Keamanan jaringan untuk aplikasi terdistribusi di Cross-Cloud Network

Dokumen ini adalah bagian dari rangkaian panduan desain untuk Cross-Cloud Network. Bagian ini membahas lapisan keamanan jaringan.

Rangkaian ini terdiri dari bagian berikut:

• Cross-Cloud Network untuk aplikasi terdistribusi
• Segmentasi dan konektivitas jaringan untuk aplikasi terdistribusi di Cross-Cloud Network
• Service networking untuk aplikasi terdistribusi di Cross-Cloud Network
• Keamanan jaringan untuk aplikasi terdistribusi di Cross-Cloud Network (dokumen ini)

Permukaan keamanan

Saat mendesain lapisan keamanan untuk Cross-Cloud Network, Anda harus mempertimbangkan permukaan keamanan berikut:

• Keamanan workload
• Keamanan perimeter domain

Kontrol keamanan workload mengontrol komunikasi antar-workload di seluruh dan dalam Virtual Private Cloud (VPC). Keamanan workload menggunakan titik penerapan keamanan yang dekat dengan workload dalam arsitektur. Jika memungkinkan, Cross-Cloud Network menyediakan keamanan workload dengan menggunakan Cloud Next Generation Firewall dari Google Cloud.

Keamanan perimeter diperlukan di semua batas jaringan. Karena perimeter biasanya menghubungkan jaringan yang dikelola oleh organisasi yang berbeda, kontrol keamanan yang lebih ketat sering kali diperlukan. Anda harus memastikan bahwa komunikasi berikut di seluruh jaringan diamankan:

• Komunikasi antar-VPC
• Komunikasi melalui koneksi hybrid ke penyedia cloud lain atau pusat data lokal
• Komunikasi ke internet

Kemampuan untuk menyisipkan virtual appliance jaringan (NVA) pihak ketiga dalam lingkunganGoogle Cloud sangat penting untuk memenuhi persyaratan keamanan perimeter di seluruh koneksi hybrid.

Keamanan workload di cloud

Gunakan kebijakan firewall di Google Cloud untuk mengamankan workload dan menyediakan kemampuan firewall stateful yang dapat diskalakan secara horizontal dan diterapkan ke setiap instance VM. Sifat terdistribusi firewall membantu Anda menerapkan kebijakan keamanan untuk segmentasi mikro jaringan tanpa berdampak negatif pada performa workload Anda. Google Cloud

Gunakan Kebijakan firewall hierarkis untuk meningkatkan kemampuan pengelolaan dan menerapkan kepatuhan postur untuk kebijakan firewall Anda. Kebijakan firewall hierarkis memungkinkan Anda membuat dan menerapkan kebijakan firewall yang konsisten di seluruh organisasi Anda. Anda dapat menetapkan Kebijakan firewall hierarkis ke organisasi atau ke folder individual. Selain itu, aturan kebijakan firewall hierarkis dapat mendelegasikan evaluasi ke kebijakan tingkat rendah (kebijakan firewall jaringan global atau regional) dengan tindakan goto_next.

Aturan tingkat yang lebih rendah tidak dapat mengganti aturan dari tingkat yang lebih tinggi dalam hierarki resource. Struktur aturan ini memungkinkan administrator di seluruh organisasi mengelola aturan firewall wajib di satu tempat. Kasus penggunaan umum untuk Kebijakan firewall hierarkis mencakup akses host bastion multi-project atau organisasi, mengizinkan sistem health check atau probing terpusat, dan menerapkan batas jaringan virtual di seluruh organisasi atau grup project. Untuk contoh tambahan penggunaan Kebijakan firewall hierarkis, lihat Contoh kebijakan firewall hierarkis.

Gunakan kebijakan firewall jaringan global dan regional untuk menentukan aturan berdasarkan per jaringan VPC, baik untuk semua region jaringan (global) atau satu region (regional).

Untuk mendapatkan kontrol yang lebih terperinci yang diterapkan di tingkat virtual machine (VM), sebaiknya Anda menggunakan tag yang dikelola Identity and Access Management (IAM) di tingkat organisasi atau project. Tag yang diatur IAM memungkinkan penerapan aturan firewall berdasarkan identitas host workload, bukan alamat IP host, dan berfungsi di seluruh Peering Jaringan VPC. Aturan firewall yang di-deploy menggunakan tag dapat memberikan mikro-segmentasi intra-subnet dengan cakupan kebijakan yang otomatis diterapkan ke workload di mana pun workload tersebut di-deploy, terlepas dari arsitektur jaringan.

Selain kemampuan pemeriksaan stateful dan dukungan tag, Cloud Next Generation Firewall juga mendukung pemfilteran Kecerdasan Ancaman, FQDN, dan geolokasi.

Sebaiknya Anda bermigrasi dari aturan firewall VPC ke kebijakan firewall. Untuk membantu migrasi, gunakan alat migrasi, yang membuat kebijakan firewall jaringan global dan mengonversi aturan firewall VPC yang ada menjadi kebijakan baru.

Keamanan perimeter di cloud

Dalam lingkungan jaringan multicloud, keamanan perimeter biasanya diterapkan di setiap jaringan. Misalnya, jaringan lokal memiliki kumpulan firewall perimeter sendiri, sementara setiap jaringan cloud menerapkan firewall perimeter yang terpisah.

Karena Cross-Cloud Network dirancang untuk menjadi hub bagi semua komunikasi, Anda dapat menyatukan dan memusatkan kontrol keamanan perimeter serta men-deploy satu set firewall perimeter di Cross-Cloud Network. Untuk menghadirkan stack keamanan perimeter bawaan pilihan, Cross-Cloud Network menyediakan opsi fleksibel bagi Anda untuk menyisipkan NVA.

Dalam desain yang ditampilkan dalam diagram, Anda dapat men-deploy NVA pihak ketiga di VPC transit dalam project hub.

NVA dapat di-deploy melalui satu antarmuka jaringan (mode NIC tunggal) atau melalui beberapa antarmuka jaringan di beberapa VPC (mode multi-NIC). Untuk Jaringan Antar-Cloud, sebaiknya gunakan deployment NIC tunggal untuk NVA, karena opsi ini memungkinkan Anda melakukan hal berikut:

• Masukkan NVA dengan rute berbasis kebijakan.
• Hindari membuat topologi yang kaku.
• Men-deploy dalam berbagai topologi antar-VPC.
• Aktifkan penskalaan otomatis untuk NVA.
• Menskalakan ke banyak VPC dari waktu ke waktu, tanpa memerlukan perubahan pada deployment antarmuka NVA.

Jika desain Anda memerlukan multi-NIC, rekomendasi dijelaskan dalam Keamanan perimeter NVA multi-NIC.

Untuk melakukan pengarahan traffic yang diperlukan untuk deployment NVA, panduan ini merekomendasikan penerapan selektif rute statis dan berbasis kebijakan dalam tabel perutean VPC. Rute berbasis kebijakan lebih fleksibel daripada rute standar karena rute berbasis kebijakan mencocokkan informasi sumber dan tujuan. Rute berbasis kebijakan ini juga hanya diterapkan di tempat tertentu dalam topologi jaringan cloud. Perincian ini memungkinkan definisi perilaku pengarahan traffic yang sangat spesifik untuk alur konektivitas yang sangat spesifik.

Selain itu, desain ini memungkinkan mekanisme ketahanan yang diperlukan oleh NVA. NVA didukung oleh load balancer TCP/UDP internal untuk mengaktifkan redundansi NVA, penskalaan otomatis untuk kapasitas elastis, dan simetri alur untuk mendukung pemrosesan traffic dua arah stateful.

Keamanan perimeter NVA NIC tunggal

Dalam desain yang dijelaskan di Konektivitas antar-VPC untuk layanan terpusat, VPC transit bertindak sebagai hub untuk VPC spoke yang terhubung menggunakan Peering Jaringan VPC dan VPN dengan ketersediaan tinggi (HA). VPC transit juga memungkinkan konektivitas antara jaringan eksternal dan VPC spoke.

Untuk tujuan penyisipan NVA NIC tunggal, desain ini menggabungkan dua pola berikut:

• Menyisipkan NVA di hub Peering Jaringan VPC dengan koneksi hybrid eksternal
• Menyisipkan NVA di hub VPC VPN dengan Ketersediaan Tinggi (HA) dengan koneksi hibrida eksternal

Diagram berikut menunjukkan NVA yang dimasukkan di hub untuk Peering Jaringan VPC dan VPN dengan ketersediaan tinggi (HA):

Diagram sebelumnya menggambarkan pola gabungan:

• VPC transit yang menghosting lampiran VLAN Cloud Interconnect yang menyediakan konektivitas hybrid atau multicloud. VPC ini juga berisi NVA NIC tunggal yang memantau koneksi hybrid.
• VPC aplikasi yang terhubung ke VPC transit melalui Peering Jaringan VPC.
• VPC layanan pusat yang terhubung ke VPC transit melalui VPN dengan ketersediaan tinggi (HA).

Dalam desain ini, spoke yang terhubung menggunakan VPN dengan Ketersediaan Tinggi (HA) menggunakan VPC transit untuk berkomunikasi dengan spoke yang terhubung melalui Peering Jaringan VPC. Komunikasi diarahkan melalui firewall NVA pihak ketiga menggunakan kombinasi load balancing passthrough, rute statis, dan rute berbasis kebijakan berikut:

1. Untuk mengarahkan traffic HA VPN ke load balancer internal, terapkan rute berbasis kebijakan tanpa tag ke VPC Transit. Pada rute berbasis kebijakan ini, gunakan rentang CIDR sumber dan tujuan yang menyediakan simetri traffic.
2. Untuk mengarahkan traffic masuk ke Load Balancer Jaringan passthrough internal, terapkan rute berbasis kebijakan ke koneksi Cloud Interconnect di VPC Transit. Ini adalah rute regional.
3. Agar traffic yang keluar dari NVA tidak dirutekan langsung kembali ke NVA, jadikan semua antarmuka NVA sebagai target rute berbasis kebijakan yang dilewati untuk melewati rute berbasis kebijakan lainnya. Traffic kemudian mengikuti tabel perutean VPC setelah diproses oleh NVA.
4. Untuk mengarahkan traffic ke load balancer internal NVA di VPC Transit, terapkan rute statis ke VPC aplikasi. Aturan ini dapat dicakup secara regional menggunakan tag jaringan.

Keamanan perimeter NVA multi-NIC

Dalam mode multi-NIC, topologinya lebih statis karena NVA menjembatani konektivitas antara VPC yang berbeda tempat antarmuka jaringan yang berbeda berada.

Jika zona berbasis antarmuka diperlukan di firewall, desain multi-NIC berikut memungkinkan konektivitas eksternal yang diperlukan. Desain ini menetapkan antarmuka firewall yang berbeda ke jaringan eksternal. Jaringan eksternal disebut oleh praktisi keamanan sebagai jaringan yang tidak tepercaya dan jaringan internal dikenal sebagai jaringan tepercaya. Untuk deployment NVA multi-NIC, desain ini diimplementasikan menggunakan VPC tepercaya dan tidak tepercaya.

Untuk komunikasi internal, firewall dapat diterapkan menggunakan model penyisipan NIC tunggal yang sesuai dengan model zona berbasis CIDR.

Dalam desain ini, Anda menyisipkan NVA dengan mengonfigurasi hal berikut:

1. Untuk mengarahkan traffic HA VPN ke load balancer internal, terapkan rute berbasis kebijakan tanpa tag ke VPC tepercaya. Pada rute berbasis kebijakan ini, gunakan rentang CIDR sumber dan tujuan yang menyediakan simetri traffic.
2. Untuk mengarahkan traffic masuk ke Load Balancer Jaringan passthrough internal, terapkan rute berbasis kebijakan ke koneksi Cloud Interconnect di VPC yang tidak tepercaya. Ini adalah rute regional.
3. Agar traffic yang keluar dari NVA tidak dirutekan langsung kembali ke NVA, jadikan semua antarmuka NVA sebagai target rute berbasis kebijakan yang dilewati untuk melewati rute berbasis kebijakan lainnya. Traffic kemudian mengikuti tabel perutean VPC setelah diproses oleh NVA.
4. Untuk mengarahkan traffic ke load balancer internal NVA di VPC tepercaya, terapkan rute statis ke VPC aplikasi. Aturan ini dapat dicakup secara regional menggunakan tag jaringan.

Diagram berikut menunjukkan NVA multi-NIC yang disisipkan di antara jaringan VPC yang tidak tepercaya dan tepercaya dalam project hub:

Langkah berikutnya

• Pelajari lebih lanjut produk Google Cloud yang digunakan dalam panduan desain ini:
  • Jaringan VPC
  • Peering Jaringan VPC
  • Cloud Interconnect
  • VPN dengan ketersediaan tinggi (HA)
• Untuk mengetahui lebih banyak arsitektur referensi, panduan desain, dan praktik terbaik, jelajahi Pusat Arsitektur Cloud.

Kontributor

Penulis:

• Victor Moreno | Product Manager, Cloud Networking
• Ghaleb Al-habian | Network Specialist
• Deepak Michael | Networking Specialist Customer Engineer
• Osvaldo Costa | Networking Specialist Customer Engineer
• Jonathan Almaleh | Staff Technical Solutions Consultant

Kontributor lainnya:

• Zach Seils | Networking Specialist
• Christopher Abraham | Networking Specialist Customer Engineer
• Emanuele Mazza | Networking Product Specialist
• Aurélien Legrand | Strategic Cloud Engineer
• Eric Yu | Networking Specialist Customer Engineer
• Kumar Dhanagopal | Cross-Product Solution Developer
• Mark Schlagenhauf | Technical Writer, Networking
• Marwan Al Shawi | Partner Customer Engineer
• Ammett Williams | Developer Relations Engineer