Seguridad de red para aplicaciones distribuidas en Cross-Cloud Network

Este documento forma parte de una serie de guías de diseño para Cross-Cloud Network. En esta parte, se explora la capa de seguridad de la red.

La serie consta de las siguientes partes:

• Cross-Cloud Network para aplicaciones distribuidas
• Segmentación y conectividad de red para aplicaciones distribuidas en Cross-Cloud Network
• Seguridad de red para aplicaciones distribuidas en Cross-Cloud Network (este documento)

Superficies de seguridad

Cuando diseñes la capa de seguridad para Cross-Cloud Network, debes tener en cuenta las siguientes plataformas de seguridad:

• Seguridad de las cargas de trabajo
• Seguridad perimetral del dominio

La seguridad de las cargas de trabajo controla la comunicación entre las cargas de trabajo en la nube privada virtual (VPC) y dentro de ella. La seguridad de las cargas de trabajo usa puntos de aplicación de seguridad que están cerca de las cargas de trabajo en la arquitectura. Siempre que sea posible, Cross-Cloud Network proporciona seguridad para las cargas de trabajo mediante Cloud Next Generation Firewall de Google Cloud.

La seguridad perimetral es obligatoria en todos los límites de red. Debido a que el perímetro suele interconectar redes que administran diferentes organizaciones, a menudo se requieren controles de seguridad más estrictos. Debes asegurarte de que las siguientes comunicaciones entre redes estén seguras:

• Comunicaciones entre VPC
• Comunicaciones a través de conexiones híbridas a otros proveedores de servicios en la nube o centros de datos locales
• Comunicaciones a Internet

La capacidad de insertar dispositivos virtuales de red de terceros (NVAs) dentro del entorno de Google Cloud es fundamental para abordar los requisitos de seguridad perimetral en conexiones híbridas.

Seguridad de las cargas de trabajo en la nube

Usa políticas de firewall en Google Cloud para proteger las cargas de trabajo y proporcionar capacidades de firewall con estado que sean escalables de forma horizontal y se apliquen a cada instancia de VM. La naturaleza distribuida de los firewalls de Google Cloud te ayuda a implementar políticas de seguridad para la microsegmentación de red sin afectar negativamente el rendimiento de tus cargas de trabajo.

Usa políticas de firewall jerárquicas a fin de mejorar la administración y aplicar el cumplimiento de postura para tus políticas de firewall. Las políticas de firewall jerárquicas te permiten crear y aplicar de manera forzosa una política de firewall coherente en toda la organización. Puedes asignar políticas de firewall jerárquicas a la organización o a carpetas individuales. Además, las reglas de las políticas de firewall jerárquicas pueden delegar la evaluación a políticas de nivel inferior (políticas de firewall de red globales o regionales) con una acción goto_next.

Las reglas de nivel inferior no pueden anular una que está un nivel superior en la jerarquía de recursos. Esta estructura de reglas permite que los administradores de toda la organización administren las reglas de firewall obligatorias en un solo lugar. Los casos de uso comunes para las políticas de firewall jerárquicas incluyen acceso a la organización o al host de bastión de varios proyectos, permitir sistemas de sondeo centralizados o de verificación de estado, y aplicar un límite de red virtual en una organización o grupo de proyectos. Para obtener ejemplos adicionales sobre el uso de políticas jerárquicas de firewall, consulta Ejemplos de políticas de firewall jerárquicas.

Usa políticas de firewall de red globales y regionales para definir reglas por red de VPC individual, ya sea para todas las regiones de la red (global ) o una sola región (regional).

Para lograr controles más detallados aplicados a nivel de la máquina virtual (VM), te recomendamos que uses las etiquetas de Identity and Access Management (IAM) a nivel de organización o proyecto. Las etiquetas administradas por IAM permiten aplicar reglas de firewall basadas en la identidad del host de la carga de trabajo, en lugar de la dirección IP del host, y funcionan en todo el intercambio de tráfico entre redes de VPC. Las reglas de firewall implementadas mediante etiquetas pueden proporcionar microsegmentación dentro de la subred con cobertura de políticas que se aplica de forma automática a las cargas de trabajo donde se implementen, sin importar la arquitectura de la red.

Además de las capacidades de inspección con estado y la compatibilidad con etiquetas, el firewall de última generación de Cloud también es compatible con Threat Intelligence, FQDN y el filtrado de ubicación geográfica.

Te recomendamos que migres de las reglas de firewall de VPC a las políticas de firewall. Para ayudar con la migración, usa la herramienta de migración, que crea una política de firewall de red global y convierte las reglas de firewall de VPC existentes en la política nueva.

Seguridad perimetral en la nube

En un entorno de red de múltiples nubes, la seguridad perimetral, por lo general, se implementa en cada red. Por ejemplo, la red local tiene su propio conjunto de firewalls perimetrales, mientras que cada red de la nube implementa firewalls perimetrales independientes.

Debido a que Cross-Cloud Network está diseñada para ser el centro de todas las comunicaciones, puedes unificar y centralizar los controles de seguridad perimetral y, luego, implementar un conjunto único de firewalls perimetrales en tu red Cross-Cloud. Para entregar una pila de seguridad perimetral integrada que elijas, Cross-Cloud Network proporciona opciones flexibles para insertar NVA.

En los diseños que se muestran en los diagramas, puedes implementar NVA de terceros en la VPC de tránsito en el proyecto central.

Los NVAs se pueden implementar a través de una sola interfaz de red (modo de NIC única) o en varias interfaces de red en varias VPC (modo de varias NIC). En el caso de Cross-Cloud Network, recomendamos una implementación de una sola NIC para los NVA, ya que esta opción te permite hacer lo siguiente:

• Inserta los NVAs con rutas basadas en políticas.
• Evita crear topologías rígidas.
• Implementa en una variedad de topologías entre VPC.
• Habilita el ajuste de escala automático para los NVA.
• Escala a muchas VPCs con el tiempo, sin cambios necesarios en la implementación de la interfaz de NVA

Si tu diseño requiere varias NICs, las recomendaciones se detallan en Seguridad perimetral de NVA de varias NIC.

Para lograr el direccionamiento del tráfico necesario para la implementación de NVA, en esta guía, se recomienda la aplicación selectiva de rutas estáticas y basadas en políticas en las tablas de enrutamiento de VPC. Las rutas basadas en políticas son más flexibles que las rutas estándar porque las rutas basadas en políticas coinciden con la información de origen y de destino. Estas rutas basadas en políticas también se aplican solo en lugares específicos de la topología de red en la nube. Este nivel de detalle permite definir un comportamiento de direccionamiento del tráfico muy específico para flujos de conectividad muy específicos.

Además, este diseño habilita los mecanismos de resiliencia que requieren los NVAs. Los NVAs cuentan con un balanceador de cargas de TCP/UDP interno para habilitar la redundancia de NVA, el ajuste de escala automático para la capacidad elástica y la simetría de flujo para admitir el procesamiento de tráfico bidireccional con estado.

Seguridad perimetral de NVA de una sola NIC

En el diseño descrito en Conectividad entre VPC para servicios centralizados, la VPC de tránsito actúa como un concentrador para las VPC de radio que están conectadas mediante el Intercambio de tráfico de red de VPC y VPN con alta disponibilidad. La VPC de tránsito también habilita la conectividad entre las redes externas y las VPC de radio.

Para la inserción de NVA de una sola NIC, este diseño combina los siguientes dos patrones:

• Inserta NVA en un concentrador de intercambio de tráfico entre redes de VPC con conexiones híbridas externas
• Inserta NVAs en un concentrador de VPC de VPN con alta disponibilidad con conexiones híbridas externas

En el siguiente diagrama, se muestran los NVAs insertados en los concentradores para el intercambio de tráfico entre redes de VPC y la VPN con alta disponibilidad:

En el diagrama anterior, se ilustra un patrón combinado:

• Una VPC de tránsito que aloja los adjuntos de VLAN de Cloud Interconnect que proporcionan conectividad híbrida o de múltiples nubes. Esta VPC también contiene los NVAs de una sola NIC que supervisan las conexiones híbridas.
• VPCd de aplicaciones conectadas a la VPC de tránsito mediante el intercambio de tráfico entre redes de VPC.
• Una VPC de servicios centrales conectada a la VPC de tránsito a través de VPN con alta disponibilidad.

En este diseño, los radios que están conectados mediante la VPN con alta disponibilidad usan la VPC de tránsito para comunicarse con los radios conectados por el intercambio de tráfico entre redes de VPC. La comunicación se dirige a través de los firewalls de NVA de terceros mediante la siguiente combinación de balanceo de cargas de transferencia, rutas estáticas y rutas basadas en políticas:

1. Para dirigir el tráfico de VPN con alta disponibilidad al balanceador de cargas interno, aplica rutas basadas en políticas sin etiquetar a la VPC de tránsito. En estas rutas basadas en políticas, usa rangos de CIDR de origen y de destino que proporcionen simetría del tráfico.
2. Para dirigir el tráfico entrante al balanceador de cargas de red de transferencia interno, aplica rutas basadas en políticas a las conexiones de Cloud Interconnect en la VPC de tránsito. Estas son rutas regionales.
3. Para que el tráfico que sale del NVA no se enrute directamente al NVA, haz que todas las interfaces de NVA sean el destino de una ruta basada en políticas de omisión para omitir otras basadas en políticas rutas. Luego, el tráfico sigue la tabla de enrutamiento de VPC una vez que los NVA la procesaron.
4. Para dirigir el tráfico a los balanceadores de cargas internos de NVA en la VPC de tránsito, aplica rutas estáticas a las VPC de la aplicación. Estos se pueden alcanzar a nivel regional mediante etiquetas de red.

Seguridad perimetral de NVA de varias NICs

En el modo de varias NICs, la topología es más estática porque los NVAs conectan la conectividad entre las diferentes VPCs en las que residen las diferentes interfaces de red.

Cuando se requieren zonas basadas en interfaces en un firewall, el siguiente diseño de varias NICs habilita la conectividad externa requerida. Este diseño asigna diferentes interfaces de firewall a las redes externas. Los profesionales de la seguridad hacen referencia a las redes externas como redes no confiables y las redes internas se conocen como redes de confianza. Para la implementación de NVA de varias NICs, este diseño se implementa mediante VPCs confiables y no confiables.

Para las comunicaciones internas, el firewall se puede aplicar mediante un modelo de inserción de NIC única que corresponda a un modelo de zona basado en CIDR.

En este diseño, debes insertar los NVAs mediante la configuración de lo siguiente:

1. Para dirigir el tráfico de VPN con alta disponibilidad al balanceador de cargas interno, aplica rutas basadas en políticas sin etiquetar a la VPC de confianza. En estas rutas basadas en políticas, usa rangos de CIDR de origen y de destino que proporcionen simetría del tráfico.
2. Para dirigir el tráfico entrante al balanceador de cargas de red de transferencia interno, aplica rutas basadas en políticas a las conexiones de Cloud Interconnect en la VPC no confiable. Estas son rutas regionales.
3. Para que el tráfico que sale del NVA no se enrute directamente al NVA, haz que todas las interfaces de NVA sean el destino de una ruta basada en políticas de omisión para omitir otras basadas en políticas rutas. Luego, el tráfico sigue la tabla de enrutamiento de VPC una vez que los NVA la procesaron.
4. Para dirigir el tráfico a los balanceadores de cargas internos de NVA en la VPC de confianza, aplica rutas estáticas a las VPCs de la aplicación. Estos se pueden alcanzar a nivel regional mediante etiquetas de red.

En el siguiente diagrama, se muestran los NVAs de varias NICs insertados entre las redes de VPC no confiables y confiables en el proyecto central:

¿Qué sigue?

• Obtén más información sobre los productos de Google Cloud que se usan en esta guía de diseño:
  • Redes de VPC
  • Intercambio de tráfico entre redes de VPC
  • Cloud Interconnect
  • VPN con alta disponibilidad
• Para obtener información sobre la implementación de NVAs de firewall, consulta Dispositivos de red centralizados en Google Cloud.
• Para obtener más información sobre las arquitecturas de referencia, las guías de diseño y las prácticas recomendadas, explora el Centro de arquitectura de Cloud.

Colaboradores

Autores:

• Victor Moreno | Gerente de producto, Herramientas de redes de Cloud
• Ghaleb Al-habian | Especialista en redes
• Deepak Michael | Ingeniero de Atención al cliente especialista en herramientas de redes
• Osvaldo Costa | Ingeniero de Atención al cliente especialista en herramientas de redes
• Jonathan Almaleh | Consultor de Soluciones Técnicas de personal

Otros colaboradores:

• Zach Seils | Especialista en herramientas de redes
• Christopher Abraham | Ingeniero de Atención al cliente especialista en herramientas de redes
• Emanuele Maze | Especialista en productos de herramientas de redes
• Aurélien Legrand | Strategic Cloud Engineer
• Eric Yu | Ingeniero de Atención al cliente especialista en herramientas de redes
• Autor: Kumar Dhanagopal | Desarrollador de soluciones entre productos
• Mark Schlagenhauf | Escritor técnico, Herramientas de redes
• Marwan Al Shawi | Ingeniero de Atención al Cliente para Socios
• Ammett Williams | Ingeniero de relaciones con desarrolladores