BeyondProd si riferisce ai servizi e ai controlli nell'infrastruttura di Google che interagiscono per proteggere i carichi di lavoro. BeyondProd contribuisce a proteggere i servizi applicativi che Google esegue nel suo ambiente, incluse le modalità di modifica del codice e di isolamento dei servizi da parte di Google. Sebbene il documento di BeyondProd si riferisca a specifiche tecnologie che Google utilizza per gestire la propria infrastruttura e non esposte ai clienti, i principi di sicurezza di BeyondProd possono essere applicati anche alle applicazioni dei clienti.
BeyondProd include diversi principi chiave di sicurezza che si applicano al progetto. La tabella seguente mappa i principi di BeyondProd al progetto.
| Principio di sicurezza | Mappatura al progetto base | Funzionalità di sicurezza |
|---|---|---|
Protezione perimetrale della rete |
Cloud Load Balancing |
Aiuta a proteggere da vari tipi di attacchi DDoS, come le inondazioni UDP e SYN. |
Google Cloud Armor |
Contribuisce a garantire protezione da attacchi alle applicazioni web, attacchi DDoS e bot tramite protezione sempre attiva e criteri di sicurezza personalizzabili. |
|
Cloud CDN |
Contribuisce a ridurre il carico degli attacchi DDoS rimuovendo il carico dai servizi esposti pubblicando direttamente i contenuti. |
|
Cluster GKE con accesso a Private Service Connect al piano di controllo e ai pool di nodi privati per i cluster che utilizzano solo indirizzi IP privati |
Protegge da minacce nella rete internet pubblica e fornisce un controllo più granulare sull'accesso ai cluster. |
|
Criterio firewall |
Definisce in modo restrittivo una lista consentita per il traffico in entrata verso i servizi GKE da Cloud Load Balancing. |
|
Nessuna attendibilità reciproca intrinseca tra i servizi |
Anthos Service Mesh |
Impone l'autenticazione e l'autorizzazione per garantire che solo i servizi approvati possano comunicare tra loro. |
Workload Identity |
Migliora la sicurezza riducendo il rischio di furto di credenziali attraverso l'automazione del processo di autenticazione e autorizzazione per i carichi di lavoro, eliminando la necessità di gestire e archiviare le credenziali. |
|
Criterio firewall |
Contribuisce a garantire che all'interno della rete Google Cloud siano consentiti solo i canali di comunicazione approvati ai cluster GKE. |
|
Macchine attendibili che eseguono codice di provenienza nota |
Autorizzazione binaria |
Contribuisce a garantire che il deployment su GKE venga eseguito solo per le immagini attendibili, applicando la firma delle immagini e la convalida della firma durante il deployment. |
Applicazione coerente dei criteri nei vari servizi |
Policy Controller |
Consente di definire e applicare i criteri che regolano i cluster GKE. |
Implementazione semplice, automatica e standardizzata delle modifiche |
|
Fornisce un processo di deployment automatizzato e controllato con conformità e convalida integrate per creare risorse e applicazioni. |
Config Sync |
Migliora la sicurezza dei cluster fornendo una gestione centralizzata delle configurazioni e la riconciliazione automatica. |
|
Isolamento tra carichi di lavoro che condividono lo stesso sistema operativo |
Container-Optimized OS |
Container-Optimized OS contiene solo i componenti essenziali necessari per l'esecuzione dei container Docker, il che li rende meno vulnerabili a exploit e malware. |
Hardware affidabile e attestazione |
Nodi GKE schermati |
Garantisce che all'avvio di un nodo venga caricato solo il software attendibile. Monitora costantemente lo stack software del nodo, avvisandoti se vengono rilevate modifiche. |
Passaggi successivi
- Scopri di più sul deployment del progetto base (prossimo documento di questa serie).