Google ha pubblicato un white paper su BeyondProd, che spiega il modello utilizzato dall’azienda per implementare la sicurezza nativa del cloud sulla propria architettura.
Si tratta di un white paper che Google ha voluto condividere con le molte organizzazioni che stanno cercando di adottare architetture native del cloud, i cui team di sicurezza possono trovare spunti utili leggendo come la società di Mountain View ha protetto la propria architettura, e magari semplificare l’adozione di un modello di sicurezza simile.
BeyondProd, spiega Google, è un nuovo approccio alla sicurezza nativa del cloud.
I moderni approcci alla sicurezza, evidenzia l’azienda, hanno superato il tradizionale modello basato sul perimetro, in cui un “muro” protegge il perimetro e tutti gli utenti o servizi al suo interno sono pienamente trusted.
In un ambiente nativo del cloud, il perimetro della rete deve ancora essere protetto, ma questo modello di sicurezza non è sufficiente: se un firewall non è in grado di proteggere del tutto un corporate network, tanto meno può proteggere completamente un production network.
Nel 2014 Google ha introdotto BeyondCorp, un modello di sicurezza del network per gli utenti che accedono alla rete aziendale. BeyondCorp applicava i principi di “zero trust” per definire l’accesso alla rete aziendale.
Allo stesso tempo, Google ha applicato questi principi anche al modo in cui venivano connesse le macchine, i workload e i servizi.
BeyondProd è in qualche modo l’evoluzione di BeyondCorp. In BeyondProd Google ha sviluppato e ottimizzato una serie di principi di sicurezza. Per prima cosa, la protezione della rete sull’edge. Poi, nessun mutual trust reciproco tra i servizi e macchine trusted che eseguono codice con provenienza nota.
Poi, ancora: choke point per un’applicazione coerente delle policy tra i servizi, ad esempio per garantire l’accesso autorizzato ai dati; rollout delle modifiche semplice, automatizzato e standardizzato e isolamento tra carichi di lavoro.
BeyondProd applica una serie di controlli che fanno sì che i container e i microservizi in esecuzione al loro interno possano essere distribuiti, comunicare tra loro ed essere eseguiti uno accanto all’altro, in modo sicuro, senza gravare i singoli sviluppatori di microservizi con i dettagli relativi alla sicurezza e alla implementazione dell’infrastruttura sottostante.
Maggiori informazioni su questo approccio di sicurezza nativa del cloud sono disponibili nel whitepaper su BeyondProd di Google.
