保护您的网络

Last reviewed 2023-06-09 UTC

Google Cloud 架构框架中的本文档提供了保护网络安全的最佳实践。

扩展现有网络以包含云环境会对安全性产生许多影响。您的本地多层防御方法可能涉及互联网与内部网络之间的明显边界。您可能会使用物理防火墙、路由器和入侵检测系统等机制来保护该边界。由于边界已明确定义,因此您可以监控入侵并相应地做出响应。

但当您迁移到云端(完全或采用混合方法),您可能会移动到本地边界之外。本文档介绍如何继续保护贵组织在 Google Cloud 上的数据和工作负载。如利用控制措施来管理风险中所述,如何设置和保护 Google Cloud 网络取决于您的业务需求和风险偏好。

本部分假定您已阅读系统设计类别中的网络部分,并且已经创建了 Google Cloud 网络组件的基本架构图。如需查看示例图表,请参阅中心辐射型

部署零信任网络

迁移到云端意味着您的网络信任模型必须发生变化。由于您的用户和工作负载不再位于本地边界内,因此您无法以相同方式使用边界保护来创建可信的内部网络。零信任安全模型意味着在默认情况下,任何人都不受信任,无论他们是在组织网络内部还是外部。验证访问请求时,零信任安全模型会要求您同时检查用户的身份和上下文。与 VPN 不同,您可以将访问权限控制从网络边界转移至用户和设备。

在 Google Cloud 中,您可以将 BeyondCorp Enterprise 用作零信任解决方案。BeyondCorp Enterprise 提供威胁和数据保护以及额外的访问权限控制。如需详细了解如何进行设置,请参阅 BeyondCorp Enterprise 使用入门

除了 BeyondCorp Enterprise 之外,Google Cloud 还提供了 Identity-Aware Proxy (IAP)。IAP 让您可以将零信任安全性同时扩展到 Google Cloud 上的应用和本地应用。IAP 使用访问权限控制政策为访问应用和资源的用户提供身份验证和授权。

保护与本地或多云环境的连接

许多组织的云环境和本地环境中都有工作负载。此外,为了实现弹性,一些组织还会使用多云解决方案。在这些情况下,保护所有环境之间的连接至关重要。

Google Cloud 包括虚拟机的专用访问方法,这些方法受 Cloud VPNCloud Interconnect 支持,具体包括:

如需了解各个产品的对比情况,请参阅选择 Network Connectivity 产品

停用默认网络

创建新的 Google Cloud 项目时,系统会自动预配具有自动模式 IP 地址和预先填充的防火墙规则的默认 Google Cloud VPC 网络。对于生产部署,我们建议您删除现有项目中的默认网络,并在新项目中停用创建默认网络

Virtual Private Cloud 网络允许您使用任何内部 IP 地址。为避免 IP 地址冲突,我们建议您首先针对关联的所有部署和项目规划网络和 IP 地址分配。一个项目允许有多个 VPC 网络,但通常最好限制每个项目使用一个网络,以有效地强制执行访问权限控制。

保护边界安全

在 Google Cloud 中,您可以使用防火墙和 VPC Service Controls 等诸多方法来细分和保护云边界。

使用共享 VPC 构建生产部署,以便为您提供单个共享网络,并将工作负载隔离到可由不同团队管理的各个项目中。共享 VPC 让您可以跨多个项目集中部署、管理和控制网络及网络安全资源。共享 VPC 由执行以下功能的宿主项目和服务项目组成:

  • 宿主项目包含与网络和网络安全相关的资源,例如 VPC 网络、子网、防火墙规则和混合连接。
  • 服务项目会关联到宿主项目。这使您能够使用 Identity and Access Management (IAM) 在项目级隔离工作负载和用户,同时共享集中管理的宿主项目中的网络资源。

在组织、文件夹和 VPC 网络级层定义防火墙政策和规则。您可以配置防火墙规则,以允许或拒绝进出虚拟机实例的流量。如需查看示例,请参阅全球和区域级网络防火墙政策示例以及分层防火墙政策示例。除了根据 IP 地址、协议和端口定义规则之外,您还可以根据虚拟机实例使用的服务账号或使用安全标记来管理流量并应用防火墙规则。

如需控制 Google 服务中数据的移动以及设置基于上下文的边界安全性,请考虑使用 VPC Service Controls。VPC Service Controls 会为 Google Cloud 服务提供一层额外的安全保障,它独立于 IAM 和防火墙规则及政策。例如,VPC Service Controls 允许您在机密数据和非机密数据之间设置边界,以便应用有助于防止数据渗漏的控制措施。

您可以使用 Google Cloud Armor 安全政策来允许、拒绝或重定向对 Google Cloud 边缘尽可能靠近传入流量来源的外部应用负载均衡器的请求。这些政策可防止不受欢迎的流量占用资源或进入您的网络。

使用安全 Web 代理对出站 Web 流量应用精细的访问权限政策,并监控对不受信任的 Web 服务的访问。

检查网络流量

您可以借助 Cloud Intrusion Detection System (Cloud IDS) 和数据包镜像来确保在以下环境中运行的工作负载的安全性和合规性:Compute EngineGoogle Kubernetes Engine (GKE)

使用 Cloud IDS 可以深入了解进出 VPC 网络的流量。Cloud IDS 会创建一个具有镜像虚拟机的 Google 管理的对等互连网络。Palo Alto Networks 威胁防范技术可镜像并检查流量。如需了解详情,请参阅 Cloud IDS 概览

数据包镜像会克隆 VPC 网络中特定虚拟机实例的流量并转发该流量,以用于收集、保留和检查目的。配置数据包镜像后,您便可以使用 Cloud IDS 或第三方工具来大规模收集和检查网络流量。以这种方式检查网络流量有助于提供入侵检测和应用性能监控。

使用 Web 应用防火墙

对于外部 Web 应用和服务,您可以启用 Google Cloud Armor 以提供分布式拒绝服务攻击 (DDoS) 防护和 Web 应用防火墙 (WAF) 功能。Google Cloud Armor 支持使用外部 HTTP(S) 负载均衡、TCP 代理负载均衡或 SSL 代理负载均衡公开的 Google Cloud 工作负载。

Google Cloud Armor 提供两种服务层级:标准和 Managed Protection Plus。如需充分利用 Google Cloud Armor 的高级功能,您应该为关键工作负载购买 Managed Protection Plus。

自动执行基础架构预配

自动化功能允许您创建不可变基础架构,这意味着预配后便无法再更改。此措施可为您的运营团队提供已知的良好状态、快速回滚和问题排查功能。如需实现自动化,您可以使用 Terraform、Jenkins 和 Cloud Build 等工具。

为了帮助您构建使用自动化功能的环境,Google Cloud 提供了一系列安全蓝图,这些蓝图又是基于企业基础蓝图而构建的。安全基础蓝图为安全应用环境提供了 Google 的独特设计,并逐步介绍了如何配置和部署 Google Cloud 资源。使用安全基础蓝图中的说明和脚本,您可以配置满足安全最佳实践和准则的环境。您可以基于该蓝图和其他蓝图构建自动化功能,也可以设计自己的自动化功能。

如需详细了解自动化,请参阅使用 CI/CD 流水线处理数据处理工作流

监控网络

使用遥测监控网络和流量。

VPC 流日志防火墙规则日志记录可让您近乎实时地了解 Google Cloud 环境中的流量和防火墙使用情况。例如,防火墙规则日志记录会记录进出 Compute Engine 虚拟机实例的流量。通过将这些工具与 Cloud LoggingCloud Monitoring 结合使用,您可以跟踪、提醒和直观呈现流量及访问模式,以改进部署的运营安全性。

借助防火墙数据分析,您可以查看有哪些防火墙规则匹配传入和传出连接,以及这些连接是否被允许或拒绝。被覆盖的规则功能可显示有哪些规则由于系统始终会先触发另一个规则而永远不会被触发,从而帮助您调整防火墙配置。

您可以使用 Network Intelligence Center 来查看网络拓扑和架构的性能。您可以获得有关网络性能的详细数据分析,然后优化部署以消除服务中的任何瓶颈。Connectivity Tests 可让您深入了解应用于网络路径的防火墙规则和政策。

如需详细了解监控功能,请参阅实现日志记录和检测控制措施

后续步骤

通过以下资源,详细了解网络安全: