Seguridad de redes para aplicaciones distribuidas en Cross-Cloud Network

Este documento forma parte de una serie de guías de diseño para Cross-Cloud Network. En esta parte, se explora la capa de seguridad de la red.

La serie consta de las siguientes partes:

• Cross-Cloud Network para aplicaciones distribuidas
• Segmentación y conectividad de red para aplicaciones distribuidas en Cross-Cloud Network
• Herramientas de redes de servicio para aplicaciones distribuidas en la red entre nubes
• Seguridad de redes para aplicaciones distribuidas en Cross-Cloud Network (este documento)

Superficies de seguridad

Cuando diseñes la capa de seguridad de Cross-Cloud Network, debes tener en cuenta las siguientes superficies de seguridad:

• Seguridad de las cargas de trabajo
• Seguridad del perímetro del dominio

Los controles de seguridad de la carga de trabajo controlan la comunicación entre las cargas de trabajo en la nube privada virtual (VPC) y dentro de ella. La seguridad de la carga de trabajo usa puntos de aplicación de seguridad cercanos a las cargas de trabajo en la arquitectura. Siempre que sea posible, Cross-Cloud Network proporciona seguridad para las cargas de trabajo con Cloud Next Generation Firewall de Google Cloud.

Se requiere seguridad perimetral en todos los límites de la red. Dado que el perímetro suele interconectar redes administradas por diferentes organizaciones, a menudo se requieren controles de seguridad más estrictos. Debes asegurarte de que las siguientes comunicaciones entre redes estén protegidas:

• Comunicaciones entre VPCs
• Comunicaciones a través de conexiones híbridas a otros proveedores de servicios en la nube o centros de datos locales
• Comunicaciones a Internet

La capacidad de insertar dispositivos virtuales de red (NVA) de terceros en el entorno deGoogle Cloud es fundamental para abordar los requisitos de seguridad perimetral en las conexiones híbridas.

Seguridad de las cargas de trabajo en la nube

Usa políticas de firewall enGoogle Cloud para proteger las cargas de trabajo y proporcionar capacidades de firewall con estado que sean escalables horizontalmente y se apliquen a cada instancia de VM. La naturaleza distribuida de los firewalls de Google Cloud te ayuda a implementar políticas de seguridad para la microsegmentación de redes sin afectar negativamente el rendimiento de tus cargas de trabajo.

Usa políticas de firewall jerárquicas para mejorar la capacidad de administración y aplicar el cumplimiento de la postura de tus políticas de firewall. Las políticas de firewall jerárquicas te permiten crear y aplicar de manera forzosa una política de firewall coherente en toda la organización. Puedes asignar políticas de firewall jerárquicas a la organización o a carpetas individuales. Además, las reglas de políticas de firewall jerárquicas pueden delegar la evaluación a políticas de nivel inferior (políticas de firewall de red globales o regionales) con una acción goto_next.

Las reglas de nivel inferior no pueden anular una que está un nivel superior en la jerarquía de recursos. Esta estructura de reglas permite que los administradores de toda la organización administren las reglas de firewall obligatorias en un solo lugar. Entre los casos de uso comunes de las políticas de firewall jerárquicas, se incluyen el acceso host de bastión de la organización o de varios proyectos, el permiso para sistemas de sondeo o verificación de estado centralizados y la aplicación de un límite de red virtual en toda una organización o un grupo de proyectos. Para ver ejemplos adicionales del uso de políticas de firewall jerárquicas, consulta Ejemplos de políticas de firewall jerárquicas.

Usa políticas de firewall de red globales y regionales para definir reglas por red de VPC individual, ya sea para todas las regiones de la red (global) o una sola región (regional).

Para lograr controles más detallados aplicados a nivel de la máquina virtual (VM), te recomendamos que uses las etiquetas de Identity and Access Management (IAM) a nivel de organización o proyecto. Las etiquetas controladas por IAM permiten aplicar reglas de firewall basadas en la identidad del host de la carga de trabajo, en lugar de la dirección IP del host, y funcionan en el peering de redes de VPC. Las reglas de firewall implementadas con etiquetas pueden proporcionar microsegmentación dentro de la subred con cobertura de políticas que se aplica automáticamente a las cargas de trabajo dondequiera que se implementen, independientemente de la arquitectura de red.

Además de las capacidades de inspección con estado y la compatibilidad con etiquetas, Cloud Next Generation Firewall también admite el filtrado de inteligencia sobre amenazas, FQDN y ubicación geográfica.

Te recomendamos que migres de las reglas de firewall de VPC a las políticas de firewall. Para ayudarte con la migración, usa la herramienta de migración, que crea una política de firewall de red global y convierte las reglas de firewall de VPC existentes en la nueva política.

Seguridad perimetral en la nube

En un entorno de red de varias nubes, la seguridad del perímetro suele implementarse en cada red. Por ejemplo, la red local tiene su propio conjunto de firewalls perimetrales, mientras que cada red de nube implementa firewalls perimetrales independientes.

Dado que la Red Multinube está diseñada para ser el centro de todas las comunicaciones, puedes unificar y centralizar los controles de seguridad del perímetro, y también implementar un solo conjunto de firewalls perimetrales en tu Red Multinube. Para entregar una pila de seguridad perimetral integrada que elijas, Cross-Cloud Network proporciona opciones flexibles para insertar NVA.

En los diseños que se muestran en los diagramas, puedes implementar NVAs de terceros en la VPC de tránsito del proyecto central.

Los NVAs se pueden implementar a través de una sola interfaz de red (modo de NIC única) o en varias interfaces de red en varias VPC (modo de varias NIC). En el caso de Cross-Cloud Network, recomendamos una implementación de una sola NIC para las NVA, ya que esta opción te permite hacer lo siguiente:

• Inserta los NVAs con rutas basadas en políticas.
• Evita crear topologías rígidas.
• Implementar en una variedad de topologías entre VPCs
• Habilita el ajuste de escala automático para las VRA.
• Escala a muchas VPCs con el tiempo, sin cambios necesarios en la implementación de la interfaz de NVA

Si tu diseño requiere varias NICs, las recomendaciones se detallan en Seguridad perimetral de NVA de varias NIC.

Para lograr el direccionamiento del tráfico necesario para la implementación de NVA, en esta guía, se recomienda la aplicación selectiva de rutas estáticas y basadas en políticas en las tablas de enrutamiento de VPC. Las rutas basadas en políticas son más flexibles que las rutas estándar porque coinciden con la información de origen y destino. Estas rutas basadas en políticas también se aplican solo en lugares específicos de la topología de la red de Cloud. Esta granularidad permite definir un comportamiento de redireccionamiento del tráfico muy específico para flujos de conectividad muy específicos.

Además, este diseño habilita los mecanismos de resiliencia que requieren los NVAs. Los NVAs cuentan con un balanceador de cargas de TCP/UDP interno para habilitar la redundancia de NVA, el ajuste de escala automático para la capacidad elástica y la simetría de flujo para admitir el procesamiento de tráfico bidireccional con estado.

Seguridad perimetral de NVA de una sola NIC

En el diseño descrito en Conectividad entre VPC para servicios centralizados, la VPC de tránsito actúa como un concentrador para las VPC de radio que están conectadas mediante el Intercambio de tráfico de red de VPC y VPN con alta disponibilidad. La VPC de tránsito también permite la conectividad entre las redes externas y las VPC de radio.

Para la inserción de NVA de una sola NIC, este diseño combina los siguientes dos patrones:

• Inserta NVAs en un concentrador de intercambio de tráfico entre redes de VPC con conexiones híbridas externas
• Inserta NVAs en un concentrador de VPC de VPN con alta disponibilidad con conexiones híbridas externas

En el siguiente diagrama, se muestran los NVAs insertados en los concentradores para el intercambio de tráfico entre redes de VPC y la VPN con alta disponibilidad:

En el diagrama anterior, se ilustra un patrón combinado:

• Una VPC de tránsito que aloja los adjuntos de VLAN de Cloud Interconnect que proporcionan conectividad híbrida o de múltiples nubes. Esta VPC también contiene los NVAs de una sola NIC que supervisan las conexiones híbridas.
• VPCd de aplicaciones conectadas a la VPC de tránsito mediante el intercambio de tráfico entre redes de VPC.
• Una VPC de servicios centrales conectada a la VPC de tránsito a través de una VPN con alta disponibilidad.

En este diseño, los radios que se conectan a través de la VPN con alta disponibilidad usan la VPC de tránsito para comunicarse con los radios que se conectan a través del intercambio de tráfico entre redes de VPC. La comunicación se dirige a través de los firewalls de la NVA de terceros con la siguiente combinación de balanceo de cargas de transferencia, rutas estáticas y rutas basadas en políticas:

1. Para dirigir el tráfico de la VPN de alta disponibilidad al balanceador de cargas interno, aplica rutas basadas en políticas sin etiquetar a la VPC de tránsito. En estas rutas basadas en políticas, usa rangos de CIDR de origen y destino que proporcionen la simetría del tráfico.
2. Para dirigir el tráfico entrante al balanceador de cargas de red de transferencia interno, aplica rutas basadas en políticas a las conexiones de Cloud Interconnect en la VPC de tránsito. Estas son rutas regionales.
3. Para que el tráfico que sale del NVA no se enrute directamente de vuelta al NVA, haz que todas las interfaces del NVA sean el destino de una ruta de omisión basada en políticas para omitir otras rutas basadas en políticas. Luego, el tráfico sigue la tabla de enrutamiento de la VPC una vez que los NVA lo procesaron.
4. Para dirigir el tráfico a los balanceadores de cargas internos de NVA en la VPC de Transito, aplica rutas estáticas a las VPCs de la aplicación. Se puede especificar un alcance de forma regional mediante etiquetas de red.

Seguridad perimetral de NVA de varias NICs

En el modo de varias NICs, la topología es más estática porque los NVAs conectan la conectividad entre las diferentes VPCs en las que residen las diferentes interfaces de red.

Cuando se requieren zonas basadas en interfaces en un firewall, el siguiente diseño de varias NICs habilita la conectividad externa requerida. Este diseño asigna diferentes interfaces de firewall a las redes externas. Los profesionales de seguridad se refieren a las redes externas como redes no confiables y a las redes internas como redes confiables. Para la implementación de NVA de varias NICs, este diseño se implementa mediante VPCs confiables y no confiables.

Para las comunicaciones internas, el firewall se puede aplicar con un modelo de inserción de una sola NIC que corresponda a un modelo de zona basado en CIDR.

En este diseño, debes insertar los NVAs mediante la configuración de lo siguiente:

1. Para dirigir el tráfico de la VPN de alta disponibilidad al balanceador de cargas interno, aplica rutas basadas en políticas sin etiquetar a la VPC de confianza. En estas rutas basadas en políticas, usa rangos de CIDR de origen y destino que proporcionen la simetría del tráfico.
2. Para dirigir el tráfico entrante al balanceador de cargas de red de transferencia interno, aplica rutas basadas en políticas a las conexiones de Cloud Interconnect en la VPC no confiable. Estas son rutas regionales.
3. Para que el tráfico que sale del NVA no se enrute directamente de vuelta al NVA, haz que todas las interfaces del NVA sean el destino de una ruta de omisión basada en políticas para omitir otras rutas basadas en políticas. Luego, el tráfico sigue la tabla de enrutamiento de la VPC una vez que los NVA lo procesaron.
4. Para dirigir el tráfico a los balanceadores de cargas internos de NVA en la VPC de confianza, aplica rutas estáticas a las VPCs de la aplicación. Se puede especificar un alcance de forma regional mediante etiquetas de red.

En el siguiente diagrama, se muestran los NVAs de varias NICs insertados entre las redes de VPC no confiables y confiables en el proyecto central:

¿Qué sigue?

• Obtén más información sobre los productos de Google Cloud que se usan en esta guía de diseño:
  • Redes de VPC
  • Intercambio de tráfico entre redes de VPC
  • Cloud Interconnect
  • VPN con alta disponibilidad
• Para obtener más información sobre las arquitecturas de referencia, las guías de diseño y las prácticas recomendadas, explora el Centro de arquitectura de Cloud.

Colaboradores

Autores:

• Victor Moreno | Gerente de producto, Herramientas de redes de Cloud
• Ghaleb Al-habian | Especialista en redes
• Deepak Michael | Ingeniero de Atención al cliente especializado en herramientas de redes
• Osvaldo Costa | Ingeniero de Atención al cliente especializado en herramientas de redes
• Jonathan Almaleh | Consultor de soluciones técnicas de personal

Otros colaboradores:

• Zach Seils | Especialista en herramientas de redes
• Christopher Abraham | Ingeniero de atención al cliente especializado en herramientas de redes
• Emanuele Mazza | Especialista en productos de herramientas de redes
• Aurélien Legrand | Ingeniero estratégico de la nube
• Eric Yu | Ingeniero de atención al cliente especializado en herramientas de redes
• Autor: Kumar Dhanagopal | Desarrollador de soluciones entre productos
• Mark Schlagenhauf | Escritor técnico, Herramientas de redes
• Marwan Al Shawi | Ingeniero de Atención al Cliente para Socios
• Ammett Williams | Ingeniero de relaciones con desarrolladores