Le modèle gated (clôturé) repose sur une architecture qui expose certaines applications et certains services de manière précise, en fonction d'API ou de points de terminaison spécifiques exposés entre les différents environnements. Ce guide classe ce modèle en trois options possibles, chacune étant déterminée par le modèle de communication spécifique :
- Sortie contrôlée
Sortie et entrée contrôlées (contrôle bidirectionnel dans les deux sens)
Comme indiqué précédemment dans ce guide, les modèles d'architecture réseau décrits ici peuvent être adaptés à diverses applications aux exigences variées. Pour répondre aux besoins spécifiques de différentes applications, l'architecture de votre zone d'atterrissage principale peut intégrer un ou plusieurs modèles simultanément. Le déploiement spécifique de l'architecture sélectionnée est déterminé par les exigences de communication spécifiques de chaque modèle contrôlé.
Cette série aborde chaque modèle avec accès limité et ses options de conception possibles. Toutefois, une option de conception courante applicable à tous les modèles avec accès contrôlé est l'architecture distribuée Zero Trust pour les applications conteneurisées avec architecture de microservices. Cette option est optimisée par Cloud Service Mesh, Apigee et Apigee Adapter for Envoy, un déploiement de passerelle Apigee léger dans un cluster Kubernetes. Apigee Adapter for Envoy est un proxy de service et de périphérie Open Source courant, conçu pour les applications cloud. Cette architecture contrôle les communications sécurisées de service à service autorisées et le sens de la communication au niveau du service. Les règles de communication du trafic peuvent être conçues, affinées et appliquées au niveau du service en fonction du modèle sélectionné.
Les modèles contrôlés permettent d'implémenter Cloud Next Generation Firewall Enterprise avec un service de prévention des intrusions (IPS) pour effectuer une inspection approfondie des paquets afin de prévenir les menaces sans aucune modification de la conception ni du routage. Cette inspection est soumise aux applications spécifiques auxquelles l'utilisateur accède, au modèle de communication et aux exigences de sécurité. Si les exigences de sécurité nécessitent une inspection approfondie des paquets et de la couche 7 avec des mécanismes de pare-feu avancés qui dépassent les capacités de Cloud Next Generation Firewall, vous pouvez utiliser un pare-feu nouvelle génération (NGFW) centralisé hébergé dans un dispositif virtuel de réseau (NVA). Plusieurs Google Cloud partenaires de sécurité proposent des appliances NGFW qui peuvent répondre à vos exigences de sécurité. L'intégration d'appliances virtuelles réseau (NVA) à ces modèles contrôlés peut nécessiter l'introduction de plusieurs zones de sécurité dans la conception du réseau, chacune avec des niveaux de contrôle des accès distincts.