Neste documento no Framework da arquitetura do Google Cloud, você encontra as práticas recomendadas para proteger sua rede.
Estender sua rede atual para incluir ambientes de nuvem tem muitas implicações para a segurança. Sua abordagem local de defesa de várias camadas provavelmente inclui um perímetro distinto entre a Internet e sua rede interna. Você provavelmente protege o perímetro usando mecanismos como firewalls físicos, roteadores e sistemas de detecção de intrusões. Como o limite é claramente definido, é possível monitorar facilmente intrusões e responder apropriadamente.
Ao migrar para a nuvem (completamente ou em uma abordagem híbrida), você passa para além do perímetro local. Neste documento, descrevemos maneiras de manter a segurança dos dados e cargas de trabalho da sua organização no Google Cloud. Conforme mencionado em Gerenciar riscos com controles, a configuração e a segurança da rede do Google Cloud dependem dos requisitos da empresa e do apetite ao risco.
Nesta seção, presume-se que você já leu a seção Rede na categoria Design do sistema e já criou um diagrama básico de arquitetura dos seus componentes de rede do Google Cloud. Para um exemplo de diagrama, consulte Hub-and-spoke.
Implantar redes de confiança zero
Migrar para a nuvem significa que o modelo de confiança da sua rede precisa mudar. Como os usuários e as cargas de trabalho não estão mais atrás do perímetro local, não é possível usar proteções de perímetro da mesma maneira para criar uma rede interna confiável. O modelo de segurança de confiança zero significa que ninguém é confiável por padrão, estejam eles dentro ou fora da rede da sua organização. Ao verificar as solicitações de acesso, o modelo de segurança de confiança zero exige que você verifique a identidade e o contexto do usuário. Ao contrário da VPN, você transfere os controles de acesso do perímetro de rede para os usuários e dispositivos.
No Google Cloud, é possível usar o Chrome Enterprise Premium como sua solução de confiança zero. O Chrome Enterprise Premium oferece proteção de dados e contra ameaças e outros controles de acesso. Para mais informações sobre como fazer a configuração, consulte Como começar no Chrome Enterprise Premium.
Além do Chrome Enterprise Premium, o Google Cloud inclui o Identity-Aware Proxy (IAP). Com o IAP, é possível aumentar a segurança de confiança zero para seus aplicativos no Google Cloud e no local. O IAP usa políticas de controle de acesso para fornecer autenticação e autorização aos usuários que acessam seus aplicativos e recursos.
Proteger conexões com os ambientes locais ou multicloud
Muitas organizações têm cargas de trabalho em ambientes de nuvem e no local. Além disso, para resiliência, algumas organizações usam soluções multicloud. Nesses cenários, é essencial proteger a conectividade entre todos os seus ambientes.
O Google Cloud inclui métodos de acesso particular para VMs com suporte do Cloud VPN ou Cloud Interconnect, incluindo estes:
- UseInterconexão entre nuvens , como um serviço gerenciado, para vincular suas redes VPC a outrosprovedores de nuvem compatíveis em conexões diretas de alta velocidade. Com o Cross-Cloud Interconnect, você não precisa fornecer seu próprio roteador ou trabalhar com um fornecedor terceirizado.
- Use a Interconexão dedicada e a Interconexão por parceiro para vincular suas redes VPC ao data center local ou a outros provedores de nuvem por conexões diretas de alta velocidade.
- Use as VPNs IPsec para vincular suas redes de nuvem privada virtual (VPC, na sigla em inglês) ao seu data center local ou a outros provedores de nuvem.
- Use os endpoints do Private Service Connect para acessar os serviços publicados que são fornecidos por sua organização ou por outro provedor.
- Use os endpoints do Private Service Connect para permitir que suas VMs acessem as APIs do Google usando endereços IP internos. Com o Private Service Connect, as VMs não precisam ter endereços IP externos para acessar os serviços do Google.
- Se você usa o GKE Enterprise, considere os gateways de saída do Anthos Service Mesh. Se você não usa o GKE Enterprise, use uma opção de terceiros.
Para uma comparação entre os produtos, consulte Como escolher um produto de conectividade de rede.
Desativar redes padrão
Quando você cria um novo projeto do Google Cloud, uma rede VPC padrão do Google Cloud com endereços IP de modo automático e Regras de firewall pré-preenchidas são provisionadas automaticamente. Para implantações de produção, recomendamos que você exclua as redes padrão dos projetos atuais e desative a criação de redes padrão nos novos projetos.
Com as redes de nuvem privada virtual, você pode usar qualquer endereço IP interno. Para evitar conflitos de endereço IP, recomendamos planejar primeiro a alocação de rede e endereço IP nas implantações conectadas e nos projetos. Um projeto permite várias redes VPC, mas geralmente é uma prática recomendada limitar essas redes a uma por projeto para aplicar o controle de acesso com eficiência.
Proteger seu perímetro
No Google Cloud, é possível usar vários métodos para segmentar e proteger seu perímetro de nuvem, incluindo firewalls e VPC Service Controls.
Use a VPC compartilhada para criar uma implantação de produção que ofereça uma única rede compartilhada e que isole cargas de trabalho em projetos individuais que podem ser gerenciados por equipes diferentes. Ela oferece implantação centralizada, gerenciamento e controle de recursos de segurança de rede e rede em vários projetos. A VPC compartilhada consiste em projetos host e de serviço que executam as seguintes funções:
- Um projeto host contém recursos relacionados à segurança de rede e rede, como redes VPC, sub-redes, regras de firewall e conectividade híbrida.
- Um projeto de serviço é anexado a um projeto host. Ele permite isolar cargas de trabalho e usuários no nível do projeto usando o gerenciamento de identidade e acesso (IAM), enquanto compartilha os recursos de rede do projeto host gerenciado centralmente.
Defina políticas e regras de firewall no nível da organização, da pasta e da rede VPC. É possível configurar regras de firewall para permitir ou negar o tráfego de instâncias de VM. Para exemplos, consulte Exemplos de políticas de firewall de rede globais e regionais e Exemplos de políticas hierárquicas de firewall. Além de definir regras com base em endereços IP, protocolos e portas, é possível gerenciar o tráfego e aplicar regras de firewall com base na conta de serviço usada por uma instância de VM ou usando tags seguras.
Para controlar a movimentação de dados nos serviços do Google e configurar a segurança de perímetro baseada em contexto, considere usar o VPC Service Controls. O VPC Service Controls fornece uma camada extra de segurança para os serviços do Google Cloud, independente de regras e políticas de firewall do IAM. Por exemplo, o VPC Service Controls permite a configuração de perímetros entre dados confidenciais e não confidenciais para que você possa aplicar controles que ajudam a evitar a exfiltração de dados.
Com as políticas de segurança do Google Cloud Armor, você permite, nega ou redireciona solicitações para o balanceador de carga de aplicativo externo na conexão do Google Cloud, o mais próximo possível da origem do tráfego de entrada. Essas políticas impedem que o tráfego indesejado consumir recursos ou entrar na rede.
Use o proxy da Web seguro para aplicar políticas de acesso granulares ao tráfego de saída da Web e para monitorar o acesso a serviços da Web não confiáveis.
Inspecionar o tráfego da sua rede
É possível usar o Sistema de detecção de intrusões do Cloud (Cloud IDS) e o Espelhamento de pacotes para garantir a segurança e a conformidade das cargas de trabalho em execução no Compute Engine e no Google Kubernetes Engine (GKE).
Use o Cloud IDS para ter visibilidade do tráfego de entrada e saída das redes VPC. O Cloud IDS cria uma rede com peering gerenciada pelo Google que espelha VMs. As tecnologias de proteção contra ameaças da Palo Alto Networks espelham e inspecionam o tráfego. Para mais informações, consulte a Visão geral do Cloud IDS.
O Espelhamento de pacotes clona o tráfego de instâncias de VM especificadas na rede VPC e o encaminha para coleta, retenção e exame. Depois de configurar o espelhamento de pacotes, é possível usar o Cloud IDS ou ferramentas de terceiros para coletar e inspecionar o tráfego de rede em grande escala. Inspecionar o tráfego de rede dessa maneira ajuda a fornecer detecção de intrusões e monitoramento de desempenho de aplicativos.
Usar um firewall de aplicativos da Web
Para aplicativos e serviços externos da Web, ative o Google Cloud Armor para fornecer recursos distribuídos de proteção contra negação de serviço (DDoS) e firewall de aplicativos da Web (WAF). O Google Cloud Armor é compatível com cargas de trabalho do Google Cloud que são expostas usando balanceamento de carga HTTP(S) externo, de proxy TCP ou de proxy SSL.
O Google Cloud Armor é oferecido em dois níveis de serviço: Standard e Managed Protection Plus: Para aproveitar ao máximo os recursos avançados do Google Cloud Armor, você precisa investir no Managed Protection Plus para suas cargas de trabalho importantes.
Automatização do provisionamento de infraestrutura
A automação permite criar uma infraestrutura imutável, o que significa que não pode ser alterada após o provisionamento. Essa medida oferece à sua equipe de operações um bom estado conhecido, reversão rápida e recursos de solução de problemas. Para automação, use ferramentas como o Terraform, o Jenkins e o Cloud Build.
Para ajudar você a criar um ambiente que usa automação, o Google Cloud fornece uma série de blueprints de segurança que, por sua vez, são criados no blueprint de bases empresariais. O modelo de base de segurança fornece o design opinativo do Google para um ambiente de aplicativos seguro e descreve passo a passo como configurar e implantar sua propriedade do Google Cloud. Usando as instruções e os scripts que fazem parte do blueprint de bases de segurança, é possível configurar um ambiente que atenda às nossas práticas recomendadas e diretrizes de segurança. Você pode criar nesse blueprint com outros modelos ou projetar sua própria automação.
Para mais informações sobre automação, consulte Usar um pipeline de CI/CD para fluxos de trabalho de processamento de dados.
Monitorar a rede
Monitore sua rede e seu tráfego usando telemetria
Os registros de fluxo de VPC e a geração de registros das regras de firewall oferecem visibilidade quase em tempo real do tráfego e do uso do firewall no seu ambiente do Google Cloud. Por exemplo, a geração de registros de regras de firewall registra o tráfego de e para instâncias de VM do Compute Engine. Ao combinar essas ferramentas com o Cloud Logging e o Cloud Monitoring, é possível rastrear, alertar e visualizar o tráfego e padrões de acesso para melhorar a segurança operacional da implantação.
A ferramenta Firewall Insights permite que você verifique quais regras de firewall corresponderam às conexões de entrada e saída e se as conexões foram permitidas ou negadas. O recurso de regras sombreadas ajuda a ajustar a configuração do firewall mostrando quais regras nunca são acionadas porque outra regra é sempre acionada primeiro.
Use o Network Intelligence Center para conferir o desempenho da topologia e da arquitetura da rede É possível receber insights detalhados sobre o desempenho da rede e otimizar a implantação para eliminar gargalos no serviço. Os testes de conectividade fornecem insights sobre as regras e políticas de firewall que são aplicadas ao caminho da rede.
Para mais informações sobre monitoramento, consulte Implementar a geração de registros e os controles de detetive.
A seguir
Saiba mais sobre segurança de rede com os seguintes recursos:
- Implemente a segurança dos dados (próximo documento desta série)
- Práticas recomendadas e arquiteturas de referência para o design da VPC
- Papéis do IAM para administrar o VPC Service Controls
- Como fazer integração como um parceiro do Security Command Center
- Como visualizar vulnerabilidades e ameaças no Security Command Center
- Espelhamento de pacotes: visualize e proteja sua rede em nuvem
- Como usar o Espelhamento de pacotes para detecção de intrusões
- Como usar o Espelhamento de pacotes com uma solução de IDS do parceiro