🔵 Security & Compliance
Cloud Armor, VPC Service Controls, Security Command Center, BeyondCorp
🛡️ Cloud Armor
Защита от DDoS и WAF (Web Application Firewall) — совместно с HTTP(S) Load Balancer. Security policies: правила allow/deny, IP geo-блокировка, ограничение частоты запросов. Managed protection rules: OWASP Top 10 (SQL injection, XSS). Cloud Armor Adaptive Protection — обнаружение DDoS на основе ML. Уровни Standard и Plus.
🔒 VPC Service Controls
Service Perimeter — виртуальная граница вокруг сервисов GCP (BigQuery, Cloud Storage, GCR). Доступ извне периметра заблокирован. Access levels — условный доступ (IP, устройство, геолокация). Предотвращение утечки данных. Для группы проектов GCP.
🔭 Security Command Center (SCC)
Управление состоянием безопасности GCP. Findings: неправильные конфигурации, уязвимости, угрозы. Asset inventory — все ресурсы GCP. Standard tier: базовые находки. Premium tier: обнаружение угроз (Event Threat Detection, Container Threat Detection), отчёты о соответствии (PCI, HIPAA). На уровне организации.
🌐 BeyondCorp Enterprise & Identity
BeyondCorp — модель доступа Zero Trust. Не VPN, а контекстный доступ: кто (identity), с какого устройства (device), откуда (location). Identity-Aware Proxy (IAP) — доступ к приложениям через Google identity. Cloud Identity — управляемый провайдер идентификации (пользователь/группа/устройство). Workforce Identity Federation — интеграция с локальным IdP.
📊 Сервисы безопасности GCP
| Сервис | Защита | Уровень |
|---|---|---|
| Cloud Armor | DDoS, WAF, rate limit | Network/App (Layer 3-7) |
| VPC Service Controls | Service perimeter, data exfil | API/Service level |
| IAP | Identity-based app access | Application level |
| SCC | Posture, threats, compliance | Organization level |
| Cloud KMS | Encryption key management | Data level |
💡 Ключевые моменты
- Cloud Armor: DDoS + WAF, совместно с HTTP(S) LB
- VPC Service Controls: service perimeter, предотвращение утечки данных
- SCC: состояние безопасности, неправильные конфигурации, обнаружение угроз
- IAP: не VPN, доступ к приложениям на основе identity
- BeyondCorp: Zero Trust — identity + device + context
🎯 Советы для экзамена
- Cloud Armor — работает только с HTTP(S) LB, не поддерживается с TCP/UDP LB
- VPC Service Controls ≠ VPC firewall — это периметр на уровне API-сервисов; оба используются совместно
- IAP — ключевое слово «вместо VPN»: доступ к приложениям GCE/GKE через браузер с Google identity
- SCC Premium — обнаружение угроз (вредоносное ПО, криптомайнинг, брутфорс)
- BeyondCorp Enterprise = внутренняя система Zero Trust от Google, представленная как коммерческий продукт
⚠️ Частые ошибки
- Путать VPC Service Controls с VPC Firewall: Firewall=сетевой трафик, Service Controls=доступ к GCP API
- Считать, что Cloud Armor работает со всеми LB — только с Global HTTP(S) External LB
- Считать IAP аналогом VPN — IAP не является VPN, это прокси на уровне приложения на основе identity
🧠 Для запоминания: «AVIS» = Armor (DDoS/WAF), VPC Service Controls (периметр), IAP (identity proxy), SCC (состояние безопасности) — 4 основных уровня безопасности GCP
Проверьте себя по теме «Security & Compliance»
Бесплатные интерактивные тесты, пробный экзамен и полные уроки — на платформе CertMaster.
Начать бесплатно →