Pola gated didasarkan pada arsitektur yang mengekspos aplikasi dan layanan tertentu secara terperinci, berdasarkan API atau endpoint yang diekspos tertentu di antara lingkungan yang berbeda. Panduan ini mengategorikan pola ini ke dalam tiga kemungkinan opsi, yang masing-masing ditentukan oleh model komunikasi tertentu:
- Traffic keluar dengan akses terbatas
Traffic keluar dan masuk dengan akses terbatas (akses terbatas dua arah)
Seperti yang disebutkan sebelumnya dalam panduan ini, pola arsitektur jaringan yang dijelaskan di sini dapat disesuaikan dengan berbagai aplikasi dengan beragam persyaratan. Untuk memenuhi kebutuhan spesifik berbagai aplikasi, arsitektur zona landing utama Anda dapat menggabungkan satu pola atau kombinasi pola secara bersamaan. Deployment spesifik dari arsitektur yang dipilih ditentukan oleh persyaratan komunikasi spesifik dari setiap pola yang dibatasi.
Seri ini membahas setiap pola yang dibatasi dan kemungkinan opsi desainnya. Namun, salah satu opsi desain umum yang berlaku untuk semua pola yang dibatasi adalah Arsitektur Terdistribusi Zero Trust untuk aplikasi dalam container dengan arsitektur microservice. Opsi ini didukung oleh Cloud Service Mesh, Apigee, dan Apigee Adapter for Envoy—deployment gateway Apigee ringan dalam cluster Kubernetes. Adaptor Apigee untuk Envoy adalah proxy edge dan layanan open source populer yang didesain untuk aplikasi cloud-first. Arsitektur ini mengontrol komunikasi antarlayanan yang aman dan diizinkan serta arah komunikasi di tingkat layanan. Kebijakan komunikasi traffic dapat dirancang, disesuaikan, dan diterapkan di tingkat layanan berdasarkan pola yang dipilih.
Pola yang dibatasi memungkinkan penerapan Cloud Next Generation Firewall Enterprise dengan layanan pencegahan intrusi (IPS) untuk melakukan pemeriksaan paket mendalam untuk pencegahan ancaman tanpa modifikasi desain atau perutean. Pemeriksaan tersebut tunduk pada aplikasi spesifik yang diakses, model komunikasi, dan persyaratan keamanan. Jika persyaratan keamanan memerlukan pemeriksaan paket mendalam dan Lapisan 7 dengan mekanisme firewall lanjutan yang melampaui kemampuan Cloud Next Generation Firewall, Anda dapat menggunakan firewall generasi berikutnya (NGFW) terpusat yang di-hosting di peralatan virtual jaringan (NVA). Beberapa Google Cloud partner keamanan menawarkan perangkat NGFW yang dapat memenuhi persyaratan keamanan Anda. Mengintegrasikan NVA dengan pola yang dibatasi ini dapat memerlukan pengenalan beberapa zona keamanan dalam desain jaringan, yang masing-masing memiliki tingkat kontrol akses yang berbeda.