Cross-Cloud Network 中分散式應用程式的網路安全性

Last reviewed 2025-01-30 UTC

本文是 Cross-Cloud Network 設計指南系列的一部分。本節將探討網路安全層。

本系列文章包含以下部分:

安全介面

設計 Cross-Cloud Network 的安全層時,請考量下列安全介面:

  • 工作負載安全性
  • 網域邊界安全

工作負載安全防護可控管虛擬私有雲 (VPC) 內和跨虛擬私有雲的工作負載通訊。工作負載安全防護機制會使用架構中靠近工作負載的安全防護強制執行點。Cross-Cloud Network 會盡可能使用 Google Cloud的 Cloud Next Generation Firewall,提供工作負載安全防護。

所有網路邊界都必須有邊界安全防護。由於周邊通常會互連由不同機構管理的網路,因此通常需要更嚴格的安全控制。您必須確保下列網路通訊安全無虞:

  • 跨 VPC 的通訊
  • 透過混合連線與其他雲端服務供應商或地端部署資料中心通訊
  • 與網際網路的通訊

在Google Cloud 環境中插入第三方網路虛擬設備 (NVA) 的功能至關重要,可滿足混合連線的周邊安全需求。

雲端工作負載安全

在Google Cloud 中使用防火牆政策,保護工作負載安全,並提供可水平擴充的有狀態防火牆功能,套用至每個 VM 執行個體。防火牆的分散式特性有助於實作網路微區隔的安全性政策,同時不會對工作負載的效能造成負面影響。 Google Cloud

使用階層式防火牆政策,提升防火牆政策的管理效率,並強制執行狀態合規性。階層式防火牆政策可讓您在整個機構中建立及強制執行一致的防火牆政策。您可以將階層式防火牆政策指派給機構或個別資料夾。此外,階層式防火牆政策規則可透過 goto_next 動作,將評估作業委派給較低層級的政策 (全域或區域網路防火牆政策)。

較低層級的規則無法覆寫資源階層中較高層級的規則。透過這項規則結構,全機構管理員可以在一處管理強制執行的防火牆規則。階層式防火牆政策的常見用途包括:機構或多專案堡壘主機存取權、允許集中式探查或健康狀態檢查系統,以及在機構或專案群組中強制執行虛擬網路邊界。如需使用階層式防火牆政策的其他範例,請參閱「階層式防火牆政策範例」。

使用全域區域網路防火牆政策,以個別虛擬私有雲網路為基礎定義規則,適用於網路的所有區域 (全域) 或單一區域 (區域)。

如要在虛擬機器 (VM) 層級強制執行更精細的控制項,建議您在機構或專案層級使用身分與存取權管理 (IAM) 控管的標記。IAM 管理的標記可根據工作負載主機的身分套用防火牆規則,而非主機 IP 位址,且適用於虛擬私有雲網路對等互連。使用標記部署的防火牆規則可提供子網路內微分段,並自動將政策套用至部署的工作負載,不受網路架構影響。

除了具備狀態檢查功能和標記支援之外,Cloud Next Generation Firewall 也支援威脅情報、FQDN 和地理位置篩選。

建議您從虛擬私有雲防火牆規則遷移至防火牆政策。 如要輔助遷移作業,請使用遷移工具,該工具會建立全域網路防火牆政策,並將現有的虛擬私有雲防火牆規則轉換為新政策。

雲端環境的邊界安全

在多雲端網路環境中,通常會在每個網路實作邊界安全防護機制。舉例來說,地端網路有自己的周邊防火牆,而每個雲端網路則會實作個別的周邊防火牆。

由於 Cross-Cloud Network 的設計宗旨是成為所有通訊的中樞,因此您可以統一並集中管理周邊安全控管,並在 Cross-Cloud Network 中部署一組周邊防火牆。為提供您選擇的內建周邊安全堆疊,Cross-Cloud Network 提供彈性選項,讓您插入 NVA。

在圖表所示的設計中,您可以在中樞專案的 Transit VPC 中部署第三方 NVA。

NVA 可透過單一網路介面 (單一 NIC 模式) 部署,也可透過多個虛擬私有雲的多個網路介面 (多個 NIC 模式) 部署。對於跨雲端網路,我們建議為 NVA 部署單一 NIC,因為這個選項可讓您執行下列操作:

  • 插入具有策略路徑的 NVA。
  • 避免建立僵硬的拓撲。
  • 以各種虛擬私有雲間拓撲進行部署。
  • 為 NVA 啟用自動調度資源功能。
  • 隨著時間推移,可擴充至多個 VPC,無須變更 NVA 介面部署作業。

如果設計需要多個 NIC,建議請參閱「多 NIC NVA 周邊安全防護」一文。

如要完成 NVA 部署所需的流量導引,本指南建議在虛擬私有雲路徑表中有選擇性地強制執行政策型和靜態路徑。策略路由比標準路由更具彈性,因為策略路由會比對來源和目的地資訊。此外,系統只會在雲端網路拓撲中的特定位置強制執行這些策略路徑。這種精細程度可讓您為非常特定的連線流程定義非常具體的流量導向行為。

此外,這項設計還能啟用 NVA 所需的復原機制。NVA 前端會使用內部 TCP/UDP 負載平衡器,以啟用 NVA 備援、自動調整彈性容量,以及支援有狀態的雙向流量處理作業的流量對稱性。

單一 NIC NVA 周邊安全

在「集中式服務的虛擬私有雲間連線」一文所述的設計中,傳輸虛擬私有雲會做為中樞,連線至透過虛擬私有雲網路對等互連和高可用性 VPN 連線的輻射虛擬私有雲。傳輸 VPC 也可讓外部網路與輻射 VPC 建立連線。

為插入單一 NIC NVA,這項設計結合了下列兩種模式:

  • 在虛擬私有雲網路對等互連中樞插入 NVA,並建立外部混合式連線
  • 在高可用性 VPN 虛擬私有雲中樞插入 NVA,並建立外部混合式連線

下圖顯示在虛擬私有雲網路對等互連和高可用性 VPN 的中樞插入 NVA:

在虛擬私有雲網路對等互連和高可用性 VPN 的中樞插入 NVA

上圖說明瞭合併模式:

  • 代管 Cloud Interconnect VLAN 連結的 Transit VPC,可提供混合式或多雲連線。這個 VPC 也包含監控混合式連線的單一 NIC NVA。
  • 透過 VPC 網路對等互連連線至傳輸 VPC 的應用程式 VPC。
  • 透過高可用性 VPN 連線至 Transit VPC 的中央服務 VPC。

在這個設計中,透過高可用性 VPN 連線的輪輻會使用傳輸虛擬私有雲,與透過虛擬私有雲網路對等互連連線的輪輻通訊。透過下列直通負載平衡、靜態路徑和依據政策的路徑組合,通訊會導向第三方 NVA 防火牆:

  1. 如要將高可用性 VPN 流量導向內部負載平衡器,請將未標記的策略路徑套用至傳輸 VPC。在這些以政策為依據的路徑上,使用可提供流量對稱性的來源和目的地 CIDR 範圍。
  2. 如要將傳入流量導向內部直通式網路負載平衡器,請將策略路由套用至 Transit VPC 中的 Cloud Interconnect 連線。這些是區域路線。
  3. 為避免流量離開 NVA 後直接路由回 NVA,請將所有 NVA 介面設為略過策略路由的目標,略過其他策略路由。流量經過 NVA 處理後,會遵循 VPC 路由表。
  4. 如要將流量導向傳輸虛擬私有雲中的 NVA 內部負載平衡器,請將靜態路由套用至應用程式虛擬私有雲。您可以使用網路標記,將這些規則的適用範圍設為特定區域。

多重 NIC NVA 周邊安全

在多 NIC 模式中,拓撲會更加靜態,因為 NVA 會橋接不同虛擬私有雲之間的連線,而不同的網路介面就位於這些虛擬私有雲中。

如果防火牆需要以介面為準的區域,下列多重 NIC 設計可啟用必要的外部連線。這項設計會將不同的防火牆介面指派給外部網路。安全防護人員將外部網路稱為不受信任的網路,內部網路則稱為受信任的網路。對於多 NIC NVA 部署作業,這項設計是透過受信任和不受信任的虛擬私有雲來實作。

如要進行內部通訊,可以使用對應於 CIDR 型區域模型的單一 NIC 插入模型,強制執行防火牆。

在這個設計中,您將透過設定下列項目插入 NVA:

  1. 如要將高可用性 VPN 流量導向內部負載平衡器,請將未標記的策略路徑套用至信任的 VPC。在這些以政策為依據的路徑上,使用可提供流量對稱性的來源和目的地 CIDR 範圍。
  2. 如要將傳入流量導向內部直通式網路負載平衡器,請將策略路由套用至不受信任的虛擬私有雲中的 Cloud Interconnect 連線。這些是區域路線。
  3. 為避免流量離開 NVA 後直接路由回 NVA,請將所有 NVA 介面設為略過策略路由的目標,略過其他策略路由。流量經過 NVA 處理後,會遵循 VPC 路由表。
  4. 如要將流量導向信任的 VPC 中的 NVA 內部負載平衡器,請將靜態路徑套用至應用程式 VPC。您可以使用網路標記,將這些規則的適用範圍設為特定區域。

下圖顯示插入中樞專案中不受信任和受信任虛擬私有雲網路之間的多 NIC NVA:

內部通訊的 NVA

後續步驟

貢獻者

作者:

其他貢獻者: