Questo documento nel Framework dell'architettura Google Cloud fornisce le best practice per la protezione della rete.
L'estensione della rete esistente per includere ambienti cloud comporta implicazioni per la sicurezza. Il tuo approccio on-premise alle difese a più livelli prevede probabilmente un perimetro distinto tra internet e la tua rete interna. Probabilmente proteggi il perimetro usando meccanismi come firewall, router e sistemi di rilevamento delle intrusioni. Poiché il confine è ben definito, puoi monitorare le intrusioni e rispondere di conseguenza.
Quando passi al cloud (completamente o in un approccio ibrido), oltre il perimetro on-premise. Questo documento descrive i modi in cui puoi continuare a proteggere i dati e i carichi di lavoro della tua organizzazione su Google Cloud. Come accennato in Gestire i rischi con i controlli, la configurazione e la protezione della rete Google Cloud dipendono dai requisiti aziendali e dall'aversione al rischio.
Questa sezione presuppone che tu abbia già creato un diagramma di architettura di base dei componenti di rete di Google Cloud. Per un diagramma di esempio, consulta Hub e spoke.
Esegui il deployment di reti Zero Trust
Il passaggio al cloud significa che il modello di attendibilità della rete deve cambiare. Poiché i tuoi utenti e i tuoi carichi di lavoro non si trovano più all'interno del perimetro on-premise non è possibile utilizzare le protezioni perimetrali nello stesso modo per creare un ambiente in ogni rete. Il modello di sicurezza Zero Trust indica che nessuno è considerato attendibile dal per impostazione predefinita, all'interno o all'esterno della rete aziendale. Quando delle richieste di accesso, il modello di sicurezza Zero Trust richiede di controllare sia l'identità dell'utente che il contesto. A differenza di una VPN, sposti i controlli di accesso dal perimetro della rete agli utenti e ai dispositivi.
In Google Cloud puoi utilizzare Chrome Enterprise Premium come soluzione Zero Trust. Chrome Enterprise Premium fornisce protezione dei dati e tutela dalle minacce e aggiuntivi controlli di accesso. Per ulteriori informazioni sulla configurazione, vedi Guida introduttiva a Chrome Enterprise Premium.
Oltre a Chrome Enterprise Premium, Google Cloud include Identity-Aware Proxy (IAP). IAP consente di estendere la sicurezza Zero Trust alle applicazioni sia in Google Cloud e on-premise. IAP utilizza i criteri di controllo dell'accesso per fornire autenticazione e autorizzazione agli utenti che accedono alle tue applicazioni e risorse.
Proteggere le connessioni agli ambienti on-premise o multi-cloud.
Molte organizzazioni gestiscono carichi di lavoro sia in ambienti cloud che on-premise. Inoltre, per la resilienza, alcune organizzazioni utilizzano soluzioni multicloud. In questi scenari, è fondamentale proteggere la connettività tra in tutti i tuoi ambienti.
Google Cloud include metodi di accesso privato per le VM supportati da Cloud VPN o Cloud Interconnect, tra cui:
- Utilizza Cross-Cloud Interconnect, come servizio gestito, per collegare le tue reti VPC ad altri provider di cloud supportati tramite connessioni dirette ad alta velocità. Con Cross-Cloud Interconnect, non devi fornire il tuo router o collaborare con un fornitore di terze parti.
- Utilizza Dedicated Interconnect e Partner Interconnect per collegare le tue reti VPC al tuo data center on-premise o ad altri fornitori di servizi cloud tramite connessioni dirette ad alta velocità.
- Utilizza le VPN IPsec per collegare le reti Virtual Private Cloud (VPC) alle tue da un data center on-premise o ad altri cloud provider.
- Utilizza gli endpoint Private Service Connect per accedere ai servizi pubblicati forniti dalla tua organizzazione o da un altro provider.
- Utilizza gli endpoint Private Service Connect per consentire alle VM di accedere alle API di Google utilizzando indirizzi IP interni. Con Private Service Connect, le VM non devono avere indirizzi IP esterni per accedere ai servizi Google.
- Se utilizzi GKE Enterprise prendi in considerazione Gateway in uscita di Cloud Service Mesh. Se non utilizzi GKE Enterprise, utilizza un'opzione di terze parti.
Per un confronto tra i prodotti, consulta Scegliere un prodotto per la connettività di rete.
Disattivare le reti predefinite
Quando crei un nuovo progetto Google Cloud, viene eseguito il deployment VPC rete con modalità automatica gli indirizzi IP e regole firewall precompilate automaticamente il provisioning. Per gli implementazioni di produzione, ti consigliamo di eliminare le reti predefinite nei progetti esistenti e di disattivare la creazione di reti predefinite nei nuovi progetti.
Le reti Virtual Private Cloud ti consentono di utilizzare qualsiasi indirizzo IP interno. Per evitare conflitti di indirizzi IP, ti consigliamo di pianificare innanzitutto l'allocazione della rete e degli indirizzi IP nei deployment e nei progetti collegati. Un progetto consente più reti VPC, ma in genere è buona prassi limitarle a una per progetto per applicare il controllo dell'accesso in modo efficace.
Proteggi il perimetro
In Google Cloud puoi utilizzare diversi metodi per segmentare e proteggere perimetrali, inclusi firewall Controlli di servizio VPC.
Utilizza le funzionalità di VPC condiviso per creare un deployment di produzione che ti fornisca un'unica rete condivisa isola i carichi di lavoro in singoli progetti che possono essere gestiti da i team di sicurezza. Il VPC condiviso fornisce deployment, gestione e delle risorse di sicurezza di rete e di sicurezza in più progetti. Il VPC condiviso è costituito da progetti host e di servizio che eseguono le seguenti funzioni:
- Un progetto host contiene le risorse di rete e relative alla sicurezza della rete, come reti VPC, subnet, regole firewall e connettività ibrida.
- Un progetto di servizio si collega a un progetto host. Ti consente di isolare i carichi di lavoro e gli utenti a livello di progetto utilizzando Identity and Access Management (IAM), mentre condivide le risorse di rete del progetto host gestito centralmente.
Definisci criteri e regole firewall a livello di organizzazione, cartella e rete VPC. Puoi e configurare regole firewall per consentire o negare il traffico da o verso le istanze VM. Per esempi, consulta Esempi di criteri firewall di rete globali e regionali e Esempi di criteri firewall gerarchici. Oltre a definire regole basate su indirizzi IP, protocolli e porte, gestire il traffico e applicare regole firewall in base account di servizio usato da un'istanza VM o mediante tag sicuri.
Per controllare il movimento dei dati nei servizi Google e configurare l'accesso basato sul contesto per la sicurezza perimetrale, consideriamo i Controlli di servizio VPC. Controlli di servizio VPC offre un ulteriore livello di sicurezza per i servizi Google Cloud, indipendenti da regole e criteri IAM e firewall. Ad esempio, i Controlli di servizio VPC ti consentono di configurare perimetri tra dati riservati e non riservati in modo da poter applicare controlli che contribuiscono a impedire l'esfiltrazione di dati.
Utilizza i criteri di sicurezza di Google Cloud Armor per consentire, negare o reindirizzare le richieste all'Application Load Balancer esterno sul perimetro di Google Cloud, il più vicino possibile alla sorgente del traffico in entrata. Questi criteri impediscono che il traffico indesiderato consumi risorse o entri nella tua rete.
Utilizza Secure Web Proxy per applicare criteri di accesso granulari al traffico web in uscita e per monitorare l'accesso a servizi web non attendibili.
Ispezionare il traffico di rete
Puoi utilizzare Cloud Intrusion Detection System (Cloud IDS) e Mirroring pacchetto per garantire la sicurezza e la conformità dei carichi di lavoro Compute Engine e Google Kubernetes Engine (GKE)
Utilizza le funzionalità di Cloud IDS per ottenere visibilità sul traffico in entrata e in uscita dal VPC reti. Cloud IDS crea una rete in peering gestita da Google che ha eseguito delle VM in esecuzione. Le tecnologie di protezione dalle minacce di Palo Alto Networks eseguiscono il mirroring e ispezionano il traffico. Per ulteriori informazioni, consulta la panoramica di Cloud IDS.
Il mirroring dei pacchetti clona il traffico delle istanze VM specificate nella rete VPC e lo inoltra per la raccolta, la conservazione e l'esame. Dopo la configurazione Mirroring pacchetto, puoi utilizzare Cloud IDS o strumenti di terze parti per raccogliere e ispezionare il traffico di rete su larga scala. Ispezionare il traffico di rete in questo modo contribuisce a fornire il rilevamento delle intrusioni e il monitoraggio delle prestazioni delle applicazioni.
Utilizza un web application firewall
Per applicazioni e servizi web esterni, puoi attivare Google Cloud Armor per fornire protezione DDoS (Distributed Denial-of-Service) e applicazioni web le funzionalità di firewall (WAF). Google Cloud Armor supporta Google Cloud carichi di lavoro esposti utilizzando il bilanciamento del carico HTTP(S) esterno, il carico proxy TCP o del proxy SSL.
Google Cloud Armor è offerto in due livelli di servizio: Standard e Managed Protection Plus. Per sfruttare appieno le funzionalità avanzate di Google Cloud Armor, dovresti investire in Managed Protection Plus per i carichi di lavoro chiave.
Automatizzare il provisioning dell'infrastruttura
L'automazione ti consente di creare un'infrastruttura immutabile, il che significa che non può essere modificata dopo il provisioning. Questa misura offre al team operativo una buon stato, rollback rapido e capacità di risoluzione dei problemi. Per l'automazione, puoi utilizzare strumenti come Terraform, Jenkins e Cloud Build.
Per aiutarti a creare un ambiente che utilizzi l'automazione, Google Cloud offre una serie di progetti base di sicurezza che a loro volta si basano sul progetto base per le aziende. Il progetto di base per la sicurezza fornisce il design di Google per un ambiente di applicazioni sicuro e descrive passo passo come configurare e implementare la tua proprietà Google Cloud. Utilizzando le istruzioni e gli script che fanno parte del progetto delle piattaforme di sicurezza, puoi configurare un ambiente che soddisfi le nostre linee guida e best practice per la sicurezza. Puoi basarti su questo modello con altri modelli o progettare la tua automazione.
Per ulteriori informazioni sull'automazione, consulta Utilizzare una pipeline CI/CD per i flussi di lavoro di elaborazione dei dati.
Monitorare la rete
Monitora la tua rete e il tuo traffico utilizzando la telemetria.
Log di flusso VPC e Logging delle regole firewall offrono visibilità quasi in tempo reale sul traffico e sull'uso del firewall nell'ambiente Google Cloud. Ad esempio: Logging delle regole firewall registra il traffico da e verso le istanze VM di Compute Engine. Se combini questi strumenti con Cloud Logging e Cloud Monitoring, puoi monitorare, generare avvisi e visualizzare i pattern di traffico e accesso per migliorare la sicurezza operativa del tuo deployment.
Firewall Insights ti consente di esaminare le regole firewall che corrispondono alle connessioni in entrata e in uscita e se le connessioni sono state consentite o negate. La funzionalità delle regole con shadowing ti aiuta a ottimizzare la configurazione del firewall mostrandoti quali regole non vengono mai attivate perché un'altra regola viene sempre attivata per prima.
Utilizza Network Intelligence Center per vedere come si comportano la topologia e l'architettura della rete. Puoi ottenere informazioni dettagliate sul rendimento della rete e ottimizzare il deployment per eliminare eventuali colli di bottiglia nel servizio. Test di connettività che forniscono insight sulle regole e sui criteri firewall applicati al percorso di rete.
Per ulteriori informazioni sul monitoraggio, consulta Implementare il logging e i controlli di rilevamento.
Passaggi successivi
Scopri di più sulla sicurezza di rete con le risorse seguenti:
- Implementare la sicurezza dei dati (prossimo documento di questa serie)
- Best practice e architetture di riferimento per la progettazione di VPC
- Ruoli IAM per amministrare i Controlli di servizio VPC
- Orientamento iniziale come partner di Security Command Center
- Visualizzazione di vulnerabilità e minacce in Security Command Center
- Mirroring pacchetti: visualizza e proteggi la tua rete cloud
- Utilizzare il mirroring pacchetto per il rilevamento delle intrusioni
- Utilizzare il mirroring pacchetto con una soluzione IDS di un partner