BeyondProd bezieht sich auf die Dienste und Einstellungen in der Google-Infrastruktur, die zum Schutz von Arbeitslasten zusammenarbeiten. BeyondProd schützt die Anwendungsdienste, die Google in seiner eigenen Umgebung ausführt, einschließlich der Art und Weise, wie Google Code ändert und wie Google die Dienstisolation gewährleistet. Obwohl sich der BeyondProd-Artikel auf bestimmte Technologien bezieht, mit denen Google seine eigene Infrastruktur verwaltet, können die Sicherheitsgrundsätze von BeyondProd auch auf Kundenanwendungen angewendet werden.
BeyondProd enthält mehrere wichtige Sicherheitsgrundsätze, die für den Blueprint gelten. In der folgenden Tabelle werden die BeyondProd-Prinzipien dem Blueprint zugeordnet.
| Sicherheitsgrundsatz | Zu Blueprint zuordnen | Sicherheitsfunktion |
|---|---|---|
Edge-Netzwerkschutz |
Cloud Load Balancing |
Unterstützt den Schutz vor verschiedenen DDoS-Angriffstypen wie UDP-Floods und SYN-Floods. |
Google Cloud Armor |
Unterstützt Schutz vor Angriffen auf Webanwendungen, DDoS-Angriffen und Bots durch immer aktiven Schutz und anpassbare Sicherheitsrichtlinien. |
|
Cloud CDN |
Hilft dabei, DDoS-Angriffe abzuwenden, indem die Last von freigegebenen Diensten durch die direkte Bereitstellung von Inhalten entlastet wird. |
|
GKE-Cluster mit Private Service Connect-Zugriff auf die Steuerungsebene und private Knotenpools für Cluster, die nur private IP-Adressen verwenden |
Schützt vor Bedrohungen im öffentlichen Internet und kann den Zugriff auf die Cluster genauer steuern. |
|
Firewallrichtlinie |
Definieren Sie eine Zulassungsliste für eingehenden Traffic von Cloud Load Balancing zu GKE-Diensten. |
|
Kein inhärentes gegenseitiges Vertrauen unter den Diensten |
Anthos Service Mesh |
Erzwingt die Authentifizierung und Autorisierung, um sicherzustellen, dass nur genehmigte Dienste miteinander kommunizieren können. |
Workload Identity |
Erhöht die Sicherheit, da durch die Automatisierung des Authentifizierungs- und Autorisierungsprozesses für Arbeitslasten das Risiko von Anmeldedatendiebstahl verringert wird, sodass Sie Anmeldedaten nicht mehr verwalten und speichern müssen. |
|
Firewallrichtlinie |
Sie sorgen dafür, dass nur genehmigte Kommunikationskanäle im Google Cloud-Netzwerk zu GKE-Clustern zulässig sind. |
|
Vertrauenswürdige Maschinen, auf denen Code bekannter Herkunft ausgeführt wird |
Binärautorisierung |
Sie sorgen dafür, dass nur vertrauenswürdige Images in GKE bereitgestellt werden, indem während der Bereitstellung die Imaging-Signatur und die Signaturprüfung erzwungen werden. |
Konsistente Richtlinienerzwingung bei allen Diensten |
Policy Controller |
Ermöglicht die Definition und Durchsetzung von Richtlinien, die Ihre GKE-Cluster steuern. |
Einfacher, automatisierter und standardisierter Rollout von Änderungen |
|
Bietet einen automatisierten und kontrollierten Bereitstellungsprozess mit integrierter Compliance und Validierung zum Erstellen von Ressourcen und Anwendungen. |
Config Sync |
Verbessern der Clustersicherheit durch eine zentralisierte Konfigurationsverwaltung und einen automatisierten Konfigurationsabgleich. |
|
Isolation von Arbeitslasten, die dasselbe Betriebssystem verwenden |
Container-Optimized OS |
Container-Optimized OS enthält nur wichtige Komponenten, die zum Ausführen von Docker-Containern erforderlich sind. Dadurch wird das Betriebssystem weniger anfällig für Exploits und Malware. |
Vertrauenswürdige Hardware und Attestierung |
Shielded GKE-Knoten |
Sorgt dafür, dass nur vertrauenswürdige Software geladen wird, wenn ein Knoten gestartet wird. Überwacht den Softwarestack des Knotens kontinuierlich und benachrichtigt Sie, wenn Änderungen erkannt werden. |
Wie geht es weiter?
- Lesen Sie Blueprint bereitstellen (nächstes Dokument in dieser Reihe).