我们有严格的安全政策,基于我们的 VPN 网络的使用。我最近加入了该公司,并正在努力加强 GCP 作为我们新的云技术。
然而,我收到的问题通常是基于对 GCP 产品(如 Cloud Run 服务)在互联网上“有点”的担忧。我试图让团队相信 GCP 的安全基础设施是最先进的,不应该过多担心服务会被“入侵”。
无论如何,核心意见是公司希望将与 GCP 网络的连接/通信包含在公司 VPN 网络的边界中。
所以我的问题是 - 如果有办法管理这个? GCP 网络是否有一个全局 IP,我可以为 VPN 网络“列入白名单”,或者这里的方法是什么?
Google Cloud、AWS、Azure 等在设计上具有非常好的安全功能。关键是您了解如何实施良好的安全性。回答您关于一个全球 IP 的问题 - Google Cloud 是一项全球服务,由数百万个服务、前端、端点等组成。在赛车时代,使用 IP 地址作为安全工具是一匹马和一辆马车。
研究如何在zero trust environment 中执行身份验证和授权。 VPN 仍然很重要,但使用旧版 VPN 功能会妨碍云中的强大安全性。
必须根据具体情况考虑 Cloud Run 等单个服务的安全性。 Cloud Run 是一项公共服务。通过添加无服务器连接器等功能,您可以将 Cloud Run 配置为私有且只能通过您的 VPN 访问。
【讨论】:
https://cloud.google.com/vpc/docs/configure-serverless-vpc-access 这应该有助于 VPN 访问组件。
如果您想将私有、零信任连接直接嵌入在 GCP 无服务器中运行的应用程序中,那么您可以从 OpenZiti 项目中嵌入一个 SDK。这也完全取代了 VPN、堡垒等。https://openziti.github.io/ziti/overview.html
【讨论】: