Keamanan jaringan untuk aplikasi terdistribusi di Jaringan Lintas Cloud

Dokumen ini merupakan bagian dari rangkaian panduan desain untuk Jaringan Lintas Cloud. Bagian ini membahas lapisan keamanan jaringan.

Rangkaian ini terdiri dari bagian berikut:

• Cross-Cloud Network untuk aplikasi terdistribusi
• Konektivitas dan segmentasi jaringan untuk aplikasi terdistribusi di Jaringan Lintas Cloud
• Keamanan jaringan untuk aplikasi terdistribusi di Jaringan Lintas Cloud (dokumen ini)

Platform keamanan

Saat mendesain lapisan keamanan untuk Jaringan Lintas Cloud, Anda harus mempertimbangkan platform keamanan berikut:

• Keamanan workload
• Keamanan perimeter domain

Keamanan workload mengontrol komunikasi antara workload di seluruh dan dalam Virtual Private Cloud (VPC). Keamanan workload menggunakan titik penerapan keamanan yang dekat dengan beban kerja dalam arsitektur. Jika memungkinkan, Jaringan Cross-Cloud memberikan keamanan workload dengan menggunakan Cloud Next Generation Firewall dari Google Cloud.

Keamanan perimeter diperlukan di semua batas jaringan. Karena perimeter ini biasanya menghubungkan jaringan yang dikelola oleh organisasi yang berbeda, kontrol keamanan yang lebih ketat sering kali diperlukan. Anda harus memastikan bahwa komunikasi berikut di seluruh jaringan telah aman:

• Komunikasi di VPC
• Komunikasi melalui koneksi hybrid ke penyedia cloud lain atau pusat data lokal
• Komunikasi ke internet

Kemampuan untuk menyisipkan peralatan virtual (NVA) jaringan pihak ketiga dalam lingkungan Google Cloud sangat penting untuk memenuhi persyaratan keamanan perimeter di seluruh koneksi hybrid.

Keamanan workload di cloud

Gunakan kebijakan firewall di Google Cloud untuk mengamankan workload dan memberikan kemampuan firewall stateful yang dapat diskalakan secara horizontal dan diterapkan ke setiap instance VM. Sifat firewall Google Cloud yang terdistribusi membantu Anda menerapkan kebijakan keamanan untuk segmentasi mikro jaringan tanpa berdampak negatif pada performa workload Anda.

Gunakan Kebijakan firewall hierarkis untuk meningkatkan pengelolaan dan menerapkan kepatuhan postur untuk kebijakan firewall. Dengan kebijakan firewall hierarkis, Anda dapat membuat dan menerapkan kebijakan firewall yang konsisten di seluruh organisasi. Anda dapat menetapkan Kebijakan firewall hierarkis ke organisasi atau folder individual. Selain itu, aturan kebijakan firewall hierarkis dapat mendelegasikan evaluasi ke kebijakan tingkat rendah (kebijakan firewall jaringan global atau regional) dengan tindakan goto_next.

Aturan tingkat yang lebih rendah tidak dapat menggantikan aturan dari tingkat yang lebih tinggi dalam hierarki resource. Struktur aturan ini memungkinkan administrator seluruh organisasi mengelola aturan firewall wajib di satu tempat. Kasus penggunaan umum untuk kebijakan firewall hierarkis mencakup akses bastion host organisasi atau multi-project, mengizinkan sistem pemeriksaan atau health check terpusat, dan menerapkan batas jaringan virtual di seluruh organisasi atau grup project. Untuk contoh tambahan penggunaan kebijakan firewall hierarkis, lihat Contoh kebijakan firewall hierarkis.

Gunakan kebijakan firewall jaringan global dan regional untuk menentukan aturan pada basis jaringan VPC individual, baik untuk semua region jaringan (global) maupun satu region (regional).

Untuk mencapai kontrol yang lebih terperinci yang diterapkan pada tingkat virtual machine (VM), sebaiknya gunakan tag yang diatur oleh Identity and Access Management (IAM) di tingkat organisasi atau project. Tag yang diatur oleh IAM memungkinkan penerapan aturan firewall berdasarkan identitas host workload, bukan alamat IP host, dan berfungsi di seluruh Peering Jaringan VPC. Aturan firewall yang di-deploy menggunakan tag dapat menyediakan segmentasi mikro intra-subnet dengan cakupan kebijakan yang otomatis berlaku ke beban kerja di mana pun tempat tersebut di-deploy, terlepas dari arsitektur jaringan.

Selain kemampuan pemeriksaan stateful dan dukungan tag, Cloud Next Generation Firewall juga mendukung Threat Intelligence, FQDN, dan pemfilteran geolokasi.

Sebaiknya migrasikan dari aturan firewall VPC ke kebijakan firewall. Untuk membantu migrasi, gunakan alat migrasi, yang membuat kebijakan firewall jaringan global dan mengubah aturan firewall VPC yang ada ke dalam kebijakan yang baru.

Keamanan perimeter di cloud

Dalam lingkungan jaringan multicloud, keamanan perimeter biasanya diterapkan di setiap jaringan. Misalnya, jaringan lokal memiliki kumpulan firewall perimeternya sendiri, sementara setiap jaringan cloud menerapkan firewall dengan perimeter yang berbeda.

Karena Jaringan Lintas Cloud dirancang untuk menjadi hub bagi semua komunikasi, Anda dapat menyatukan dan memusatkan kontrol keamanan perimeter serta men-deploy satu set firewall perimeter di Jaringan Lintas-Cloud Anda. Untuk memberikan stack keamanan perimeter bawaan pilihan, Cross-Cloud Network menyediakan opsi fleksibel bagi Anda untuk menyisipkan NVA.

Dalam desain yang ditampilkan dalam diagram, Anda dapat men-deploy NVA pihak ketiga di VPC transit di project hub.

NVA dapat di-deploy melalui satu antarmuka jaringan (mode NIC tunggal) atau melalui beberapa antarmuka jaringan di beberapa VPC (mode multi-NIC). Untuk Jaringan Lintas Cloud, sebaiknya gunakan deployment NIC tunggal untuk NVA, karena opsi ini memungkinkan Anda melakukan hal berikut:

• Memasukkan NVA dengan rute berbasis kebijakan.
• Hindari membuat topologi yang kaku.
• Menerapkan berbagai topologi antar-VPC.
• Mengaktifkan penskalaan otomatis untuk NVA.
• Melakukan penskalaan ke banyak VPC dari waktu ke waktu, tanpa perlu mengubah deployment antarmuka NVA.

Jika desain Anda memerlukan multi-NIC, rekomendasi dijelaskan secara terperinci di keamanan perimeter NVA Multi-NIC.

Untuk menyelesaikan pengarahan traffic yang diperlukan untuk deployment NVA, panduan ini merekomendasikan penerapan selektif rute berbasis kebijakan dan statis dalam tabel perutean VPC. Rute berbasis kebijakan lebih fleksibel daripada rute standar karena rute berbasis kebijakan cocok dengan informasi sumber dan tujuan. Rute berbasis kebijakan ini juga hanya diterapkan di tempat tertentu dalam topologi jaringan cloud. Perincian ini memungkinkan definisi perilaku pengarahan traffic yang sangat spesifik untuk alur konektivitas yang sangat spesifik.

Selain itu, desain ini memungkinkan mekanisme ketahanan yang diperlukan oleh NVA. NVA di-fronting oleh load balancer TCP/UDP internal guna memungkinkan redundansi NVA, penskalaan otomatis untuk kapasitas elastis, dan simetri aliran guna mendukung pemrosesan traffic dua arah yang stateful.

Keamanan perimeter NVA NIC tunggal

Dalam desain yang dijelaskan dalam Konektivitas antar-VPC untuk layanan terpusat, VPC transit bertindak sebagai hub ke VPC spoke yang terhubung menggunakan Peering Jaringan VPC dan VPN dengan ketersediaan tinggi (HA). VPC transit juga memungkinkan konektivitas antara jaringan eksternal dan VPC spoke.

Untuk tujuan penyisipan NVA NIC tunggal, desain ini menggabungkan dua pola berikut:

• Menyisipkan NVA di hub Peering Jaringan VPC dengan koneksi hybrid eksternal
• Memasukkan NVA di hub VPC VPN dengan ketersediaan tinggi (HA) dengan koneksi hybrid eksternal

Diagram berikut menunjukkan NVA yang dimasukkan di hub untuk Peering Jaringan VPC dan VPN dengan ketersediaan tinggi (HA):

Diagram sebelumnya menggambarkan pola gabungan:

• VPC transit yang menghosting lampiran VLAN Cloud Interconnect yang menyediakan konektivitas hybrid atau multicloud. VPC ini juga berisi NVA NIC tunggal yang memantau koneksi hybrid.
• VPC aplikasi yang terhubung ke VPC transit melalui Peering Jaringan VPC.
• VPC layanan terpusat yang terhubung ke VPC transit melalui VPN dengan ketersediaan tinggi (HA).

Dalam desain ini, spoke yang terhubung menggunakan VPN dengan ketersediaan tinggi (HA) menggunakan VPC transit untuk berkomunikasi dengan spoke yang terhubung oleh Peering Jaringan VPC. Komunikasi diarahkan melalui firewall NVA pihak ketiga menggunakan kombinasi load balancing passthrough, rute statis, dan rute berbasis kebijakan berikut:

1. Untuk mengarahkan traffic VPN dengan ketersediaan tinggi (HA) ke load balancer internal, terapkan rute berbasis kebijakan tanpa tag ke VPC Transit. Pada rute berbasis kebijakan ini, gunakan rentang CIDR sumber dan tujuan yang memberikan simetri traffic.
2. Untuk mengarahkan traffic masuk ke Load Balancer Jaringan passthrough internal, terapkan rute berbasis kebijakan ke koneksi Cloud Interconnect di VPC Transit. Rute tersebut merupakan rute regional.
3. Agar traffic yang keluar dari NVA tidak dirutekan kembali ke NVA secara langsung, jadikan semua antarmuka NVA sebagai target rute berbasis kebijakan lewati untuk melewati rute berbasis kebijakan lainnya. Traffic kemudian mengikuti tabel perutean VPC setelah diproses oleh NVA.
4. Untuk mengarahkan traffic ke load balancer internal NVA di VPC Transit, terapkan rute statis ke VPC aplikasi. Ini dapat dicakup secara regional menggunakan tag jaringan.

Keamanan perimeter NVA multi-NIC

Dalam mode multi-NIC, topologi lebih statis karena NVA menjembatani konektivitas antara VPC yang berbeda tempat antarmuka jaringan yang berbeda berada.

Jika zona berbasis antarmuka diperlukan di firewall, desain multi-NIC berikut akan mengaktifkan konektivitas eksternal yang diperlukan. Desain ini menetapkan antarmuka firewall yang berbeda ke jaringan eksternal. Jaringan eksternal disebut oleh praktisi keamanan sebagai jaringan yang tidak tepercaya, sedangkan jaringan internal dikenal sebagai jaringan tepercaya. Untuk deployment NVA multi-NIC, desain ini diimplementasikan menggunakan VPC tepercaya dan tidak tepercaya.

Untuk komunikasi internal, firewall dapat diterapkan menggunakan model penyisipan NIC tunggal yang sesuai dengan model zona berbasis CIDR.

Dalam desain ini, Anda memasukkan NVA dengan mengonfigurasi hal berikut:

1. Untuk mengarahkan traffic VPN dengan ketersediaan tinggi (HA) ke load balancer internal, terapkan rute berbasis kebijakan tanpa tag ke VPC tepercaya. Pada rute berbasis kebijakan ini, gunakan rentang CIDR sumber dan tujuan yang memberikan simetri traffic.
2. Untuk mengarahkan traffic masuk ke Load Balancer Jaringan passthrough internal, terapkan rute berbasis kebijakan ke koneksi Cloud Interconnect di VPC yang tidak tepercaya. Rute tersebut merupakan rute regional.
3. Agar traffic yang keluar dari NVA tidak dirutekan kembali ke NVA secara langsung, jadikan semua antarmuka NVA sebagai target rute berbasis kebijakan lewati untuk melewati rute berbasis kebijakan lainnya. Traffic kemudian mengikuti tabel perutean VPC setelah diproses oleh NVA.
4. Untuk mengarahkan traffic ke load balancer internal NVA di VPC terpercaya, terapkan rute statis ke VPC aplikasi. Ini dapat dicakup secara regional menggunakan tag jaringan.

Diagram berikut menunjukkan NVA multi-NIC yang disisipkan di antara jaringan VPC yang tidak tepercaya dan tepercaya dalam project hub:

Langkah selanjutnya

• Pelajari lebih lanjut produk Google Cloud yang digunakan dalam panduan desain ini:
  • Jaringan VPC
  • Peering Jaringan VPC
  • Cloud Interconnect
  • VPN dengan ketersediaan tinggi (HA)
• Untuk mengetahui informasi tentang cara men-deploy NVA firewall, lihat Peralatan jaringan terpusat di Google Cloud.
• Untuk arsitektur referensi, panduan desain, dan praktik terbaik lainnya, jelajahi Cloud Architecture Center.

Kontributor

Penulis:

• Victor Moreno | Product Manager, Cloud Networking
• Ghaleb Al-habian | Spesialis Jaringan
• Deepak Michael | Networking Specialist Customer Engineer
• Osvaldo Costa | Networking Specialist Customer Engineer
• Jonathan Almaleh | Staf Konsultan Solusi Teknis

Kontributor lainnya:

• Zach Seils | Spesialis Jaringan
• Christopher Abraham | Networking Specialist Customer Engineer
• Emanuele Mazza | Spesialis Produk Networking
• Aurélien Legrand | Strategic Cloud Engineer
• Eric Yu | Spesialis Jaringan, Customer Engineer
• Kumar Dhanagopal | Developer Solusi Lintas Produk
• Mark Schlagenhauf | Penulis Teknis, Jaringan
• Marwan Al Shawi | Partner Customer Engineer
• Ammett Williams | Developer Relations Engineer