In een nieuwe whitepaper doet Google uit de doeken hoe het zijn cloud-native architectuur veilig houdt binnen de organisatie. Dit soort whitepapers van Google zijn interessant, omdat ze in het verleden al vaker als inspiratiebron dienden voor start-ups en andere bedrijven.
Het nieuwe framework werd BeyondProd gedoopt, wat meteen aangeeft dat het een aanvulling is op BeyondCorp, het zero-trustsysteem dat Google enkele jaren geleden introduceerde voor de beveiliging van netwerktoegang.
BeyondCorp richtte zich op een verschuiving van VPN’s en firewalls om de netwerkperimeter te beschermen, naar het controleren van de toegang van individuele gebruikers en toestellen binnen het netwerk. BeyondProd gaat over een gelijkaardige zero-trustaanpak, maar dan voor de toegang tot machines, workloads en services in een cloud-native omgeving.
Cloud-native architectuur
Googles cloud-native infrastructuur draait nagenoeg uitsluitend op softwarecontainers die worden beheerd door Borg, de voorganger van wat uiteindelijk is uitgegroeid tot de populaire orchestratietool Kubernetes.
In die cloud-native omgeving staan microservices centraal. Microservices zijn componenten van applicaties, die draaien in containers. Het idee is om een grote workload in kleinere delen op te splitsen, die eenvoudiger te beheren zijn. Dat vraagt evenwel ook een andere security-aanpak, meent Google.
“In een cloud-native omgeving moet de netwerkperimeter nog steeds worden beschermd, maar dit beveiligingsmodel is niet voldoende. Als een firewall een bedrijfsnetwerk niet volledig kan beschermen, kan het een productienetwerk ook niet volledig beschermen”, schrijven Maya Kaczorowski, Product Manager Container Security, en Brandon Baker, Horizontal Lead Cloud Security, in een blogpost.
Zero-trustprincipes
BeyondProd is daarom net als BeyondCorp gebaseerd op het principe van zero-trust. Dat steunt op het idee dat er geen inherent wederzijds vertrouwen tussen services bestaat en dat workloads altijd van elkaar geïsoleerd moeten zijn.
“BeyondProd past concepten toe zoals wederzijds geverifieerde service-endpoints, transport security, edge termination met globale load-balancing en denial of service-beveiliging, end-to-end code provenance en runtime sandboxing”, aldus Kaczorowski en Baker.
Door die principes toe te passen verzekert het BeyondProd-framework dat containers en microservices op een veilige manier kunnen worden geïmplementeerd en met elkaar communiceren.
Individuele applicaties overstijgen
Bovendien haalt het de zorg voor de implementatie van security weg bij de app-ontwikkelaar. “Beveiligingsfunctionaliteit vereist weinig tot geen integratie in elke afzonderlijke toepassing en wordt in plaats daarvan geleverd als een fabric die alle microservices omhult en verbindt”, besluiten Kaczorowski en Baker.
Net als het geval was met BeyondCorp, hoopt Google dat andere bedrijven ook het BeyondProd-framework voor de beveiliging van cloud-native omgevingen zullen overnemen.
Google benadrukt dat veel van de noodzakelijke componenten reeds beschikbaar zijn via Google Kubernetes Engine en zijn hybride cloudplatform Anthos.