將 BeyondProd 安全性原則對應至藍圖

網路邊緣防護

Cloud Load Balancing

有助於防範各種 DDoS 攻擊類型，例如 UDP 洪水攻擊和 SYN 洪水攻擊。

Cloud Armor

透過全天候防護和可自訂的安全性政策，防範網路應用程式攻擊、DDoS 攻擊和機器人。

Cloud CDN

直接提供內容，將負載從公開服務移開，協助緩解 DDoS 攻擊。

GKE 叢集，可透過 Private Service Connect 存取控制層，以及僅使用私人 IP 位址的叢集私人節點集區

有助於防範公開網際網路的威脅，並提供更精細的叢集存取權控管。

防火牆政策

明確定義允許清單，允許 Cloud Load Balancing 將輸入流量傳送至 GKE 服務。

服務之間沒有固有的相互信任

Cloud Service Mesh

強制執行驗證和授權，確保只有核准的服務可以彼此通訊。

Workload Identity Federation for GKE

自動執行工作負載的驗證和授權程序，減少憑證遭竊的風險，進而提升安全性，您也不必管理及儲存憑證。

防火牆政策

確保只有核准的通訊管道能從Google Cloud 網路連線至 GKE 叢集。

由受信任的機器執行來源已知的程式碼

二進位授權

在部署期間強制執行映像檔簽署和簽章驗證，確保只有受信任的映像檔會部署至 GKE。

在各項服務中一致地強制執行政策

Policy Controller

可讓您定義及強制執行 GKE 叢集的管理政策。

簡單、自動化且標準化的變更推出作業

• 基礎架構管道
• 多租戶基礎架構管道
• 機群範圍管道
• 應用程式出廠管道
• 應用程式 CI/CD 管道

提供自動化且受控的部署程序，內建法規遵循和驗證功能，可建構資源和應用程式。

Config Sync

提供集中式設定管理和自動設定調解功能，協助提升叢集安全性。

共用作業系統的工作負載之間的隔離措施

Container-Optimized OS

Container-Optimized OS 只包含執行 Docker 容器所需的必要元件，因此較不容易受到惡意探索和惡意軟體攻擊。

受信任的硬體和認證

受防護的 GKE 節點

確保節點啟動時只會載入受信任的軟體。持續監控節點的軟體堆疊，並在偵測到任何變更時發出警報。