Restez organisé à l'aide des collections
Enregistrez et classez les contenus selon vos préférences.
Last reviewed 2023-12-14 UTC
Le modèle gated (clôturé) repose sur une architecture qui expose certaines applications et certains services de manière précise, en fonction d'API ou de points de terminaison spécifiques exposés entre les différents environnements. Ce guide classe ce modèle en trois options possibles, chacune déterminée par le modèle de communication spécifique :
Comme indiqué précédemment dans ce guide, les modèles d'architecture réseau décrits ici peuvent être adaptés à différentes applications présentant des exigences variées.
Pour répondre aux besoins spécifiques de différentes applications, votre architecture de zone de destination principale peut intégrer un modèle ou une combinaison de modèles simultanément. Le déploiement spécifique de l'architecture sélectionnée dépend des exigences de communication spécifiques de chaque modèle de contrôle d'accès.
Cette série aborde chaque modèle de contrôle d'accès et ses options de conception possibles.
Toutefois, une option de conception courante applicable à tous les modèles contrôlés est l'architecture distribuée zéro confiance pour les applications conteneurisées avec une architecture de microservices. Cette option est basée sur Cloud Service Mesh, Apigee et Apigee Adapter for Envoy (un déploiement léger de passerelle Apigee dans un cluster Kubernetes).
L'adaptateur Apigee pour Envoy est un proxy de service et de périphérie Open Source courant, conçu pour les applications cloud first. Cette architecture contrôle les communications de service à service sécurisées autorisées et le sens de la communication au niveau du service. Les règles de communication du trafic peuvent être conçues, affinées et appliquées au niveau du service en fonction du modèle sélectionné.
Les modèles contrôlés permettent de mettre en œuvre Cloud Next Generation Firewall Enterprise avec le service de prévention des intrusions (IPS) pour effectuer une inspection approfondie des paquets afin de prévenir les menaces sans aucune modification de conception ou d'acheminement. Cette inspection dépend des applications spécifiques auxquelles vous accédez, du modèle de communication et des exigences de sécurité. Si les exigences de sécurité exigent une inspection approfondie des paquets et de la couche 7 avec des mécanismes de pare-feu avancés qui dépassent les capacités de Cloud Next Generation Firewall, vous pouvez utiliser un pare-feu centralisé de nouvelle génération (NGFW) hébergé dans un NVA (dispositif virtuel de réseau).
Plusieurs partenaires de sécurité Google Cloud proposent des appliances NGFW qui peuvent répondre à vos exigences de sécurité. L'intégration de NVA avec ces modèles de contrôle d'accès peut nécessiter l'introduction de plusieurs zones de sécurité dans la conception du réseau, chacune avec des niveaux de contrôle d'accès distincts.
Sauf indication contraire, le contenu de cette page est régi par une licence Creative Commons Attribution 4.0, et les échantillons de code sont régis par une licence Apache 2.0. Pour en savoir plus, consultez les Règles du site Google Developers. Java est une marque déposée d'Oracle et/ou de ses sociétés affiliées.
Dernière mise à jour le 2023/12/14 (UTC).
[[["Facile à comprendre","easyToUnderstand","thumb-up"],["J'ai pu résoudre mon problème","solvedMyProblem","thumb-up"],["Autre","otherUp","thumb-up"]],[["Difficile à comprendre","hardToUnderstand","thumb-down"],["Informations ou exemple de code incorrects","incorrectInformationOrSampleCode","thumb-down"],["Il n'y a pas l'information/les exemples dont j'ai besoin","missingTheInformationSamplesINeed","thumb-down"],["Problème de traduction","translationIssue","thumb-down"],["Autre","otherDown","thumb-down"]],["Dernière mise à jour le 2023/12/14 (UTC)."],[[["\u003cp\u003eThe gated pattern provides fine-grained control over the exposure of applications and services through specific APIs or endpoints, and is categorized into gated egress, gated ingress, and bidirectional gated patterns.\u003c/p\u003e\n"],["\u003cp\u003eThe networking architecture patterns can be customized to fit different applications' needs, allowing for single or combined pattern use within a main landing zone architecture based on the communication requirements.\u003c/p\u003e\n"],["\u003cp\u003eA common design option for all gated patterns is the Zero Trust Distributed Architecture for containerized applications with microservices, utilizing Cloud Service Mesh, Apigee, and Apigee Adapter for Envoy to secure service-to-service communications.\u003c/p\u003e\n"],["\u003cp\u003eGated patterns can integrate Cloud Next Generation Firewall Enterprise with intrusion prevention service (IPS) for deep packet inspection or can be implemented with centralized next generation firewall (NGFW) hosted in a network virtual appliance (NVA) for more advanced security.\u003c/p\u003e\n"]]],[],null,["# Gated patterns\n\nThe *gated* pattern is based on an architecture that exposes select\napplications and services in a fine-grained manner, based on specific exposed\nAPIs or endpoints between the different environments. This guide categorizes\nthis pattern into three possible options, each determined by the specific\ncommunication model:\n\n- [Gated egress](/architecture/hybrid-multicloud-secure-networking-patterns/gated-egress)\n- [Gated ingress](/architecture/hybrid-multicloud-secure-networking-patterns/gated-ingress)\n\n- [Gated egress and ingress](/architecture/hybrid-multicloud-secure-networking-patterns/gated-egress-ingress)\n (bidirectional gated in both directions)\n\nAs previously mentioned in this guide, the networking architecture patterns\ndescribed here can be adapted to various applications with diverse requirements.\nTo address the specific needs of different applications, your main landing zone\narchitecture might incorporate one pattern or a combination of patterns\nsimultaneously. The specific deployment of the selected architecture is\ndetermined by the specific communication requirements of each gated pattern.\n| **Note:** In general, the *gated* pattern can be applied or incorporated with the landing zone design option that exposes the services in a [consumer-producer model](/architecture/landing-zones/decide-network-design#option-4).\n\nThis series discusses each gated pattern and its possible design options.\nHowever, one common design option applicable to all gated patterns is the\n[Zero Trust Distributed Architecture](/architecture/network-hybrid-multicloud#zero_trust_distributed_architecture)\nfor containerized applications with microservice architecture. This option is\npowered by\n[Cloud Service Mesh](/anthos/service-mesh),\nApigee, and\n[Apigee Adapter for Envoy](/apigee/docs/api-platform/envoy-adapter/v2.0.x/concepts)---a\nlightweight Apigee gateway deployment within a Kubernetes cluster.\nApigee Adapter for Envoy is a popular, open source edge and service proxy that's\ndesigned for cloud-first applications. This architecture controls allowed secure\nservice-to-service communications and the direction of communication at a\nservice level. Traffic communication policies can be designed, fine-tuned, and\napplied at the service level based on the selected pattern.\n\nGated patterns allow for the implementation of Cloud Next Generation Firewall Enterprise\nwith\n[intrusion prevention service (IPS)](/firewall/docs/about-intrusion-prevention)\nto perform deep packet inspection for threat prevention without any design\nor routing modifications. That inspection is subject to the specific\napplications being accessed, the communication model, and the security\nrequirements. If security requirements demand Layer 7 and deep packet inspection\nwith advanced firewalling mechanisms that surpass the capabilities of\nCloud Next Generation Firewall, you can use a centralized next generation firewall (NGFW)\n[hosted in a network virtual appliance (NVA)](/architecture/network-secure-intra-cloud-access#network_virtual_appliance).\nSeveral Google Cloud\n[security partners](/security/partners)\noffer NGFW appliances that can meet your security requirements. Integrating NVAs\nwith these gated patterns can require introducing multiple security zones within\nthe network design, each with distinct access control levels."]]
