Il pattern gated si basa su un'architettura che espone applicazioni e servizi selezionati in modo granulare, in base a API o endpoint specifici esposti tra i diversi ambienti. Questa guida classifica questo pattern in tre possibili opzioni, ciascuna determinata dal modello di comunicazione specifico:
- Uscita controllata
In uscita e in entrata controllati (controllati bidirezionali in entrambe le direzioni)
Come accennato in precedenza in questa guida, i pattern di architettura di rete descritti qui possono essere adattati a varie applicazioni con requisiti diversi. Per soddisfare le esigenze specifiche di diverse applicazioni, l'architettura della zona di destinazione principale potrebbe incorporare uno o più pattern contemporaneamente. Il deployment specifico dell'architettura selezionata è determinato dai requisiti di comunicazione specifici di ogni pattern controllato.
Questa serie descrive ogni pattern controllato e le relative possibili opzioni di progettazione. Tuttavia, un'opzione di progettazione comune applicabile a tutti i pattern controllati è l'architettura distribuita Zero Trust per le applicazioni containerizzate con architettura di microservizi. Questa opzione è basata su Cloud Service Mesh, Apigee e Apigee Adapter for Envoy, un deployment leggero del gateway Apigee all'interno di un cluster Kubernetes. Apigee Adapter for Envoy è un proxy di servizio e perimetrale open source molto diffuso progettato per applicazioni cloud-first. Questa architettura controlla le comunicazioni sicure consentite tra servizi e la direzione della comunicazione a livello di servizio. Le policy di comunicazione del traffico possono essere progettate, ottimizzate e applicate a livello di servizio in base al pattern selezionato.
I pattern controllati consentono l'implementazione di Cloud Next Generation Firewall Enterprise con il servizio di prevenzione delle intrusioni (IPS) per eseguire l'ispezione approfondita dei pacchetti per la prevenzione delle minacce senza modifiche alla progettazione o al routing. L'ispezione è soggetta alle applicazioni specifiche a cui si accede, al modello di comunicazione e ai requisiti di sicurezza. Se i requisiti di sicurezza richiedono l'ispezione approfondita dei pacchetti e del livello 7 con meccanismi di firewalling avanzati che superano le funzionalità di Cloud Next Generation Firewall, puoi utilizzare un firewall di nuova generazione (NGFW) centralizzato ospitato in un'appliance virtuale di rete (NVA). Diversi Google Cloud partner per la sicurezza offrono appliance NGFW in grado di soddisfare i tuoi requisiti di sicurezza. L'integrazione di NVA con questi pattern controllati può richiedere l'introduzione di più zone di sicurezza nella progettazione della rete, ognuna con livelli di controllo dell'accesso distinti.