多年来,详细介绍如何大规模解决特定问题的各种 Google 白皮书,每每催生出全新的新创生态系统,并改变其他企业认真思考扩展工具的方法。Google 于 18 日发表新安全白皮书,详细介绍如何确保云端原生架构的安全。
从 BeyondProd 之名就清楚指出,为 Google 多年前首次引入的 BeyondCorp 零信任(Zero Trust)系统扩展与延伸。BeyondCorp 致力于将安全防护从 VPN 及防火墙移转到个人使用者与装置边缘,BeyondProd 专注于 Google 的零信任方法,适用于连接机器、工作负载和服务的方法。
毫不意外,BeyondProd 与 BeyondCorp 基于几乎相同的原则,包括网络边缘防护、服务之间互不信任、运行已知程式码的可信赖机器、自动化及标准化的变更部署及隔离的工作负载。当然,所有这些都是为了保护云端原生应用程序,这些程式通常透过 API 沟通并运行于当代基础设施。
“总之,这些控制措施意味内部运行的容器和微服务可安全部署、彼此沟通且同步运行;不会增加个别微服务开发人员底层基础设施安全性与实施细节的负担。”Google 阐述。
Google 也附带表示,正透过像 GKE 与 Anthos 之类的自家服务与自家混合云端平台,以便让开发人员使用所有功能。Google 还强调,旗下许多开放源代码工具也允许企业构建依附相同平台的系统,包括 Envoy、Istio、gVisor 等工具。
“就像 BeyondCorp 帮助我们超越边缘安全模型的持续发展,BeyondProd 代表我们在生产安全方法的快速进展,”Google表示:“借由将 BeyondProd 模型的安全原则套用到客户的云端原生基础设施,可从我们的经验获益,进而加强工作负载的部署、确保客户工作负载的通讯安全,并掌握不同工作负载间的相互影响性。”
- Google details its approach to cloud-native security
(首图来源:Google Cloud)
