O padrão gated baseia-se numa arquitetura que expõe aplicações e serviços selecionados de forma detalhada, com base em APIs ou pontos finais expostos específicos entre os diferentes ambientes. Este guia categoriza este padrão em três opções possíveis, cada uma determinada pelo modelo de comunicação específico:
- Saída controlada
Saída e entrada controladas (controladas bidirecionalmente em ambas as direções)
Conforme mencionado anteriormente neste guia, os padrões de arquitetura de rede descritos aqui podem ser adaptados a várias aplicações com requisitos diversos. Para responder às necessidades específicas de diferentes aplicações, a arquitetura da sua zona de destino principal pode incorporar um padrão ou uma combinação de padrões em simultâneo. A implementação específica da arquitetura selecionada é determinada pelos requisitos de comunicação específicos de cada padrão restrito.
Esta série aborda cada padrão restrito e as respetivas opções de design possíveis. No entanto, uma opção de design comum aplicável a todos os padrões protegidos é a arquitetura distribuída de confiança zero para aplicações contentorizadas com arquitetura de microsserviços. Esta opção é baseada no Cloud Service Mesh, Apigee e Apigee Adapter para Envoy, uma implementação de gateway do Apigee simples num cluster do Kubernetes. O Apigee Adapter para Envoy é um proxy de serviço e de limite popular de código aberto concebido para aplicações baseadas na nuvem. Esta arquitetura controla as comunicações seguras permitidas entre serviços e a direção da comunicação ao nível do serviço. As políticas de comunicação de tráfego podem ser concebidas, otimizadas e aplicadas ao nível do serviço com base no padrão selecionado.
Os padrões restritos permitem a implementação da firewall de nova geração da Google Cloud Enterprise com o serviço de prevenção de intrusões (IPS) para realizar uma inspeção detalhada de pacotes para prevenção de ameaças sem modificações de conceção nem de encaminhamento. Essa inspeção está sujeita às aplicações específicas acedidas, ao modelo de comunicação e aos requisitos de segurança. Se os requisitos de segurança exigirem a camada 7 e a inspeção profunda de pacotes com mecanismos de firewall avançados que excedam as capacidades da firewall de nova geração do Google Cloud, pode usar uma firewall de nova geração (NGFW) centralizada alojada num dispositivo virtual de rede (NVA). Vários Google Cloud parceiros de segurança oferecem dispositivos NGFW que podem cumprir os seus requisitos de segurança. A integração de NVAs com estes padrões restritos pode exigir a introdução de várias zonas de segurança no design da rede, cada uma com níveis de controlo de acesso distintos.