攻擊偵測系統,建立良好流量的模型,然後偵測不良流量。最後,Google Cloud Armor 會整合 Google reCAPTCHA,運用端點遙測和雲端遙測技術,協助偵測及防範複雜的詐欺和自動化攻擊。
Identity-Aware Proxy (IAP)
Identity-Aware Proxy (IAP) 可為雲端應用程式和 VM 提供情境感知存取權控管功能,這些應用程式和 VM 執行於 Google Cloud 或連線至 Google Cloud使用任何混合式網路技術的環境。IAP 會驗證使用者身分,並根據各種情境屬性,判斷使用者要求是否來自可信任的來源。IAP 也支援 TCP 通道,供企業使用者存取 SSH/RDP。
VPC Service Controls
VPC Service Controls 可協助您降低他人透過 Cloud Storage 和 BigQuery 等 Google Cloud服務竊取資料的風險。使用 VPC Service Controls 有助於確保只有核准的環境能使用 Google Cloud服務。
您可以使用 VPC Service Controls 建立範圍,限制存取服務帳戶和 VPC 網路等特定雲端原生身分建構體,藉此保護您指定的服務資源和資料。建立範圍後,除非要求來自範圍內,否則系統會拒絕存取指定的 Google 服務。
內容傳遞
內容傳遞區塊可控管應用程式和內容的傳遞最佳化作業。
Cloud CDN
Cloud CDN 會使用 Google 的全球邊緣網路,從最接近使用者的位置提供內容,藉此加速傳遞靜態內容。這有助於縮短網站和應用程式的延遲時間。
Media CDN
Media CDN 是 Google 的媒體傳遞解決方案,專為高輸送量輸出工作負載而建構。
觀測能力
觀測區塊可讓您掌握網路狀況,並提供洞察資訊,有助於排解、記錄及調查問題。
Network Intelligence Center
網路智慧中心包含多項產品,可解決網路可觀測性的各種問題。每項產品的重點不同,可提供豐富的洞察資料,協助管理員、架構師和實務工作者瞭解網路健康狀態和問題。
參考架構
下列文件提供不同類型工作負載的參考架構:雲端內、面向網際網路和混合式。這些工作負載架構是以雲端資料平面為基礎建構而成,而雲端資料平面是使用本文先前章節中列出的建構區塊和架構模式實現。
您可以運用參考架構,設計在雲端遷移或建構工作負載的方法。工作負載隨後會以雲端資料平面為基礎,並使用這些架構。雖然這些文件並未提供完整的參考架構,但涵蓋了最常見的情境。
如「保護雲端資料層的架構」一文所述,實際服務可能會結合使用這些設計。這些文件會討論每種工作負載類型,以及每種安全架構的考量事項。
後續步驟
- 遷移至 Google Cloud 可協助您規劃、設計及執行將工作負載遷移至 Google Cloud的程序。
- Google Cloud中的登陸區設計:提供建立登陸區網路的指引。
- 如需更多參考架構、圖表和最佳做法,請瀏覽 Cloud 架構中心。