Questo documento nel framework dell'architettura Google Cloud fornisce le best practice per la protezione della rete.
L'estensione della rete esistente agli ambienti cloud comporta molte implicazioni per la sicurezza. È probabile che l'approccio on-premise alle difese a più livelli coinvolga un perimetro distinto tra internet e la rete interna. Probabilmente proteggi il perimetro con meccanismi come firewall fisici, router e sistemi di rilevamento delle intrusioni. Poiché il confine è chiaramente definito, puoi monitorare le intrusioni e rispondere di conseguenza.
Quando si passa al cloud (completamente o in un approccio ibrido), si va oltre il perimetro on-premise. Questo documento descrive i modi in cui puoi continuare a proteggere i dati e i carichi di lavoro della tua organizzazione su Google Cloud. Come menzionato in Gestione dei rischi con i controlli, il modo in cui configuri e proteggi la tua rete Google Cloud dipende dai requisiti aziendali e dalla propensione al rischio.
Questa sezione presuppone che tu abbia letto la sezione Networking nella categoria Progettazione del sistema e che tu abbia già creato un diagramma dell'architettura di base dei componenti di rete di Google Cloud. Per un diagramma di esempio, vedi Hub-and-spoke.
Esegui il deployment di reti Zero Trust
Il passaggio al cloud significa che il modello di attendibilità della rete deve cambiare. Poiché gli utenti e i carichi di lavoro non si trovano più all'interno del perimetro on-premise, non puoi utilizzare le protezioni perimetrali allo stesso modo per creare una rete interna affidabile. Con il modello di sicurezza Zero Trust nessuno è considerato attendibile per impostazione predefinita, indipendentemente dal fatto che si trovi all'interno o all'esterno della rete della tua organizzazione. Durante la verifica delle richieste di accesso, il modello di sicurezza Zero Trust richiede di controllare sia l'identità dell'utente sia il contesto. A differenza di una VPN, sposti il controllo dell'accesso dal perimetro della rete agli utenti e ai dispositivi.
In Google Cloud, puoi utilizzare Chrome Enterprise Premium come soluzione Zero Trust. Chrome Enterprise Premium offre protezione dei dati e dalle minacce e controlli dell'accesso aggiuntivi. Per maggiori informazioni sulla configurazione, vedi Guida introduttiva a Chrome Enterprise Premium.
Oltre a Chrome Enterprise Premium, Google Cloud include Identity-Aware Proxy (IAP). IAP consente di estendere la sicurezza Zero Trust alle applicazioni sia all'interno di Google Cloud che on-premise. IAP utilizza i criteri di controllo dell'accesso per fornire autenticazione e autorizzazione agli utenti che accedono alle tue applicazioni e risorse.
Proteggi le connessioni ai tuoi ambienti on-premise o multi-cloud
Molte organizzazioni gestiscono carichi di lavoro sia in ambienti cloud che on-premise. Inoltre, per la resilienza, alcune organizzazioni utilizzano soluzioni multi-cloud. In questi scenari, è fondamentale proteggere la connettività tra tutti gli ambienti.
Google Cloud include metodi di accesso privato per le VM supportati da Cloud VPN o Cloud Interconnect, tra cui:
- Utilizza Cross-Cloud Interconnect, come servizio gestito, per collegare le tue reti VPC ad altri provider cloud supportati tramite connessioni dirette ad alta velocità. Con Cross-Cloud Interconnect, non devi fornire un router o collaborare con un fornitore di terze parti.
- Utilizza Dedicated Interconnect e Partner Interconnect per collegare le reti VPC al tuo data center on-premise o ad altri cloud provider tramite connessioni dirette ad alta velocità.
- Utilizza le VPN IPsec per collegare le reti Virtual Private Cloud (VPC) al tuo data center on-premise o ad altri cloud provider.
- Utilizza gli endpoint di Private Service Connect per accedere ai servizi pubblicati forniti dalla tua organizzazione o da un altro provider.
- Utilizza gli endpoint di Private Service Connect per consentire alle tue VM di accedere alle API di Google utilizzando indirizzi IP interni. Con Private Service Connect, le VM non devono avere indirizzi IP esterni per accedere ai servizi Google.
- Se utilizzi GKE Enterprise, valuta i gateway in uscita di Cloud Service Mesh. Se non utilizzi GKE Enterprise, scegli un'opzione di terze parti.
Per un confronto tra i prodotti, vedi Scelta di un prodotto per la connettività di rete.
Disattiva reti predefinite
Quando crei un nuovo progetto Google Cloud, viene eseguito automaticamente il provisioning di una rete VPC Google Cloud predefinita con indirizzi IP in modalità automatica e regole firewall precompilate. Per i deployment di produzione, ti consigliamo di eliminare le reti predefinite nei progetti esistenti e disabilitare la creazione di reti predefinite nei nuovi progetti.
Le reti Virtual Private Cloud ti consentono di utilizzare qualsiasi indirizzo IP interno. Per evitare conflitti tra indirizzi IP, ti consigliamo di pianificare prima di tutto l'allocazione della rete e dell'indirizzo IP nei deployment connessi e nei progetti. Un progetto consente più reti VPC, ma di solito conviene limitare queste reti a una per progetto al fine di applicare in modo efficace controllo dell'accesso dell'accesso.
Proteggi il perimetro
In Google Cloud puoi utilizzare vari metodi per segmentare e proteggere il tuo perimetro cloud, inclusi firewall e Controlli di servizio VPC.
Utilizza un VPC condiviso per creare un deployment di produzione che ti fornisca un'unica rete condivisa e che isola i carichi di lavoro in singoli progetti che possono essere gestiti da team diversi. Un VPC condiviso fornisce deployment, gestione e controllo centralizzati delle risorse di sicurezza di rete e della rete in più progetti. Il VPC condiviso è costituito da progetti host e di servizio che eseguono le funzioni seguenti:
- Un progetto host contiene le risorse relative al networking e alla sicurezza della rete, ad esempio reti VPC, subnet, regole firewall e connettività ibrida.
- Un progetto di servizio si collega a un progetto host. Consente di isolare i carichi di lavoro e gli utenti a livello di progetto utilizzando Identity and Access Management (IAM), mentre condivide le risorse di networking del progetto host gestito centralmente.
Definisci criteri e regole firewall a livello di organizzazione, cartella e rete VPC. Puoi configurare le regole firewall per consentire o negare il traffico da o verso le istanze VM. Ad esempio, vedi Esempi di criteri firewall di rete globali e a livello di regione ed Esempi di criteri firewall gerarchici. Oltre a definire regole basate su indirizzi IP, protocolli e porte, puoi gestire il traffico e applicare regole firewall in base all'account di servizio utilizzato da un'istanza VM o mediante tag sicuri.
Per controllare il movimento dei dati nei servizi Google e configurare la sicurezza del perimetro basata su contesto, prendi in considerazione i Controlli di servizio VPC. I Controlli di servizio VPC forniscono un ulteriore livello di sicurezza per i servizi Google Cloud che è indipendente da regole e criteri IAM e firewall. Ad esempio, Controlli di servizio VPC consente di impostare perimetri tra dati riservati e non riservati in modo da poter applicare controlli che consentono di prevenire l'esfiltrazione di dati.
Utilizza i criteri di sicurezza di Google Cloud Armor per consentire, negare o reindirizzare le richieste al bilanciatore del carico delle applicazioni esterno sul perimetro di Google Cloud, il più vicino possibile alla sorgente del traffico in entrata. Questi criteri impediscono al traffico indesiderato di consumare risorse o di penetrare nella rete.
Utilizza Secure Web Proxy per applicare criteri di accesso granulari al traffico web in uscita e monitorare l'accesso ai servizi web non attendibili.
Ispezionare il traffico di rete
Puoi utilizzare Cloud Intrusion Detection System (Cloud IDS) e Mirroring pacchetto per garantire la sicurezza e la conformità dei carichi di lavoro in esecuzione in Compute Engine e Google Kubernetes Engine (GKE).
Utilizza Cloud IDS per ottenere visibilità sul traffico in entrata e in uscita dalle reti VPC. Cloud IDS crea una rete in peering gestita da Google che ha VM sottoposte a mirroring. Le tecnologie di protezione dalle minacce di Palo Alto Networks esegue il mirroring e il controllo del traffico. Per ulteriori informazioni, consulta Panoramica di Cloud IDS.
Il Mirroring dei pacchetti clona il traffico delle istanze VM specificate nella tua rete VPC e lo inoltra per la raccolta, la conservazione e l'esame. Dopo aver configurato Mirroring pacchetto, puoi utilizzare Cloud IDS o strumenti di terze parti per raccogliere e ispezionare il traffico di rete su larga scala. L'ispezione del traffico di rete in questo modo contribuisce al rilevamento delle intrusioni e al monitoraggio delle prestazioni delle applicazioni.
Utilizza un web application firewall
Per applicazioni e servizi web esterni, puoi abilitare Google Cloud Armor per fornire la protezione DDoS (Distributed Denial-of-Service) e funzionalità di firewall per applicazioni web (WAF). Google Cloud Armor supporta i carichi di lavoro di Google Cloud esposti tramite il bilanciamento del carico HTTP(S) esterno, il bilanciamento del carico del proxy TCP o del proxy SSL.
Google Cloud Armor è offerto in due livelli di servizio, Standard e Managed Protection Plus. Per sfruttare appieno le funzionalità avanzate di Google Cloud Armor, ti consigliamo di investire in Managed Protection Plus per i tuoi carichi di lavoro principali.
Automatizza il provisioning dell'infrastruttura
L'Automation consente di creare un'infrastruttura immutabile, il che significa che non può essere modificata dopo il provisioning. Questa misura offre al team operativo uno stato buono noto, rollback rapido e funzionalità di risoluzione dei problemi. Per l'automazione, puoi utilizzare strumenti come Terraform, Jenkins e Cloud Build.
Per aiutarti a creare un ambiente che utilizza l'automazione, Google Cloud offre una serie di progetti per la sicurezza che a loro volta si basano sul progetto di base aziendale. Il progetto della piattaforma di sicurezza fornisce la progettazione "guidata" di Google per un ambiente applicativo sicuro e descrive passo dopo passo come configurare ed eseguire il deployment della tua infrastruttura Google Cloud. Utilizzando le istruzioni e gli script che fanno parte del progetto delle basi di sicurezza, puoi configurare un ambiente che soddisfi le nostre best practice e linee guida per la sicurezza. Puoi basarti su questo progetto con ulteriori progetti o progettare la tua automazione.
Per saperne di più sull'automazione, consulta Utilizzare una pipeline CI/CD per i flussi di lavoro di elaborazione dati.
Monitora la tua rete
Monitora la rete e il traffico utilizzando la telemetria.
I log di flusso VPC e il logging delle regole firewall forniscono visibilità quasi in tempo reale sul traffico e sull'utilizzo del firewall nel tuo ambiente Google Cloud. Ad esempio, il logging delle regole firewall registra il traffico da e verso le istanze VM di Compute Engine. Quando combini questi strumenti con Cloud Logging e Cloud Monitoring, puoi monitorare, avvisare e visualizzare i pattern di traffico e accesso per migliorare la sicurezza operativa del tuo deployment.
Firewall Insights consente di verificare quali regole firewall hanno trovato corrispondenze con le connessioni in entrata e in uscita e se le connessioni sono state consentite o negate. La funzionalità delle regole oscurate ti aiuta a ottimizzare la configurazione del firewall mostrando quali regole non vengono mai attivate perché viene sempre attivata per prima un'altra regola.
Utilizza Network Intelligence Center per verificare le prestazioni della topologia e dell'architettura della tua rete. Puoi ottenere insight dettagliati sulle prestazioni di rete per poi ottimizzare il deployment per eliminare eventuali colli di bottiglia nel servizio. Connectivity Tests fornisce insight sulle regole e sui criteri firewall applicati al percorso di rete.
Per ulteriori informazioni sul monitoraggio, consulta Implementare il logging e i controlli di rilevamento.
Passaggi successivi
Scopri di più sulla sicurezza di rete con le risorse seguenti:
- Implementare la sicurezza dei dati (prossimo documento di questa serie)
- Best practice e architetture di riferimento per la progettazione di VPC
- Ruoli IAM per amministrare i Controlli di servizio VPC
- Operazioni preliminari come partner di Security Command Center
- Visualizzazione di vulnerabilità e minacce in Security Command Center
- Mirroring pacchetto: visualizza e proteggi la rete cloud
- Utilizzo del Mirroring pacchetto per il rilevamento delle intrusioni
- Utilizzo del mirroring pacchetto con una soluzione IDS partner