Este documento forma parte de una serie de guías de diseño para Cross-Cloud Network. En esta parte, se explora la capa de seguridad de la red.
La serie consta de las siguientes partes:
- Cross-Cloud Network para aplicaciones distribuidas
- Segmentación y conectividad de red para aplicaciones distribuidas en Cross-Cloud Network
- Herramientas de redes de servicio para aplicaciones distribuidas en la red entre nubes
- Seguridad de red para aplicaciones distribuidas en Cross-Cloud Network (este documento)
Superficies de seguridad
Cuando diseñes la capa de seguridad para Cross-Cloud Network, debes tener en cuenta las siguientes plataformas de seguridad:
- Seguridad de las cargas de trabajo
- Seguridad perimetral del dominio
La seguridad de las cargas de trabajo controla la comunicación entre las cargas de trabajo entre la nube privada virtual (VPC) y dentro de ella. La seguridad de las cargas de trabajo usa puntos de aplicación de seguridad que están cerca de las cargas de trabajo en la arquitectura. Siempre que sea posible, Cross-Cloud Network proporciona seguridad para las cargas de trabajo mediante Cloud Next Generation Firewall de Google Cloud.
La seguridad perimetral es obligatoria en todos los límites de la red. Debido a que el perímetro por lo general interconecta redes administradas por diferentes organizaciones, a menudo se requieren controles de seguridad más estrictos. Debes asegurarte de lo siguiente: comunicaciones entre las redes están protegidas:
- Comunicaciones entre VPC
- Comunicaciones entre conexiones híbridas con otros proveedores de servicios en la nube centros de datos locales
- Comunicaciones a Internet
La capacidad de insertar dispositivos virtuales (NVA) de red de terceros en el El entorno de Google Cloud es fundamental para abordar los requisitos de y perímetro de seguridad en conexiones híbridas.
Seguridad de las cargas de trabajo en la nube
Usa políticas de firewall en Google Cloud para proteger las cargas de trabajo y proporcionar funciones de firewall con estado que se puedan escalar de forma horizontal y aplicarse a cada instancia de VM. El la naturaleza distribuida de los firewalls de Google Cloud te ayuda a implementar políticas para la microsegmentación de la red sin afectar negativamente la de las cargas de trabajo.
Usa políticas de firewall jerárquicas para mejorar la administración y aplicar el cumplimiento de postura de tus políticas de firewall. Las políticas de firewall jerárquicas te permiten crear y aplicar de manera forzosa una política de firewall coherente en toda la organización. Puedes asignar
Políticas jerárquicas de firewall para la organización o carpetas individuales.
Además, las reglas de las políticas de firewall jerárquicas pueden delegar la evaluación a políticas de nivel inferior (políticas de firewall de red globales o regionales) con una acción goto_next
.
Las reglas de nivel inferior no pueden anular una que está un nivel superior en la jerarquía de recursos. Esta estructura de reglas permite que los administradores de toda la organización administren las reglas de firewall obligatorias en un solo lugar. Casos de uso comunes para Las políticas de firewall jerárquicas incluyen host de bastión de organización o de varios proyectos permitiendo el sondeo centralizado o sistemas de verificación de estado, y aplicar una límite de red virtual entre una organización o un grupo de proyectos. Para más ejemplos de uso Para conocer las políticas de firewall jerárquicas, consulta Políticas de firewall jerárquicas ejemplos.
Usa políticas de firewall de red globales y regionales para definir reglas por red de VPC individual, ya sea para todas las regiones de la red (global ) o una sola región (regional).
Para lograr controles más detallados aplicados a nivel de la máquina virtual (VM), te recomendamos que uses las etiquetas de Identity and Access Management (IAM) a nivel de organización o proyecto. Las etiquetas administradas por IAM permiten aplicar reglas de firewall basadas en la identidad del host de la carga de trabajo, en lugar de la dirección IP del host, y funcionan en el intercambio de tráfico entre redes de VPC. Las reglas de firewall que se implementan con etiquetas proporcionan microsegmentación con cobertura de políticas que se aplica automáticamente a las cargas de trabajo dondequiera que se implementen, sin importar la arquitectura de la red.
Además de las capacidades de inspección con estado y la compatibilidad con etiquetas El firewall de próxima generación de Cloud también admite Threat Intelligence, el FQDN y el filtrado de ubicación geográfica.
Te recomendamos que migres de las reglas de firewall de VPC a políticas de firewall. Para que te ayude con la migración, usa el atributo herramienta, que crea una política de firewall de red global y convierte reglas de firewall de VPC en la nueva política.
Perímetro de seguridad en la nube
En un entorno de red de múltiples nubes, la seguridad perimetral suele implementarse en cada red. Por ejemplo, la red local tiene su propio conjunto de firewalls perimetrales, mientras que cada red de la nube implementa firewalls perimetrales independientes.
Debido a que Cross-Cloud Network está diseñada para ser el centro de todas las comunicaciones, puedes unificar y centralizar los controles de seguridad perimetral e implementar un solo conjunto de firewalls perimetrales en Cross-Cloud Network. Para entregar una pila de seguridad perimetral integrada que elijas, Cross-Cloud Network proporciona opciones flexibles para insertar NVA.
En los diseños que se muestran en los diagramas, puedes implementar NVA de terceros en la VPC de tránsito en el proyecto central.
Los NVAs se pueden implementar a través de una sola interfaz de red (modo de NIC única) o en varias interfaces de red en varias VPC (modo de varias NIC). Para redes entre nubes, recomendamos una sola NIC Deployment para los NVA, ya que esta opción te permite hacer lo siguiente:
- Inserta los NVAs con rutas basadas en políticas.
- Evita crear topologías rígidas.
- Implementa en una variedad de topologías entre VPC.
- Habilita el ajuste de escala automático para los NVA.
- Escala a muchas VPCs con el tiempo, sin cambios necesarios en la implementación de la interfaz de NVA
Si tu diseño requiere varias NICs, las recomendaciones se detallan en Seguridad perimetral de NVA de varias NIC.
Para lograr el direccionamiento del tráfico necesario para la implementación de NVA, en esta guía, se recomienda la aplicación selectiva de rutas estáticas y basadas en políticas en las tablas de enrutamiento de VPC. Las rutas basadas en políticas son flexibles que las rutas estándar porque las rutas basadas en políticas coinciden tanto en el origen como en el destino información. Estas rutas basadas en políticas también se aplican solo en lugares específicos en la topología de red en la nube. Este nivel de detalle permite definir un tipo comportamiento específico de direccionamiento del tráfico para flujos de conectividad muy específicos.
Además, este diseño habilita los mecanismos de resiliencia que requieren los NVAs. Los NVAs cuentan con un balanceador de cargas de TCP/UDP interno para habilitar la redundancia de NVA, el ajuste de escala automático para la capacidad elástica y la simetría de flujo para admitir el procesamiento de tráfico bidireccional con estado.
Seguridad perimetral de NVA de una sola NIC
En el diseño descrito en Conectividad entre VPC para servicios centralizados, la VPC de tránsito actúa como un concentrador para las VPC de radio que están conectadas mediante el Intercambio de tráfico de red de VPC y VPN con alta disponibilidad. La VPC de tránsito también permite la conectividad redes y las VPC de radio.
Para los fines de la inserción de NVA de una sola NIC, este diseño combina los siguientes dos patrones:
- Inserta NVA en un concentrador de intercambio de tráfico entre redes de VPC con un modelo híbrido externo contactos
- Inserta NVAs en un concentrador de VPC de VPN con alta disponibilidad con conexiones híbridas externas
En el siguiente diagrama, se muestran los NVAs insertados en los concentradores para el intercambio de tráfico entre redes de VPC y la VPN con alta disponibilidad:
En el diagrama anterior, se ilustra un patrón combinado:
- Una VPC de tránsito que aloja los adjuntos de VLAN de Cloud Interconnect que proporcionan conectividad híbrida o de múltiples nubes. Esta VPC también contiene los NVAs de una sola NIC que supervisan las conexiones híbridas.
- VPCd de aplicaciones conectadas a la VPC de tránsito mediante el intercambio de tráfico entre redes de VPC.
- Una VPC de servicios centrales conectada a la VPC de tránsito a través de una VPN con alta disponibilidad.
En este diseño, los radios que están conectados mediante una VPN con alta disponibilidad usar la VPC de tránsito para comunicarse con los radios que están conectadas por el intercambio de tráfico entre redes de VPC. La comunicación se dirige a través de los firewalls de NVA de terceros mediante la siguiente combinación de balanceo de cargas de transferencia, rutas estáticas y rutas basadas en políticas:
- Para dirigir el tráfico de VPN con alta disponibilidad al balanceador de cargas interno, aplica rutas basadas en políticas sin etiquetar a la VPC de tránsito. En estas rutas basadas en políticas, usa rangos de CIDR de origen y destino que proporcionen la simetría del tráfico.
- Para dirigir el tráfico entrante al balanceador de cargas de red de transferencia interno, aplica rutas basadas en políticas a las conexiones de Cloud Interconnect en la VPC de tránsito. Se trata de rutas regionales.
- A fin de que el tráfico que sale del NVA no se enrute directamente al NVA, haz que todas las interfaces de NVA sean el destino de una ruta basada en políticas de omisión para omitir otras políticas basadas en políticas. rutas. Luego, el tráfico sigue la tabla de enrutamiento de VPC una vez que los NVA la procesaron.
- Para dirigir el tráfico a los balanceadores de cargas internos de NVA en la VPC de Transito, aplica rutas estáticas a las VPCs de la aplicación. Se puede especificar un alcance de forma regional mediante etiquetas de red.
Seguridad perimetral de NVA de varias NICs
En el modo de varias NICs, la topología es más estática porque los NVAs conectan la conectividad entre las diferentes VPCs en las que residen las diferentes interfaces de red.
Cuando se requieren zonas basadas en interfaces en un firewall, el siguiente diseño de varias NICs habilita la conectividad externa requerida. En este diseño, se asignan diferentes interfaces de firewall externas a las redes externas. Los profesionales de seguridad se refieren a las redes externas como redes no confiables y a las redes internas como redes de confianza. Para la implementación de NVA de varias NICs, este diseño se implementa mediante VPCs confiables y no confiables.
Para las comunicaciones internas, el firewall se puede aplicar mediante un modelo de inserción de una sola NIC que corresponda a un modelo de zona basado en CIDR.
En este diseño, debes insertar los NVAs mediante la configuración de lo siguiente:
- Para dirigir el tráfico de VPN con alta disponibilidad al balanceador de cargas interno, aplica basadas en políticas sin etiquetar a la VPC de confianza. En estas rutas basadas en políticas, usa rangos de CIDR de origen y destino que proporcionen la simetría del tráfico.
- Para dirigir el tráfico entrante al balanceador de cargas de red de transferencia interno, aplica rutas basadas en políticas a las conexiones de Cloud Interconnect en la VPC no confiable. Se trata de rutas regionales.
- A fin de que el tráfico que sale del NVA no se enrute directamente al NVA, haz que todas las interfaces de NVA sean el destino de una ruta basada en políticas de omisión para omitir otras políticas basadas en políticas. rutas. Luego, el tráfico sigue la tabla de enrutamiento de VPC una vez que los NVA la procesaron.
- Para dirigir el tráfico a los balanceadores de cargas internos de NVA en la VPC de confianza, aplica rutas estáticas a las VPCs de la aplicación. Se puede especificar un alcance de forma regional mediante etiquetas de red.
En el siguiente diagrama, se muestran los NVAs de varias NICs insertados entre las redes de VPC no confiables y confiables en el proyecto central:
¿Qué sigue?
- Obtén más información sobre los productos de Google Cloud que se usan en esta guía de diseño:
- Para obtener más información sobre las arquitecturas de referencia, las guías de diseño y las prácticas recomendadas, explora el Centro de arquitectura de Cloud.
Colaboradores
Autores:
- Victor Moreno | Gerente de producto, Herramientas de redes de Cloud
- Ghaleb Al-habian | Especialista en redes
- Deepak Michael | Ingeniero de Atención al cliente especializado en herramientas de redes
- Osvaldo Costa | Ingeniero de Atención al cliente especializado en herramientas de redes
- Jonathan Almaleh | Consultor de soluciones técnicas de personal
Otros colaboradores:
- Zach Seils | Especialista en herramientas de redes
- Christopher Abraham | Ingeniero de atención al cliente especializado en herramientas de redes
- Emanuele Mazza | Especialista en productos de herramientas de redes
- Aurélien Legrand | Ingeniero estratégico de la nube
- Eric Yu | Ingeniero de atención al cliente especializado en herramientas de redes
- Autor: Kumar Dhanagopal | Desarrollador de soluciones entre productos
- Mark Schlagenhauf | Escritor técnico, Herramientas de redes
- Marwan Al Shawi | Ingeniero de Atención al Cliente para Socios
- Ammett Williams | Ingeniero de relaciones con desarrolladores