תוכנית בסיסית ל-Enterprise

Last reviewed 2025-05-15 UTC

במסמך הזה מתוארות שיטות מומלצות לפריסת קבוצה בסיסית של משאבים ב- Google Cloud. תשתית ענן היא בסיס של משאבים, הגדרות ויכולות שמאפשרים לחברות לאמץ אתGoogle Cloud לצרכים העסקיים שלהן. בסיס מתוכנן היטב מאפשר ניהול עקבי, אמצעי אבטחה, התאמה לעומס, שקיפות וגישה לשירותים משותפים בכל עומסי העבודה בסביבת Google Cloud . אחרי שמטמיעים את אמצעי הבקרה והניהול שמתוארים במסמך הזה, אפשר להטמיע עומסי עבודה ב- Google Cloud.

התוכנית לניהול יסודות האבטחה בארגון (לשעבר התוכנית לניהול יסודות האבטחה) מיועדת לאדריכלים, למומחי אבטחה ולצוותי הנדסת פלטפורמות שאחראים על תכנון סביבה מוכנה לארגון ב- Google Cloud. התוכנית הזו כוללת את הפריטים הבאים:

  • מאגר GitHub של terraform-example-foundation שמכיל את נכסי Terraform שניתנים לפריסה.
  • מדריך שמתאר את הארכיטקטורה, העיצוב ואמצעי הבקרה שאתם מטמיעים באמצעות תוכנית הפעולה (המסמך הזה).

אפשר להשתמש במדריך הזה בשתי דרכים:

  • כדי ליצור בסיס מלא על סמך השיטות המומלצות של Google. אתם יכולים להטמיע את כל ההמלצות במדריך הזה כנקודת התחלה, ואז להתאים אישית את הסביבה כדי לעמוד בדרישות הספציפיות של העסק שלכם.
  • כדי לבדוק סביבה קיימת ב- Google Cloud. אתם יכולים להשוות בין רכיבים ספציפיים של העיצוב לבין שיטות מומלצות של Google.

תרחישים נתמכים

תוכנית הבסיס לארגונים מספקת שכבת בסיס של משאבים והגדרות שעוזרות להפעיל את כל סוגי עומסי העבודה ב- Google Cloud. בין שאתם מעבירים עומסי עבודה קיימים של מחשוב ל- Google Cloud, בונים אפליקציות אינטרנט מבוססות-קונטיינרים או יוצרים עומסי עבודה של נתונים גדולים ולמידת מכונה, תוכנית הבסיס לארגונים עוזרת לכם לבנות את הסביבה שלכם כדי לתמוך בעומסי עבודה ארגוניים בהיקף גדול.

אחרי שמפעילים את תוכנית הבסיס של Enterprise, אפשר להפעיל עומסי עבודה ישירות או להפעיל תוכניות נוספות כדי לתמוך בעומסי עבודה מורכבים שדורשים יכולות נוספות.

מודל אבטחה של הגנה לעומק

Google Cloud השירותים נהנים מתכנון האבטחה בתשתית של Google. באחריותכם לתכנן אבטחה במערכות שאתם בונים על גבי Google Cloud. התוכנית של Enterprise Foundation עוזרת לכם להטמיע מודל אבטחה של הגנה לעומק בשביל שירותי Google Cloud ועומסי העבודה שלכם.

בתרשים הבא מוצג מודל אבטחה של הגנה לעומק לארגוןGoogle Cloud שמשלב אמצעי בקרה של ארכיטקטורה, אמצעי בקרה של מדיניות ואמצעי בקרה של זיהוי.

מודל האבטחה 'הגנה לעומק'.

בתרשים מתוארים אמצעי הבקרה הבאים:

  • אמצעי בקרה של מדיניות הם אילוצים תוכנתיים שמבטיחים תצורות מקובלות של משאבים ומונעים תצורות מסוכנות. התוכנית משתמשת בשילוב של אמצעי בקרה על מדיניות, כולל אימות של תשתית כקוד (IaC) בצינור ובאילוצים של מדיניות הארגון.
  • אמצעי בקרה על הארכיטקטורה הם ההגדרות של משאבי Google Cloudכמו רשתות והיררכיית משאבים. ארכיטקטורת התוכנית מבוססת על שיטות מומלצות לאבטחה.
  • אמצעי בקרה לזיהוי מאפשרים לזהות התנהגות חריגה או זדונית בארגון. התוכנית משתמשת בתכונות של הפלטפורמה כמו Security Command Center, משתלבת עם אמצעי הבקרה הקיימים שלכם לזיהוי איומים ועם תהליכי עבודה כמו מרכז פעולות אבטחה (SOC), ומספקת יכולות לאכיפה של אמצעי בקרה מותאמים לזיהוי איומים.

החלטות חשובות

בקטע הזה מופיע סיכום של ההחלטות הארכיטקטוניות ברמה הגבוהה של התוכנית.

שירותי מפתח בתוכנית.

בתרשים מוסבר איך Google Cloud השירותים תורמים להחלטות ארכיטקטוניות חשובות:

  • Cloud Build: משאבי התשתית מנוהלים באמצעות מודל GitOps. תשתית כקוד (IaC) דקלרטיבית נכתבת ב-Terraform ומנוהלת במערכת לניהול גרסאות לצורך בדיקה ואישור. המשאבים נפרסים באמצעות Cloud Build ככלי אוטומציה של אינטגרציה רציפה ופריסה רציפה (CI/CD). בנוסף, צינור עיבוד הנתונים אוכף בדיקות של מדיניות כקוד כדי לוודא שהמשאבים עומדים בהגדרות הצפויות לפני הפריסה.
  • Cloud Identity: המשתמשים והחברות בקבוצות מסונכרנים מספק הזהויות הקיים. אמצעי הבקרה לניהול מחזור החיים של חשבונות משתמשים וכניסה יחידה (SSO) מסתמכים על אמצעי הבקרה והתהליכים הקיימים של ספק הזהויות שלכם.
  • ניהול זהויות והרשאות גישה (IAM): כללי מדיניות ההרשאה (שנקראו בעבר כללי מדיניות IAM) מאפשרים גישה למשאבים ומוחלים על קבוצות על סמך תפקיד. המשתמשים נוספים לקבוצות המתאימות כדי לקבל גישה לקריאה בלבד למשאבי התשתית. כל השינויים במשאבי הבסיס נפרסים דרך צינור ה-CI/CD שמשתמש בזהויות של חשבונות שירות עם הרשאות.
  • מנהל המשאבים: כל המשאבים מנוהלים בארגון יחיד, עם היררכיית משאבים של תיקיות שמארגנת את הפרויקטים לפי סביבות. פרויקטים מתויגים במטא נתונים לצורך ניהול, כולל שיוך עלויות.
  • Networking: טופולוגיות רשת משתמשות ב-VPC משותף כדי לספק משאבי רשת לעומסי עבודה בכמה אזורים ואזורים, מופרדים לפי סביבה ומנוהלים באופן מרכזי. כל נתיבי הרשת בין המארחים המקומיים, Google Cloud המשאבים ברשתות ה-VPC ו Google Cloud השירותים הם פרטיים. כברירת מחדל, לא מותרת תעבורת נתונים יוצאת אל האינטרנט הציבורי או תעבורת נתונים נכנסת ממנו.
  • Cloud Logging: מוגדרים יעד ליומנים מצטברים כדי לאסוף יומנים שרלוונטיים לאבטחה ולביקורת בפרויקט מרכזי לצורך שמירה לטווח ארוך, ניתוח וייצוא למערכות חיצוניות.
  • שירות מדיניות הארגון: אילוצים של מדיניות הארגון מוגדרים כדי למנוע הגדרות שונות שקשורות לסיכון גבוה.
  • Secret Manager: פרויקטים מרכזיים נוצרים עבור צוות שאחראי על ניהול השימוש בסודות רגישים של אפליקציות ועל ביקורת שלו, כדי לעמוד בדרישות התאימות.
  • Cloud Key Management Service ‏ (Cloud KMS): פרויקטים מרכזיים נוצרים עבור צוות שאחראי לניהול ולביקורת של מפתחות הצפנה, כדי לעזור לעמוד בדרישות התאימות.
  • Security Command Center: יכולות הזיהוי והניטור של איומים מסופקות באמצעות שילוב של אמצעי בקרה מובנים של אבטחה מ-Security Command Center ופתרונות בהתאמה אישית שמאפשרים לכם לזהות אירועי אבטחה ולהגיב להם.

למידע על חלופות להחלטות החשובות האלה, ראו חלופות.

המאמרים הבאים