תוכנית אב ל-Enterprise

Last reviewed 2025-05-15 UTC

במסמך הזה מתוארות שיטות מומלצות לפריסת קבוצה בסיסית של משאבים ב- Google Cloud. תשתית ענן היא בסיס של משאבים, הגדרות ויכולות שמאפשרים לחברות לאמץ אתGoogle Cloud לצרכים העסקיים שלהן. בסיס מעוצב היטב מאפשר ניהול עקבי, אמצעי בקרה לאבטחה, התאמה לעומס, הרשאות גישה ושקיפות לכל עומסי העבודה בסביבת Google Cloud . אחרי שמטמיעים את אמצעי הבקרה והניהול שמתוארים במסמך הזה, אפשר להטמיע עומסי עבודה ב- Google Cloud.

תוכנית הבסיס לארגונים (לשעבר תוכנית הבסיס לאבטחה) מיועדת לאדריכלים, למומחי אבטחה ולצוותי הנדסת פלטפורמות שאחראים על תכנון סביבה מוכנה לארגונים ב- Google Cloud. התוכנית הזו כוללת את הרכיבים הבאים:

  • מאגר GitHub של terraform-example-foundation שמכיל את נכסי Terraform שניתנים לפריסה.
  • מדריך שמתאר את הארכיטקטורה, העיצוב ואמצעי הבקרה שאתם מטמיעים באמצעות התוכנית (המסמך הזה).

אפשר להשתמש במדריך הזה בשתי דרכים:

  • כדי ליצור בסיס מלא על סמך השיטות המומלצות של Google. אתם יכולים להטמיע את כל ההמלצות במדריך הזה כנקודת התחלה, ואז להתאים אישית את הסביבה כדי לעמוד בדרישות הספציפיות של העסק שלכם.
  • כדי לבדוק סביבה קיימת ב- Google Cloud. אתם יכולים להשוות בין רכיבים ספציפיים של העיצוב לבין שיטות מומלצות של Google.

תרחישים נתמכים

תוכנית הבסיס לארגונים מספקת שכבת בסיס של משאבים והגדרות שעוזרות להפעיל את כל סוגי עומסי העבודה ב- Google Cloud. בין שאתם מעבירים עומסי עבודה קיימים של מחשוב ל- Google Cloud, בונים אפליקציות אינטרנט מבוססות-קונטיינרים או יוצרים עומסי עבודה של נתונים גדולים ולמידת מכונה, תוכנית הבסיס לארגונים עוזרת לכם לבנות את הסביבה שלכם כדי לתמוך בעומסי עבודה של ארגונים בקנה מידה גדול.

אחרי שמפעילים את תוכנית הבסיס של Enterprise, אפשר להפעיל עומסי עבודה ישירות או להפעיל תוכניות נוספות כדי לתמוך בעומסי עבודה מורכבים שדורשים יכולות נוספות.

מודל אבטחה של הגנה לעומק

Google Cloud השירותים נהנים מתכנון האבטחה של תשתית Google. האחריות לתכנון האבטחה במערכות שאתם בונים על גבי Google Cloudמוטלת עליכם. תוכנית הבסיס של Enterprise עוזרת לכם להטמיע מודל אבטחה מקיף לשירותים ולעומסי העבודה שלכם ב- Google Cloud .

בתרשים הבא מוצג מודל אבטחה מקיף לארגוןGoogle Cloud שמשלב אמצעי בקרה של ארכיטקטורה, אמצעי בקרה של מדיניות ואמצעי בקרה של זיהוי.

מודל האבטחה של הגנה לעומק.

בתרשים מתוארים אמצעי הבקרה הבאים:

  • אמצעי בקרה של מדיניות הם אילוצים תוכנתיים שמבטיחים תצורות מקובלות של משאבים ומונעים תצורות מסוכנות. התוכנית משתמשת בשילוב של אמצעי בקרה על מדיניות, כולל אימות של תשתית כקוד (IaC) בצינור (pipeline) ואילוצים של מדיניות הארגון.
  • אמצעי בקרה על הארכיטקטורה הם ההגדרות של משאבי Google Cloudכמו רשתות והיררכיית משאבים. הארכיטקטורה של התוכנית מבוססת על שיטות מומלצות לאבטחה.
  • אמצעי בקרה לזיהוי מאפשרים לזהות התנהגות חריגה או זדונית בארגון. התוכנית משתמשת בתכונות של הפלטפורמה כמו Security Command Center, משתלבת עם אמצעי הבקרה הקיימים שלכם לזיהוי איומים ועם תהליכי עבודה כמו מרכז תפעול אבטחה (SOC), ומספקת יכולות לאכיפה של אמצעי בקרה מותאמים לזיהוי איומים.

החלטות חשובות

בקטע הזה מופיע סיכום של החלטות הארכיטקטורה ברמה הגבוהה של התוכנית.

שירותי מפתח בתוכנית.

בתרשים מוסבר איך Google Cloud השירותים תורמים להחלטות חשובות לגבי הארכיטקטורה:

  • Cloud Build: משאבי התשתית מנוהלים באמצעות מודל GitOps. תשתית כקוד (IaC) דקלרטיבית נכתבת ב-Terraform ומנוהלת במערכת ניהול גרסאות לצורך בדיקה ואישור. המשאבים נפרסים באמצעות Cloud Build ככלי אוטומציה של אינטגרציה רציפה (CI) ופריסה רציפה (CD). בנוסף, צינור עיבוד הנתונים אוכף בדיקות של מדיניות כקוד כדי לוודא שהמשאבים עומדים בהגדרות הצפויות לפני הפריסה.
  • Cloud Identity: המשתמשים והחברות בקבוצות מסונכרנים מספק הזהויות הקיים. אמצעי הבקרה לניהול מחזור החיים של חשבונות משתמשים וכניסה יחידה (SSO) מסתמכים על אמצעי הבקרה והתהליכים הקיימים של ספק הזהויות שלכם.
  • ניהול זהויות והרשאות גישה (IAM): כללי מדיניות ההרשאה (שנקראו בעבר כללי מדיניות של IAM) מאפשרים גישה למשאבים ומוחלים על קבוצות על סמך תפקיד. המשתמשים מתווספים לקבוצות המתאימות כדי לקבל גישה לקריאה בלבד למשאבי הבסיס. כל השינויים במשאבי הבסיס נפרסים דרך צינור ה-CI/CD שמשתמש בזהויות של חשבונות שירות עם הרשאות מיוחדות.
  • מנהל המשאבים: כל המשאבים מנוהלים בארגון יחיד, עם היררכיית משאבים של תיקיות שמארגנת את הפרויקטים לפי סביבות. פרויקטים מתויגים במטא נתונים לצורך ניהול, כולל שיוך עלויות.
  • רשת: טופולוגיות של רשתות משתמשות ב-VPC משותף כדי לספק משאבי רשת לעומסי עבודה בכמה אזורים ואזורים, מופרדים לפי סביבה ומנוהלים באופן מרכזי. כל נתיבי הרשת בין מארחים מקומיים, משאבי Google Cloud ברשתות ה-VPC ושירותי Google Cloud הם פרטיים. כברירת מחדל, לא מותרת תעבורה יוצאת אל האינטרנט הציבורי או תעבורה נכנסת ממנו.
  • Cloud Logging: מוגדרים data sinks מצטברים כדי לאסוף יומנים שרלוונטיים לאבטחה ולביקורת בפרויקט מרכזי, לצורך שמירה לטווח ארוך, ניתוח וייצוא למערכות חיצוניות.
  • שירות מדיניות הארגון: אילוצים של מדיניות הארגון מוגדרים כדי למנוע הגדרות שונות שקשורות לסיכון גבוה.
  • Secret Manager: פרויקטים מרכזיים נוצרים עבור צוות שאחראי על ניהול וביקורת של השימוש בסודות רגישים של אפליקציות, כדי לעזור לעמוד בדרישות התאימות.
  • Cloud Key Management Service ‏ (Cloud KMS): פרויקטים מרכזיים נוצרים עבור צוות שאחראי לניהול ולביקורת של מפתחות הצפנה, כדי לעזור לעמוד בדרישות התאימות.
  • Security Command Center: יכולות הזיהוי והניטור של איומים מסופקות באמצעות שילוב של אמצעי בקרה מובנים של אבטחה מ-Security Command Center ופתרונות בהתאמה אישית שמאפשרים לכם לזהות אירועי אבטחה ולהגיב להם.

למידע על חלופות להחלטות החשובות האלה, ראו חלופות.

המאמרים הבאים