[GCP]GCP Product cheat sheets - Networking, Identity and Security, etc.

Networking

VPC Service Controls

• Security perimeters(보안,경계) for API-based services
• VPC 서비스 제어를 사용하면 Cloud Storage 및 BigQuery와 같은 Google Cloud 서비스에서 데이터 무단 반출 위험을 완화할 수 있습니다. VPC 서비스 제어를 사용하여 명시적으로 지정한 서비스의 리소스와 데이터를 보호하는 경계를 만들 수 있습니다.
• VPC Service Controls protects data, and Cloud Shell facilitates rapid iteration of Google Cloud architecture changes.
• Create a service perimeter around only the projects that handle sensitive data, and do not grant your developers access to it.

Cloud Load balancing

• URL 기반 라우팅을 사용하여 새 고객의 트래픽을 최신 버전으로 라우팅하고 다른 고객을 이전 버전으로 라우팅할 수 있다.
• SSL Proxy balancer
  • TCP LB
• HTTP(s) Load Balancer
  • use URL Map

Premium

• High performance
• low latency
• Global Load Balancing
• Cloud CDN

Standard

• Low cost
• use public internet instead of Google network

Partner Interconnect

• Allow the customer to lower latency by connecting directly to a partnerr network that is directly connected to Google
• Allow the customer to use the lower bandwidth interfaces that they have on thier current firewall

Dedicated Interconnect

• It need to buy new hardware to get a 10 GB interface for their firewall
• 전용선
• GCP - On prem의 연결을 위해 사용
• 99.9 % 가용성
  • 4개 이상의 Interconnect 연결, 2개의 권역, 서로 다른 Edge

VPN

• Each VPN has a max 3Gbps speed and you can create multiple VPN tunnels to increas bandwidth
• 여러 지역에서 사용할 수 있는 VPN 게이트웨이를 제공하지 않는다
• 2 types of VPN Gateway
  • HA VPN
  • Classic VPN

Serverless NEG

• 전역 외부 HTTP(S) 부하 분산기: Cloud Run ,App Engine, Cloud Functions만 지원됩니다.
• 리전 외부 HTTP(S) 부하 분산기(미리보기): Cloud Run만 지원됩니다.
• 내부 HTTP(S) 부하 분산기(미리보기): Cloud Run만 지원됩니다.

Cloud CDN

• Does not handel header Cache-Region. So there is no point in using any such header.
• By default, Cloud CDN uses the complete request URL to build the cache key. For performance and scalability, it’s important to optimize cache hit ratio. To help optimize your cache hit ratio, you can use custom cache keys .
• low latency delivery

Subnet

• 서브넷의 기본 및 보조 범위는 할당된 범위, 같은 네트워크에 있는 다른 서브넷의 모든 기본 또는 보조 범위, 피어링된 네트워크에 있는 서브넷의 모든 IPv4 범위와 겹칠 수 없습니다.
• Cloud VPN, Dedicated Interconnect, Partner Interconnect를 사용하여 VPC 네트워크를 다른 네트워크에 연결한 경우 기본 및 보조 범위는 온프레미스 IP 범위와 충돌할 수 없습니다.

Cloud Armor

Identity and Security

Secrets Management

• you can create and control access to secrets. You improve security with secrets management and principles of least privilege
• you can encrypt, store, secure, and manage secrets on Google Cloud with the tools you already know

DLP(Cloud Data Loss Prevention)

• Cloud DLP provides tools to classify, mask, tokenize, and transform sensitive elements to help you better manage the data that you collect, store, or use for business or analytics.

PKI(Public Key Infrastructure)

• for the server to authenticate the user and for the user to authenticate the server. And this is only possible with PKI. It's the TLS handshake that makes PKI possible

Google Cloud Security Best Practices Center

• Ensure that you aren’t running privileged containers.
• Ensure that you are using the native logging mechanisms.

Cloud IAM

BAA(Business Associate Agreement)

• How can you ensure that use of Google Cloud for health care industry will comply with an upcoming privacy compliance audit?

Cloud KMS(Key Management Service)

• Hosted key management service
• KMS를 사용하면 하나의 중앙 집중식 클라우드 서비스에서 암호화 키를 만들고 가져오고 관리할 수 있으며 암호화 작업을 수행할 수 있습니다.
• Cloud KMS를 직접 사용하거나, Cloud HSM 또는 Cloud 외부 키 관리자를 사용하거나, 다른 Google Cloud 서비스 내에서 고객 관리 암호화 키(Customer-Managed Encryption Keys-CMEK) 통합을 사용하여 이러한 키를 사용하고 작업을 수행할 수 있습니다.

Identity-Aware Proxy - (IAP)

• Identity-based app access
• ID와 컨텍스트를 사용하여 애플리케이션 및 VM에 대한 액세스를 보호합니다.

SAML

• 외부 공급자 federated authentication ID 인증을 위한 업계 표준 프로토콜
• When you can not store any information in Google Cloud, Use federated authentication by using SAML to authenticate users from on-premises identity provider.

OAuth2.0

• industry standard protocol for delegated(위임하다) authorization.

Two way asymmetric key encryption

• encrypt all messages from both side of communication.

PCI(Payment Card Industry) DSS(Data Security Standard)

• What is the recommended approach for sanitizing this data of personally identifiable information or payment card information before initial storage?
  • De-identify the data with the Cloud Data Loss Prevention API
• PCI(Payment Card Industry) DSS(Data Security Standard)는 신용 카드 데이터에 대한 통제를 강화하여 사기를 방지하도록 고안된 글로벌 정보 보안 표준입니다.
• Create a tokenizer service and store only tokenized data
• GCP LIST https://cloud.google.com/security/compliance/pci-dss

AI / ML

Cloud Data Loss Prevention

• 가장 민감한 정보를 찾고, 분류하고, 보호하기 위해 설계된 완전 관리형 서비스입니다.

Operations and Monitoring

Cloud Trace

• 프로덕션 환경에서 성능 속도가 저하된 부분을 찾습니다.

API Platform and Ecosystems

Cloud IoT Core

• Manage devices, ingest data

배경지식

AES256

• 암호화 방법

RFC1918

• 지정된 IP주소를 사설망으로 규정하고 해당 IP 주소들은 공인망으로 사용하지 않는다.
  • 국제 인터넷 표준화 기구에서 공포한 표준

HIPAA(Health Insurance Portability and Accountability Act)

SLO(Service-Level Objectives)

• 시스템에서 기대되는 가용성을 설정한 목표
• Point: Clearly defines and how to measure them
• Define one SLO as 99% HTTP requests return the 2xx status code. Define the other SLO as 99% requests return within 100 ms.

SLI(Service-Level Indicators)

• 시스템의 가용성을 파악하기 위한 핵심 측정치와 지표
• SLI는 SLO에서 정한 가용성이 지켜진 비율을 측정

SLA(Service-Level Agreements)

• 시스템이 SLO를 충족하지 못할 경우 발생하는 상황과 합의된 내용을 설명하는 법적 계약
• SLO와 고객과 서비스 공급업체가 합의한 기타 SLO와 적용되는 서비스 범위, 그리고 성능을 측정하는 데 사용되는 메트릭인 SLI가 모두 포함됩니다.

ACID

트랜잭션이 안전하게 수행된다는 것을 보장하기 위한 설징

https://cloud.google.com/resource-manager/docs/creating-managing-folders