Questo documento nel Framework dell'architettura Google Cloud fornisce le best practice per la protezione della rete.
L'estensione della rete esistente per includere ambienti cloud comporta implicazioni per la sicurezza. Il tuo approccio on-premise alle difese a più livelli probabilmente coinvolge un perimetro distinto tra internet e il tuo database in ogni rete. Probabilmente proteggi il perimetro usando meccanismi come firewall, router e sistemi di rilevamento delle intrusioni. Poiché il confine è chiaramente definite, è possibile monitorare le intrusioni e rispondere di conseguenza.
Quando passi al cloud (completamente o in un approccio ibrido), oltre il perimetro on-premise. Questo documento descrive i modi in cui puoi continuare a proteggere i dati e i carichi di lavoro della tua organizzazione in Google Cloud. Come menzionato in Gestisci i rischi con i controlli, la configurazione e la protezione della rete Google Cloud dipendono le esigenze aziendali e la propensione al rischio.
In questa sezione si presuppone che tu abbia letto i Networking nel Progettazione del sistema e che tu abbia già creato un diagramma architetturale di base componenti di rete di Google Cloud. Per un diagramma di esempio, consulta Hub e spoke.
Esegui il deployment di reti Zero Trust
Il passaggio al cloud significa che il modello di attendibilità della rete deve cambiare. Poiché i tuoi utenti e i tuoi carichi di lavoro non si trovano più all'interno del perimetro on-premise non è possibile utilizzare le protezioni perimetrali nello stesso modo per creare un ambiente in ogni rete. Il modello di sicurezza Zero Trust indica che nessuno è considerato attendibile dal per impostazione predefinita, all'interno o all'esterno della rete aziendale. Quando delle richieste di accesso, il modello di sicurezza Zero Trust richiede di controllare sia l'identità dell'utente che il contesto. A differenza di una VPN, sposti i controlli di accesso dal perimetro della rete agli utenti e ai dispositivi.
In Google Cloud puoi utilizzare Chrome Enterprise Premium come soluzione Zero Trust. Chrome Enterprise Premium offre da minacce e protezione dei dati e altre controlli dell'accesso. Per ulteriori informazioni sulla configurazione, vedi Guida introduttiva a Chrome Enterprise Premium.
Oltre a Chrome Enterprise Premium, Google Cloud include Identity-Aware Proxy (IAP). IAP consente di estendere la sicurezza Zero Trust alle applicazioni sia in Google Cloud e on-premise. IAP utilizza l'accesso di controllo per fornire l'autenticazione e l'autorizzazione agli utenti che per accedere ad applicazioni e risorse.
Proteggi le connessioni ai tuoi ambienti on-premise o multi-cloud
Molte organizzazioni gestiscono carichi di lavoro sia in ambienti cloud che on-premise. Inoltre, per la resilienza, alcune organizzazioni usano il multi-cloud soluzioni. In questi scenari, è fondamentale proteggere la connettività tra in tutti i tuoi ambienti.
Google Cloud include metodi di accesso privato per le VM supportati Cloud VPN o Cloud Interconnect, tra cui:
- Utilizza le funzionalità di Cross-Cloud Interconnect come servizio gestito, per collegare le tue reti VPC ad altri servizi cloud supportati di rete tramite il traffico diretto ad alta velocità e connessioni a Internet. Con Cross-Cloud Interconnect, non devi fornire i tuoi o collaborare con un fornitore di terze parti.
- Utilizza le funzionalità di Dedicated Interconnect e Partner Interconnect per collegare le tue reti VPC al tuo data center on-premise o ad altri servizi cloud tramite connessioni dirette ad alta velocità.
- Utilizza le VPN IPsec per collegare le reti Virtual Private Cloud (VPC) alle tue da un data center on-premise o ad altri cloud provider.
- Utilizza le funzionalità di Endpoint di Private Service Connect per accedere ai servizi pubblicati forniti dalla tua organizzazione o da un altro provider.
- Utilizza le funzionalità di Endpoint di Private Service Connect per consentire alle VM di accedere a Google API utilizzando indirizzi IP interni. Con Private Service Connect, le VM non hanno di avere indirizzi IP esterni per accedere ai servizi Google.
- Se utilizzi GKE Enterprise prendi in considerazione Gateway in uscita di Cloud Service Mesh. Se non utilizzi GKE Enterprise utilizzare un'opzione di terze parti.
Per un confronto tra i prodotti, consulta Scelta di un prodotto per la connettività di rete.
Disattiva reti predefinite
Quando crei un nuovo progetto Google Cloud, viene eseguito il deployment VPC rete con modalità automatica gli indirizzi IP e regole firewall precompilate automaticamente il provisioning. Per i deployment di produzione, ti consigliamo di elimina le reti predefinite in progetti esistenti disabilita la creazione di reti predefinite in nuovi progetti.
Le reti Virtual Private Cloud ti consentono di utilizzare qualsiasi indirizzo IP interno. Per evitare l'indirizzo IP conflitti, consigliamo di pianificare prima la rete e l'indirizzo IP nei deployment connessi e tra i progetti. Un progetto consente più reti VPC, ma solitamente si consiglia di limitarle a una per progetto al fine di applicare in modo efficace il controllo dell'accesso.
Proteggi il perimetro
In Google Cloud puoi utilizzare diversi metodi per segmentare e proteggere perimetrali, inclusi firewall Controlli di servizio VPC.
Utilizza le funzionalità di VPC condiviso per creare un deployment di produzione che ti fornisca un'unica rete condivisa isola i carichi di lavoro in singoli progetti che possono essere gestiti da team di sicurezza. Il VPC condiviso fornisce deployment, gestione e delle risorse di sicurezza di rete e di sicurezza in più progetti. Il VPC condiviso è costituito da progetti host e di servizio che eseguono le seguenti funzioni:
- Un progetto host contiene le informazioni relative al networking e alla sicurezza di rete ad esempio reti VPC, subnet, regole firewall e e la connettività privata.
- Un progetto di servizio si collega a un progetto host. Ti consente di isolare carichi di lavoro e utenti a livello di progetto Identity and Access Management (IAM), mentre condivide le risorse di networking il progetto host gestito centralmente.
Definisci criteri e regole firewall a livello di organizzazione, cartella e rete VPC. Puoi e configurare regole firewall per consentire o negare il traffico da o verso le istanze VM. Per vedi esempi, vedi Esempi di criteri firewall di rete globali e a livello di regione ed esempi di criteri firewall gerarchici. Oltre a definire regole basate su indirizzi IP, protocolli e porte, gestire il traffico e applicare regole firewall in base account di servizio usato da un'istanza VM o mediante tag sicuri.
Per controllare il movimento dei dati nei servizi Google e configurare l'accesso basato sul contesto per la sicurezza perimetrale, consideriamo i Controlli di servizio VPC. Controlli di servizio VPC offre un ulteriore livello di sicurezza per i servizi Google Cloud, indipendenti da regole e criteri IAM e firewall. Per Ad esempio, Controlli di servizio VPC ti consente di configurare i perimetri riservati e non riservati, in modo da poter applicare controlli che impedire l'esfiltrazione di dati.
Utilizza le funzionalità di Criteri di sicurezza di Google Cloud Armor per consentire, negare o reindirizzare le richieste al bilanciatore del carico delle applicazioni esterno a livello perimetrale di Google Cloud, il più vicino possibile all'origine per via del traffico. Questi criteri impediscono al traffico indesiderato di consumare risorse o che entrano nella rete.
Utilizza le funzionalità di Proxy web sicuro applicare criteri di accesso granulari al traffico web in uscita e monitorare accesso a servizi web non attendibili.
Ispezionare il traffico di rete
Puoi utilizzare Cloud Intrusion Detection System (Cloud IDS) e Mirroring pacchetto per garantire la sicurezza e la conformità dei carichi di lavoro Compute Engine e Google Kubernetes Engine (GKE)
Utilizza le funzionalità di Cloud IDS per ottenere visibilità sul traffico in entrata e in uscita dal VPC reti. Cloud IDS crea una rete in peering gestita da Google che ha eseguito delle VM in esecuzione. Tecnologie di protezione dalle minacce di Palo Alto Networks eseguire il mirroring e l'ispezione del traffico. Per ulteriori informazioni, vedi Panoramica di Cloud IDS.
Mirroring pacchetto clona il traffico di istanze VM specificate nella tua rete VPC e lo inoltra per raccolta, conservazione ed esame. Dopo la configurazione Mirroring pacchetto, puoi utilizzare Cloud IDS o strumenti di terze parti per raccogliere e ispezionare il traffico di rete su larga scala. Ispezionare il traffico di rete in questo modo contribuisce a fornire il rilevamento delle intrusioni e il monitoraggio delle prestazioni delle applicazioni.
Utilizza un web application firewall
Per applicazioni e servizi web esterni, puoi attivare Google Cloud Armor per fornire protezione DDoS (Distributed Denial-of-Service) e applicazioni web le funzionalità di firewall (WAF). Google Cloud Armor supporta Google Cloud carichi di lavoro esposti utilizzando il bilanciamento del carico HTTP(S) esterno, il carico proxy TCP o del proxy SSL.
Google Cloud Armor è offerto in due livelli di servizio: Standard e Managed Protection Plus. Per sfruttare appieno le funzionalità avanzate di Google Cloud Armor, dovresti investire in Managed Protection Plus per i carichi di lavoro chiave.
Automatizza il provisioning dell'infrastruttura
Automation consente di creare un'infrastruttura immutabile, il che significa che possono essere modificate dopo il provisioning. Questa misura offre al team operativo una buon stato, rollback rapido e capacità di risoluzione dei problemi. Per l'automazione, possono usare strumenti come Terraform, Jenkins e Cloud Build.
Per aiutarti a creare un ambiente che utilizza l'automazione, Google Cloud offre una serie progetti per la sicurezza a loro volta basati progetto di base delle fondazioni aziendali. Il progetto delle basi di sicurezza è il progetto di Google per un ambiente sicuro per le applicazioni e descrive passo dopo passo come configurare il deployment della tua infrastruttura Google Cloud. Utilizzando le istruzioni e gli script che fanno parte del progetto delle basi di sicurezza, puoi configurare in un ambiente conforme alle nostre best practice e linee guida per la sicurezza. Puoi creare basandoti su progetti aggiuntivi o progettando la tua automazione.
Per saperne di più sull'automazione, consulta Utilizza una pipeline CI/CD per i flussi di lavoro di elaborazione dati.
Monitora la tua rete
Monitora la rete e il traffico utilizzando la telemetria.
Log di flusso VPC e Logging delle regole firewall offrono visibilità quasi in tempo reale sul traffico e sull'uso del firewall nell'ambiente Google Cloud. Ad esempio: Logging delle regole firewall registra il traffico da e verso le istanze VM di Compute Engine. Quando li combini con strumenti Cloud Logging e Cloud Monitoring puoi monitorare, avvisare e visualizzare i pattern di traffico e accesso per migliorare per la sicurezza operativa del tuo deployment.
Approfondimenti sul firewall consente di rivedere quali regole firewall corrispondono alle connessioni in entrata e in uscita e se le connessioni sono state consentite o negate. La funzionalità delle regole oscurate ti aiuta a ottimizzare la configurazione del firewall mostrandoti quali regole non vengono mai perché viene sempre attivata per prima un'altra regola.
Utilizza le funzionalità di Centro Network Intelligence Center per vedere le prestazioni della topologia e dell'architettura di rete. Puoi ottenere e approfondimenti dettagliati sulle prestazioni della rete, per poi ottimizzare per eliminare eventuali colli di bottiglia nel servizio. Test di connettività che forniscono insight sulle regole e sui criteri firewall applicati al percorso di rete.
Per ulteriori informazioni sul monitoraggio, consulta Implementa il logging e i controlli di rilevamento.
Passaggi successivi
Scopri di più sulla sicurezza di rete con le risorse seguenti:
- Implementare la sicurezza dei dati (prossimo documento di questa serie)
- Best practice e architetture di riferimento per la progettazione di VPC
- Ruoli IAM per amministrare i Controlli di servizio VPC
- Operazioni preliminari come partner di Security Command Center
- Visualizzazione di vulnerabilità e minacce in Security Command Center
- Mirroring pacchetto: visualizza e proteggi la rete cloud
- Utilizzo del Mirroring pacchetto per il rilevamento delle intrusioni
- Utilizzo del mirroring pacchetto con una soluzione IDS partner