Questo documento del Google Cloud framework dell'architettura fornisce le best practice per proteggere la tua rete.
L'estensione della rete esistente agli ambienti cloud ha molte implicazioni per la sicurezza. Il tuo approccio on-premise alle difese multilivello prevede probabilmente un perimetro distinto tra internet e la tua rete interna. Probabilmente proteggi il perimetro utilizzando meccanismi come firewall fisici, router e sistemi di rilevamento delle intrusioni. Poiché il confine è ben definito, puoi monitorare le intrusioni e rispondere di conseguenza.
Quando passi al cloud (completamente o con un approccio ibrido), superi il perimetro on-premise. Questo documento descrive i modi in cui puoi continuare a proteggere i dati e i carichi di lavoro della tua organizzazione suGoogle Cloud. Come accennato in Gestire i rischi con i controlli, il modo in cui configuri e proteggi la tua Google Cloud rete dipende dai requisiti aziendali e dalla propensione al rischio.
Questa sezione presuppone che tu abbia già creato un diagramma di architettura di base dei tuoi Google Cloud componenti di rete. Per un diagramma di esempio, consulta Hub-and-spoke.
Esegui il deployment di reti Zero Trust
Il passaggio al cloud significa che il modello di attendibilità della rete deve cambiare. Poiché gli utenti e i carichi di lavoro non si trovano più all'interno del perimetro on-premise, non è possibile utilizzare le protezioni perimetrali allo stesso modo per creare una rete interna attendibile. Il modello di sicurezza Zero Trust prevede che per impostazione predefinita nessuno sia considerato attendibile, che si trovi all'interno o all'esterno della rete della tua organizzazione. Quando verifichi le richieste di accesso, il modello di sicurezza zero trust ti richiede di controllare sia l'identità sia il contesto dell'utente. A differenza di una VPN, sposti i controlli dell'accesso dal perimetro della rete agli utenti e ai dispositivi.
In Google Cloud, puoi utilizzare Chrome Enterprise Premium come soluzione zero trust. Chrome Enterprise Premium fornisce protezione dei dati e tutela dalle minacce e aggiuntivi controlli di accesso. Per ulteriori informazioni su come configurarlo, consulta Guida introduttiva a Chrome Enterprise Premium.
Oltre a Chrome Enterprise Premium, Google Cloud include Identity-Aware Proxy (IAP). IAP ti consente di estendere la sicurezza Zero Trust alle tue applicazioni sia Google Cloud in cloud che on-premise. IAP utilizza i criteri di controllo dell'accesso per fornire autenticazione e autorizzazione agli utenti che accedono alle tue applicazioni e risorse.
Proteggere le connessioni agli ambienti on-premise o multi-cloud.
Molte organizzazioni hanno carichi di lavoro sia in ambienti cloud che on-premise. Inoltre, per la resilienza, alcune organizzazioni utilizzano soluzioni multicloud. In questi scenari, è fondamentale proteggere la connettività tra tutti i tuoi ambienti.
Google Cloud include metodi di accesso privato per le VM supportati da Cloud VPN o Cloud Interconnect, tra cui:
- Utilizza Cross-Cloud Interconnect, come servizio gestito, per collegare le tue reti VPC ad altri provider di cloud supportati tramite connessioni dirette ad alta velocità. Con Cross-Cloud Interconnect, non devi fornire il tuo router o collaborare con un fornitore di terze parti.
- Utilizza Dedicated Interconnect e Partner Interconnect per collegare le tue reti VPC al tuo data center on-premise o ad altri fornitori di servizi cloud tramite connessioni dirette ad alta velocità.
- Utilizza le VPN IPsec per collegare le tue reti Virtual Private Cloud (VPC) al tuo data center on-premise o ad altri provider cloud.
- Utilizza gli endpoint Private Service Connect per accedere ai servizi pubblicati forniti dalla tua organizzazione o da un altro provider.
- Utilizza gli endpoint Private Service Connect per consentire alle VM di accedere alle API di Google utilizzando indirizzi IP interni. Con Private Service Connect, le VM non devono avere indirizzi IP esterni per accedere ai servizi Google.
- Se utilizzi GKE Enterprise, valuta la possibilità di utilizzare gateway in uscita di Cloud Service Mesh. Se non utilizzi GKE Enterprise, utilizza un'opzione di terze parti.
Per un confronto tra i prodotti, consulta Scegliere un prodotto per la connettività di rete.
Disattivare le reti predefinite
Quando crei un nuovo Google Cloud progetto, viene eseguito automaticamente il provisioning di una rete Google Cloud VPC predefinita con modalità automatica indirizzi IP e regole firewall precaricate. Per gli implementazioni di produzione, ti consigliamo di eliminare le reti predefinite nei progetti esistenti e di disattivare la creazione di reti predefinite nei nuovi progetti.
Le reti Virtual Private Cloud ti consentono di utilizzare qualsiasi indirizzo IP interno. Per evitare conflitti di indirizzi IP, ti consigliamo di pianificare innanzitutto l'allocazione della rete e degli indirizzi IP nei deployment e nei progetti collegati. Un progetto consente più reti VPC, ma in genere è buona prassi limitarle a una per progetto per applicare il controllo dell'accesso in modo efficace.
Proteggi il perimetro
In Google Cloud, puoi utilizzare vari metodi per segmentare e proteggere il perimetro cloud, inclusi i firewall e i Controlli di servizio VPC.
Utilizza VPC condiviso per creare un deployment di produzione che ti fornisca un'unica rete condivisa e che isole i carichi di lavoro in singoli progetti che possono essere gestiti da diversi team. VPC condiviso fornisce il deployment, la gestione e il controllo centralizzati delle risorse di rete e di sicurezza della rete in più progetti. VPC condiviso è composta da progetti host e di servizio che svolgono le seguenti funzioni:
- Un progetto host contiene le risorse di networking e relative alla sicurezza della rete, come reti VPC, subnet, regole firewall e connettività ibrida.
- Un progetto di servizio si collega a un progetto host. Ti consente di isolare i carichi di lavoro e gli utenti a livello di progetto utilizzando Identity and Access Management (IAM), mentre condivide le risorse di rete del progetto host gestito centralmente.
Definisci criteri e regole firewall a livello di organizzazione, cartella e rete VPC. Puoi configurare le regole del firewall per consentire o negare il traffico verso o da istanze VM. Per esempi, consulta Esempi di criteri firewall di rete globali e regionali e Esempi di criteri firewall gerarchici. Oltre a definire regole in base ad indirizzi IP, protocolli e porte, puoi gestire il traffico e applicare regole firewall in base all'account di servizio utilizzato da un'istanza VM o utilizzando i tag sicuri.
Per controllare il movimento dei dati nei servizi Google e configurare la sicurezza del perimetro basata sul contesto, valuta la possibilità di utilizzare i Controlli di servizio VPC. I Controlli di servizio VPC forniscono un livello aggiuntivo di sicurezza per Google Cloud i servizi indipendente da IAM e dalle regole e dai criteri della firewall. Ad esempio, i Controlli di servizio VPC ti consentono di configurare perimetri tra dati riservati e non riservati in modo da poter applicare controlli che contribuiscono a impedire l'esfiltrazione di dati.
Utilizza i criteri di sicurezza di Google Cloud Armor per consentire, negare o reindirizzare le richieste al bilanciatore del carico delle applicazioni esterno Google Cloud sul perimetro, il più vicino possibile alla sorgente del traffico in entrata. Questi criteri impediscono che il traffico indesiderato consumi risorse o entri nella tua rete.
Utilizza Secure Web Proxy per applicare criteri di accesso granulari al traffico web in uscita e per monitorare l'accesso a servizi web non attendibili.
Ispezionare il traffico di rete
Puoi utilizzare Cloud IDS (Cloud Intrusion Detection System) e Mirroring pacchetto per garantire la sicurezza e la conformità dei workload in esecuzione in Compute Engine e Google Kubernetes Engine (GKE).
Utilizza Cloud IDS per ottenere visibilità sul traffico in entrata e in uscita dalle reti VPC. Cloud IDS crea una rete in cui i peer sono gestiti da Google e che ha VM mirrorizzate. Le tecnologie di protezione dalle minacce di Palo Alto Networks eseguiscono il mirroring e ispezionano il traffico. Per ulteriori informazioni, consulta la panoramica di Cloud IDS.
Il mirroring dei pacchetti clona il traffico delle istanze VM specificate nella rete VPC e lo inoltra per la raccolta, la conservazione e l'esame. Dopo aver configurato Mirroring pacchetto, puoi utilizzare Cloud IDS o strumenti di terze parti per raccogliere e ispezionare il traffico di rete su larga scala. Ispezionare il traffico di rete in questo modo contribuisce a fornire il rilevamento delle intrusioni e il monitoraggio delle prestazioni delle applicazioni.
Utilizzare un web application firewall
Per i servizi e le applicazioni web esterni, puoi attivare Google Cloud Armor per fornire protezione DDoS (Distributed Denial-of-Service) e funzionalità WAF (Web Application Firewall). Google Cloud Armor supporta Google Cloud i carichi di lavoro esposti utilizzando il bilanciamento del carico HTTP(S) esterno, il bilanciamento del carico del proxy TCP o il bilanciamento del carico del proxy SSL.
Google Cloud Armor è disponibile in due livelli di servizio, Standard e Managed Protection Plus. Per sfruttare appieno le funzionalità avanzate di Google Cloud Armor, dovresti investire in Managed Protection Plus per i tuoi carichi di lavoro principali.
Automatizzare il provisioning dell'infrastruttura
L'Automation ti consente di creare un'infrastruttura immutabile, il che significa che non può essere modificata dopo il provisioning. Questa misura offre al team operativo uno stato di buona qualità noto, un rollback rapido e funzionalità di risoluzione dei problemi. Per l'automazione, puoi utilizzare strumenti come Terraform, Jenkins e Cloud Build.
Per aiutarti a creare un ambiente che utilizzi l'automazione, Google Cloud fornisce una serie di progetti base di sicurezza che a loro volta si basano sul progetto base per le aziende. Il progetto di base per la sicurezza fornisce il design di Google per un ambiente di applicazioni sicuro e descrive passo passo come configurare e eseguire il deployment della tua Google Cloud estate. Utilizzando le istruzioni e gli script che fanno parte del progetto delle piattaforme di sicurezza, puoi configurare un ambiente che soddisfi le nostre linee guida e best practice per la sicurezza. Puoi basarti su questo modello con altri modelli o progettare la tua automazione.
Monitorare la rete
Monitora la tua rete e il tuo traffico utilizzando la telemetria.
I log di flusso VPC e il logging delle regole firewall forniscono una visibilità quasi in tempo reale del traffico e dell'utilizzo del firewall nel tuo Google Cloud ambiente. Ad esempio, il logging delle regole firewall registra il traffico da e verso le istanze VM di Compute Engine. Se combini questi strumenti con Cloud Logging e Cloud Monitoring, puoi monitorare, generare avvisi e visualizzare i pattern di traffico e accesso per migliorare la sicurezza operativa del tuo deployment.
Firewall Insights ti consente di esaminare le regole firewall che corrispondono alle connessioni in entrata e in uscita e se le connessioni sono state consentite o negate. La funzionalità delle regole con shadowing ti aiuta a ottimizzare la configurazione del firewall mostrandoti quali regole non vengono mai attivate perché un'altra regola viene sempre attivata per prima.
Utilizza Network Intelligence Center per vedere come si comportano la topologia e l'architettura della rete. Puoi ottenere informazioni dettagliate sul rendimento della rete e ottimizzare il deployment per eliminare eventuali colli di bottiglia nel servizio. Connectivity Tests forniscono informazioni sulle regole e sui criteri del firewall applicati al percorso di rete.
Per ulteriori informazioni sul monitoraggio, consulta Implementare il logging e i controlli di rilevamento.
Passaggi successivi
Scopri di più sulla sicurezza della rete con le seguenti risorse:
- Implementare la sicurezza dei dati (documento successivo di questa serie)
- Best practice e architetture di riferimento per la progettazione di VPC
- Ruoli IAM per amministrare i Controlli di servizio VPC
- Orientamento iniziale come partner di Security Command Center
- Visualizzazione di vulnerabilità e minacce in Security Command Center
- Mirroring pacchetti: visualizza e proteggi la tua rete cloud
- Utilizzare il mirroring pacchetti per il rilevamento delle intrusioni
- Utilizzare il mirroring pacchetto con una soluzione IDS di un partner