Halaman ini diterjemahkan oleh Cloud Translation API.

Blueprint dasar-dasar perusahaan

Last reviewed 2023-12-20 UTC

Konten ini terakhir diperbarui pada Desember 2023, dan menampilkan status quo pada saat konten tersebut ditulis. Kebijakan dan sistem keamanan Google dapat berubah di masa mendatang, seiring upaya kami untuk terus meningkatkan perlindungan bagi pelanggan.

Dokumen ini menjelaskan praktik terbaik yang memungkinkan Anda men-deploy kumpulan resource dasar di Google Cloud. Fondasi cloud adalah dasar dari resource, konfigurasi, dan kemampuan yang memungkinkan perusahaan mengadopsi Google Cloud untuk kebutuhan bisnis mereka. Fondasi yang dirancang dengan baik memungkinkan pemerintahan, kontrol keamanan, skala, visibilitas, dan akses yang konsisten ke layanan bersama di semua workload di lingkungan Google Cloud Anda. Setelah men-deploy kontrol dan tata kelola yang dijelaskan dalam dokumen ini, Anda dapat men-deploy workload ke Google Cloud.

Blueprint fondasi perusahaan (sebelumnya dikenal sebagai blueprint fondasi keamanan) ditujukan untuk arsitek, praktisi keamanan, dan tim engineering platform yang bertanggung jawab untuk mendesain lingkungan siap perusahaan di Google Cloud. Cetak biru ini terdiri dari hal-hal berikut:

Repositori GitHub terraform-example-foundation yang berisi aset Terraform yang dapat di-deploy.
Panduan yang menjelaskan arsitektur, desain, dan kontrol yang Anda terapkan dengan blueprint (dokumen ini).

Anda dapat menggunakan panduan ini dengan salah satu dari dua cara berikut:

Untuk membuat fondasi lengkap berdasarkan praktik terbaik Google. Anda dapat men-deploy semua rekomendasi dari panduan ini sebagai titik awal, lalu menyesuaikan lingkungan untuk memenuhi persyaratan khusus bisnis Anda.
Untuk meninjau lingkungan yang ada di Google Cloud. Anda dapat membandingkan komponen tertentu dari desain Anda dengan praktik terbaik yang direkomendasikan Google.

Kasus penggunaan yang didukung

Blueprint fondasi perusahaan menyediakan lapisan dasar resource dan konfigurasi yang membantu mengaktifkan semua jenis workload di Google Cloud. Baik Anda memigrasikan workload komputasi yang ada ke Google Cloud, mem-build aplikasi web dalam penampung, atau membuat big data dan workload machine learning, blueprint fondasi perusahaan membantu Anda membangun lingkungan untuk mendukung workload perusahaan dalam skala besar.

Setelah men-deploy blueprint fondasi perusahaan, Anda dapat men-deploy workload secara langsung atau men-deploy blueprint tambahan untuk mendukung workload kompleks yang memerlukan kemampuan tambahan.

Model keamanan defense-in-depth

Layanan Google Cloud mendapatkan manfaat dari desain keamanan infrastruktur Google yang mendasarinya. Anda bertanggung jawab untuk mendesain keamanan ke dalam sistem yang Anda build di atas Google Cloud. Enterprise Foundation Blueprint membantu Anda menerapkan model keamanan defense-in-depth untuk layanan dan workload Google Cloud Anda.

Diagram berikut menunjukkan model keamanan defense-in-depth untuk organisasi Google Cloud Anda yang menggabungkan kontrol arsitektur, kontrol kebijakan, dan kontrol detektif.

Model keamanan defense in depth.

Diagram ini menjelaskan kontrol berikut:

Kontrol kebijakan adalah batasan terprogram yang menerapkan konfigurasi resource yang dapat diterima dan mencegah konfigurasi berisiko. Blueprint ini menggunakan kombinasi kontrol kebijakan, termasuk validasi infrastruktur sebagai kode (IaC) dalam pipeline dan batasan kebijakan organisasi Anda.
Kontrol arsitektur adalah konfigurasi resource Google Cloud seperti jaringan dan hierarki resource. Arsitektur blueprint didasarkan pada praktik terbaik keamanan.
Kontrol detektif memungkinkan Anda mendeteksi perilaku anomali atau berbahaya dalam organisasi. Blueprint ini menggunakan fitur platform seperti Security Command Center, terintegrasi dengan kontrol dan alur kerja detektif yang ada seperti pusat operasi keamanan (SOC), serta menyediakan kemampuan untuk menerapkan kontrol detektif kustom.

Keputusan penting

Bagian ini merangkum keputusan arsitektur tingkat tinggi dari blueprint.

Layanan Google Cloud utama dalam blueprint.

Diagram ini menjelaskan kontribusi layanan Google Cloud terhadap keputusan arsitektur utama:

Cloud Build: Resource infrastruktur dikelola menggunakan model GitOps. IaC deklaratif ditulis di Terraform dan dikelola dalam sistem kontrol versi untuk peninjauan dan persetujuan, dan resource di-deploy menggunakan Cloud Build sebagai alat otomatisasi continuous integration dan continuous deployment (CI/CD). Pipeline ini juga menerapkan pemeriksaan kebijakan sebagai kode untuk memvalidasi bahwa resource memenuhi konfigurasi yang diharapkan sebelum deployment.
Cloud Identity: Pengguna dan keanggotaan grup disinkronkan dari penyedia identitas yang ada. Kontrol untuk pengelolaan siklus proses akun pengguna dan single sign-on (SSO) bergantung pada kontrol dan proses yang ada dari penyedia identitas Anda.
Identity and Access Management (IAM): Kebijakan izinkan (sebelumnya dikenal sebagai kebijakan IAM) mengizinkan akses ke resource dan diterapkan ke grup berdasarkan fungsi tugas. Pengguna ditambahkan ke grup yang sesuai untuk menerima akses hanya lihat ke resource foundation. Semua perubahan pada resource dasar di-deploy melalui pipeline CI/CD yang menggunakan identitas akun layanan dengan hak istimewa.
Resource Manager: Semua resource dikelola dalam satu organisasi, dengan hierarki resource folder yang mengatur project menurut lingkungan. Project diberi label dengan metadata untuk tata kelola, termasuk atribusi biaya.
Jaringan: Topologi jaringan menggunakan VPC Bersama untuk menyediakan resource jaringan bagi workload di beberapa region dan zona, yang dipisahkan menurut lingkungan, dan dikelola secara terpusat. Semua jalur jaringan antara host lokal, resource Google Cloud di jaringan VPC, dan layanan Google Cloud bersifat pribadi. Tidak ada traffic keluar ke atau traffic masuk dari internet publik yang diizinkan secara default.
Cloud Logging: Sink log gabungan dikonfigurasi untuk mengumpulkan log yang relevan untuk keamanan dan audit ke dalam project terpusat untuk retensi, analisis, dan ekspor jangka panjang ke sistem eksternal.
Layanan Kebijakan Organisasi: Batasan kebijakan organisasi dikonfigurasi untuk mencegah berbagai konfigurasi berisiko tinggi.
Secret Manager: Project terpusat dibuat untuk tim yang bertanggung jawab mengelola dan mengaudit penggunaan secret aplikasi sensitif untuk membantu memenuhi persyaratan kepatuhan.
Cloud Key Management Service (Cloud KMS): Project terpusat dibuat untuk tim yang bertanggung jawab mengelola dan mengaudit kunci enkripsi untuk membantu memenuhi persyaratan kepatuhan.
Security Command Center: Kemampuan pemantauan dan deteksi ancaman disediakan menggunakan kombinasi kontrol keamanan bawaan dari Security Command Center dan solusi kustom yang memungkinkan Anda mendeteksi dan merespons peristiwa keamanan.

Untuk alternatif keputusan utama ini, lihat alternatif.

Langkah selanjutnya

Baca tentang autentikasi dan otorisasi (dokumen berikutnya dalam rangkaian ini).