Keamanan jaringan untuk aplikasi terdistribusi di Cross-Cloud Network

Dokumen ini adalah bagian dari rangkaian panduan desain untuk Jaringan Lintas Cloud. Bagian ini membahas lapisan keamanan jaringan.

Rangkaian ini terdiri dari bagian berikut:

• Cross-Cloud Network untuk aplikasi terdistribusi
• Segmentasi dan konektivitas jaringan untuk aplikasi terdistribusi di Cross-Cloud Network
• Jaringan layanan untuk aplikasi terdistribusi di Jaringan Lintas Cloud
• Keamanan jaringan untuk aplikasi terdistribusi di Cross-Cloud Network (dokumen ini)

Platform keamanan

Saat mendesain lapisan keamanan untuk Jaringan Lintas Cloud, Anda harus mempertimbangkan platform keamanan berikut:

• Keamanan beban kerja
• Keamanan perimeter domain

Keamanan workload mengontrol komunikasi antar-workload di seluruh dan dalam Virtual Private Cloud (VPC). Keamanan workload menggunakan titik penerapan keamanan yang dekat dengan workload dalam arsitektur. Jika memungkinkan, Cross-Cloud Network akan memberikan keamanan workload menggunakan Cloud Next Generation Firewall dari Google Cloud.

Keamanan perimeter diperlukan di semua batas jaringan. Karena perimeter biasanya menghubungkan jaringan yang dikelola oleh organisasi yang berbeda, kontrol keamanan yang lebih ketat sering kali diperlukan. Anda harus memastikan bahwa komunikasi berikut di seluruh jaringan aman:

• Komunikasi di seluruh VPC
• Komunikasi di seluruh koneksi hybrid ke penyedia cloud lain atau pusat data lokal
• Komunikasi ke internet

Kemampuan untuk menyisipkan virtual appliance (NVA) jaringan pihak ketiga dalam lingkungan Google Cloud sangat penting untuk memenuhi persyaratan keamanan perimeter di seluruh koneksi hybrid.

Keamanan workload di cloud

Gunakan kebijakan firewall di Google Cloud untuk mengamankan workload dan memberikan kemampuan firewall stateful yang skalabel secara horizontal dan diterapkan ke setiap instance VM. Sifat terdistribusi firewall Google Cloud membantu Anda menerapkan kebijakan keamanan untuk segmentasi mikro jaringan tanpa memengaruhi performa workload Anda secara negatif.

Gunakan Kebijakan firewall hierarkis untuk meningkatkan kemampuan pengelolaan dan menerapkan kepatuhan postur untuk kebijakan firewall Anda. Kebijakan firewall hierarkis memungkinkan Anda membuat dan menerapkan kebijakan firewall yang konsisten di seluruh organisasi. Anda dapat menetapkan kebijakan firewall Hierarkis ke organisasi atau ke folder individual. Selain itu, aturan kebijakan firewall Hierarkis dapat mendelegasikan evaluasi ke kebijakan tingkat rendah (kebijakan firewall jaringan global atau regional) dengan tindakan goto_next.

Aturan tingkat yang lebih rendah tidak dapat mengganti aturan dari tingkat yang lebih tinggi dalam hierarki resource. Struktur aturan ini memungkinkan administrator di seluruh organisasi mengelola aturan firewall wajib di satu tempat. Kasus penggunaan umum untuk kebijakan Firewall hierarkis mencakup akses host bastion organisasi atau multi-project, yang mengizinkan sistem pemeriksaan kesehatan atau probing terpusat, dan menerapkan batas jaringan virtual di seluruh organisasi atau grup project. Untuk contoh tambahan penggunaan Kebijakan firewall hierarkis, lihat Contoh kebijakan firewall hierarkis.

Gunakan kebijakan firewall jaringan global dan regional untuk menentukan aturan berdasarkan setiap jaringan VPC, baik untuk semua region jaringan (global) maupun satu region (regional).

Untuk mendapatkan kontrol yang lebih terperinci yang diterapkan di tingkat virtual machine (VM), sebaiknya Anda menggunakan tag yang diatur Identity and Access Management (IAM) di tingkat organisasi atau project. Tag yang diatur IAM memungkinkan penerapan aturan firewall berdasarkan identitas host workload, bukan alamat IP host, dan berfungsi di seluruh VPC Network Peering. Aturan firewall yang di-deploy menggunakan tag dapat memberikan mikrosegmentasi intra-subnet dengan cakupan kebijakan yang otomatis diterapkan ke workload di mana pun di-deploy, terlepas dari arsitektur jaringan.

Selain kemampuan pemeriksaan stateful dan dukungan tag, Cloud Next Generation Firewall juga mendukung pemfilteran Kecerdasan Ancaman, FQDN, dan geolokasi.

Sebaiknya migrasikan dari aturan firewall VPC ke kebijakan firewall. Untuk membantu migrasi, gunakan alat migrasi, yang membuat kebijakan firewall jaringan global dan mengonversi aturan firewall VPC yang ada menjadi kebijakan baru.

Keamanan perimeter di cloud

Dalam lingkungan jaringan multi-cloud, keamanan perimeter biasanya diterapkan di setiap jaringan. Misalnya, jaringan on-premise memiliki kumpulan firewall perimeternya sendiri, sedangkan setiap jaringan cloud menerapkan firewall perimeter terpisah.

Karena Cross-Cloud Network dirancang untuk menjadi hub bagi semua komunikasi, Anda dapat menyatukan dan memusatkan kontrol keamanan perimeter serta men-deploy satu kumpulan firewall perimeter di Cross-Cloud Network. Untuk memberikan stack keamanan perimeter bawaan pilihan, Cross-Cloud Network menyediakan opsi yang fleksibel bagi Anda untuk menyisipkan NVA.

Dalam desain yang ditampilkan dalam diagram, Anda dapat men-deploy NVA pihak ketiga di VPC transit dalam project hub.

NVA dapat di-deploy melalui satu antarmuka jaringan (mode NIC tunggal) atau melalui beberapa antarmuka jaringan di beberapa VPC (mode multi-NIC). Untuk Jaringan Lintas Cloud, sebaiknya gunakan deployment NIC tunggal untuk NVA, karena opsi ini memungkinkan Anda melakukan hal berikut:

• Masukkan NVA dengan rute berbasis kebijakan.
• Hindari membuat topologi yang kaku.
• Men-deploy dalam berbagai topologi antar-VPC.
• Aktifkan penskalaan otomatis untuk NVA.
• Menskalakan ke banyak VPC dari waktu ke waktu, tanpa perubahan yang diperlukan pada deployment antarmuka NVA.

Jika desain Anda memerlukan multi-NIC, rekomendasinya dijelaskan dalam Keamanan perimeter NVA Multi-NIC.

Untuk mencapai pemilihan rute traffic yang diperlukan untuk deployment NVA, panduan ini menyarankan penerapan selektif rute berbasis kebijakan dan statis di tabel pemilihan rute VPC. Rute berbasis kebijakan lebih fleksibel daripada rute standar karena rute berbasis kebijakan cocok dengan informasi sumber dan tujuan. Rute berbasis kebijakan ini juga hanya diterapkan di tempat tertentu dalam topologi jaringan cloud. Tingkat perincian ini memungkinkan definisi perilaku pemilihan traffic yang sangat spesifik untuk alur konektivitas yang sangat spesifik.

Selain itu, desain ini memungkinkan mekanisme ketahanan yang diperlukan oleh NVA. NVA dilindungi oleh load balancer TCP/UDP internal untuk mengaktifkan redundansi NVA, penskalaan otomatis untuk kapasitas elastis, dan simetri aliran untuk mendukung pemrosesan traffic dua arah stateful.

Keamanan perimeter NVA NIC tunggal

Dalam desain yang dijelaskan dalam Konektivitas antar-VPC untuk layanan terpusat, VPC transpor bertindak sebagai hub ke VPC spoke yang terhubung menggunakan Peering Jaringan VPC dan VPN dengan ketersediaan tinggi (HA). VPC transit juga memungkinkan konektivitas antara jaringan eksternal dan VPC spoke.

Untuk tujuan penyisipan NVA NIC tunggal, desain ini menggabungkan dua pola berikut:

• Menyisipkan NVA di hub Peering Jaringan VPC dengan koneksi hybrid eksternal
• Menyisipkan NVA di hub VPC VPN dengan ketersediaan tinggi (HA) dengan koneksi campuran eksternal

Diagram berikut menunjukkan NVA yang disisipkan di hub untuk Peering Jaringan VPC dan VPN dengan ketersediaan tinggi (HA):

Diagram sebelumnya menggambarkan pola gabungan:

• VPC transit yang menghosting lampiran VLAN Cloud Interconnect yang menyediakan konektivitas hybrid atau multi-cloud. VPC ini juga berisi NVA NIC tunggal yang memantau koneksi hybrid.
• VPC aplikasi terhubung ke VPC transit melalui Peering Jaringan VPC.
• VPC layanan pusat yang terhubung ke VPC transit melalui VPN dengan ketersediaan tinggi (HA).

Dalam desain ini, spoke yang terhubung menggunakan VPN dengan ketersediaan tinggi (HA) menggunakan VPC transit untuk berkomunikasi dengan spoke yang terhubung oleh Peering Jaringan VPC. Komunikasi diarahkan melalui firewall NVA pihak ketiga menggunakan kombinasi load balancing passthrough, rute statis, dan rute berbasis kebijakan berikut:

1. Untuk mengarahkan traffic VPN HA ke load balancer internal, terapkan rute berbasis kebijakan yang tidak diberi tag ke VPC Transit. Pada rute berbasis kebijakan ini, gunakan rentang CIDR sumber dan tujuan yang menyediakan simetri traffic.
2. Untuk mengarahkan traffic masuk ke Load Balancer Jaringan passthrough internal, terapkan rute berbasis kebijakan ke koneksi Cloud Interconnect di VPC Transit. Ini adalah rute regional.
3. Agar traffic yang keluar dari NVA tidak dirutekan langsung kembali ke NVA, jadikan semua antarmuka NVA sebagai target rute berbasis kebijakan lewati untuk melewati rute berbasis kebijakan lainnya. Traffic kemudian mengikuti tabel pemilihan rute VPC setelah diproses oleh NVA.
4. Untuk mengarahkan traffic ke load balancer internal NVA di VPC Transit, terapkan rute statis ke VPC aplikasi. Aturan ini dapat dicakup secara regional menggunakan tag jaringan.

Keamanan perimeter NVA multi-NIC

Dalam mode multi-NIC, topologi lebih statis karena NVA menjembatani konektivitas antar-VPC yang berbeda tempat antarmuka jaringan yang berbeda berada.

Jika zona berbasis antarmuka diperlukan di firewall, desain multi-NIC berikut akan memungkinkan konektivitas eksternal yang diperlukan. Desain ini menetapkan antarmuka firewall yang berbeda ke jaringan eksternal. Jaringan eksternal disebut oleh praktisi keamanan sebagai jaringan tidak tepercaya dan jaringan internal dikenal sebagai jaringan tepercaya. Untuk deployment NVA multi-NIC, desain ini diterapkan menggunakan VPC tepercaya dan tidak tepercaya.

Untuk komunikasi internal, firewall dapat diterapkan menggunakan model penyisipan NIC tunggal yang sesuai dengan model zona berbasis CIDR.

Dalam desain ini, Anda menyisipkan NVA dengan mengonfigurasi hal berikut:

1. Untuk mengarahkan traffic VPN HA ke load balancer internal, terapkan rute berbasis kebijakan yang tidak diberi tag ke VPC tepercaya. Pada rute berbasis kebijakan ini, gunakan rentang CIDR sumber dan tujuan yang menyediakan simetri traffic.
2. Untuk mengarahkan traffic masuk ke Load Balancer Jaringan passthrough internal, terapkan rute berbasis kebijakan ke koneksi Cloud Interconnect di VPC yang tidak tepercaya. Ini adalah rute regional.
3. Agar traffic yang keluar dari NVA tidak dirutekan langsung kembali ke NVA, jadikan semua antarmuka NVA sebagai target rute berbasis kebijakan lewati untuk melewati rute berbasis kebijakan lainnya. Traffic kemudian mengikuti tabel pemilihan rute VPC setelah diproses oleh NVA.
4. Untuk mengarahkan traffic ke load balancer internal NVA di VPC tepercaya, terapkan rute statis ke VPC aplikasi. Aturan ini dapat dicakup secara regional menggunakan tag jaringan.

Diagram berikut menunjukkan NVA multi-NIC yang disisipkan di antara jaringan VPC yang tidak tepercaya dan tepercaya di project hub:

Langkah selanjutnya

• Pelajari lebih lanjut produk Google Cloud yang digunakan dalam panduan desain ini:
  • Jaringan VPC
  • Peering Jaringan VPC
  • Cloud Interconnect
  • VPN dengan ketersediaan tinggi (HA)
• Untuk mengetahui lebih banyak tentang arsitektur referensi, panduan desain, dan praktik terbaik lainnya, jelajahi Pusat Arsitektur Cloud.

Kontributor

Penulis:

• Victor Moreno | Product Manager, Cloud Networking
• Ghaleb Al-habian | Network Specialist
• Deepak Michael | Networking Specialist Customer Engineer
• Osvaldo Costa | Networking Specialist Customer Engineer
• Jonathan Almaleh | Staff Technical Solutions Consultant

Kontributor lainnya:

• Zach Seils | Networking Specialist
• Christopher Abraham | Networking Specialist Customer Engineer
• Emanuele Mazza | Networking Product Specialist
• Aurélien Legrand | Cloud Engineer Strategis
• Eric Yu | Networking Specialist Customer Engineer
• Kumar Dhanagopal | Developer Solusi Lintas Produk
• Mark Schlagenhauf | Technical Writer, Networking
• Marwan Al Shawi | Partner Customer Engineer
• Ammett Williams | Developer Relations Engineer