Protezione della rete

Questo documento nel framework dell'architettura Google Cloud fornisce le best practice per la protezione della rete.

L'estensione della rete esistente ad ambienti cloud ha molte implicazioni per la sicurezza. Il tuo approccio on-premise alle difese a più livelli prevede che preveda un perimetro distinto tra internet e la tua rete interna. Probabilmente proteggerai il perimetro utilizzando meccanismi come firewall fisici, router e sistemi di rilevamento delle intrusioni. Poiché il confine è chiaramente definito, puoi monitorare le intrusioni e reagire di conseguenza.

Quando passi al cloud (completamente o con un approccio ibrido), passi al perimetro della rete on-premise. Questo documento descrive i modi in cui puoi continuare a proteggere i dati e i carichi di lavoro della tua organizzazione su Google Cloud. Come menzionato in Gestione dei rischi con i controlli, il modo in cui configuri e proteggi la tua rete Google Cloud dipende dai requisiti aziendali e dalla propensione al rischio.

Questa sezione presuppone che tu abbia letto la sezione Networking nella categoria Progettazione del sistema e che tu abbia già creato un diagramma dell'architettura di base dei componenti di rete di Google Cloud. Per un diagramma di esempio, consulta Hub-and-spoke.

Esegui il deployment di reti Zero Trust

Il passaggio al cloud significa che il modello di attendibilità della rete deve cambiare. Poiché i tuoi utenti e i tuoi carichi di lavoro non si trovano più dietro il tuo perimetro on-premise, non puoi utilizzare le protezioni perimetrali allo stesso modo per creare una rete interna affidabile. Il modello di sicurezza Zero Trust indica che nessuno è considerato attendibile per impostazione predefinita, sia all'interno che all'esterno della rete dell'organizzazione. Durante la verifica delle richieste di accesso, il modello di sicurezza Zero Trust richiede la verifica sia dell'identità dell'utente che del contesto. A differenza di una VPN, i controlli di accesso vengono spostati dal perimetro di rete agli utenti e ai dispositivi.

In Google Cloud, puoi utilizzare BeyondCorp Enterprise come soluzione Zero Trust. BeyondCorp Enterprise offre protezione dei dati e dalle minacce e controlli dell'accesso aggiuntivi. Per ulteriori informazioni su come configurarlo, consulta la guida introduttiva a BeyondCorp Enterprise.

Oltre a BeyondCorp Enterprise, Google Cloud include Identity-Aware Proxy (IAP). IAP consente di estendere la sicurezza Zero Trust alle applicazioni sia in Google Cloud che on-premise. IAP utilizza i criteri di controllo dell'accesso per fornire l'autenticazione e l'autorizzazione agli utenti che accedono alle tue applicazioni e alle tue risorse.

Proteggere le connessioni agli ambienti on-premise o multi-cloud

Molte organizzazioni hanno carichi di lavoro sia in ambienti cloud che on-premise. Inoltre, per la resilienza, alcune organizzazioni utilizzano soluzioni multi-cloud. In questi scenari, è fondamentale proteggere la connettività tra tutti gli ambienti.

Google Cloud include metodi di accesso privato per le VM supportati da Cloud VPN o Cloud Interconnect, tra cui:

• Utilizza Cross-Cloud Interconnect come servizio gestito per collegare le tue reti VPC ad altri cloud provider supportati tramite connessioni dirette ad alta velocità. Con Cross-Cloud Interconnect, non devi fornire il tuo router o collaborare con un fornitore di terze parti.
• Usa Dedicated Interconnect e Partner Interconnect per collegare le tue reti VPC al tuo data center on-premise o ad altri cloud provider tramite connessioni dirette ad alta velocità.
• Utilizza le VPN IPsec per collegare le tue reti Virtual Private Cloud (VPC) al tuo data center on-premise o ad altri cloud provider.
• Utilizza gli endpoint Private Service Connect per accedere ai servizi pubblicati forniti dalla tua organizzazione o da un altro provider.
• Utilizza gli endpoint Private Service Connect per consentire alle VM di accedere alle API di Google utilizzando indirizzi IP interni. Con Private Service Connect, le VM non devono avere indirizzi IP esterni per accedere ai servizi Google.
• Se utilizzi GKE Enterprise, considera i gateway in uscita da Anthos Service Mesh. Se non utilizzi GKE Enterprise, utilizza un'opzione di terze parti.

Per un confronto tra i prodotti, vedi Scegliere un prodotto per la connettività di rete.

Disattiva reti predefinite

Quando crei un nuovo progetto Google Cloud, viene eseguito automaticamente il provisioning di una rete Google Cloud VPC predefinita con indirizzi IP in modalità automatica e regole firewall precompilate. Per i deployment di produzione, ti consigliamo di eliminare le reti predefinite nei progetti esistenti e disabilitare la creazione di reti predefinite nei nuovi progetti.

Le reti Virtual Private Cloud consentono di utilizzare qualsiasi indirizzo IP interno. Per evitare conflitti di indirizzi IP, ti consigliamo di pianificare prima la rete e l'allocazione degli indirizzi IP nei deployment connessi e nei progetti. Un progetto consente più reti VPC, ma di solito conviene limitarle a una per progetto al fine di applicare in modo efficace controllo dell'accesso dell'accesso.

Proteggi il perimetro

In Google Cloud puoi utilizzare vari metodi per segmentare e proteggere il perimetro cloud, inclusi firewall e Controlli di servizio VPC.

Utilizza un VPC condiviso per creare un deployment di produzione che ti fornisca un'unica rete condivisa e che isola i carichi di lavoro in singoli progetti che possono essere gestiti da team diversi. Il VPC condiviso offre deployment, gestione e controllo centralizzati delle risorse di sicurezza di rete e di rete in più progetti. Il VPC condiviso è costituito da progetti host e di servizio che eseguono le seguenti funzioni:

• Un progetto host contiene le risorse relative alla sicurezza di rete e di rete, ad esempio reti VPC, subnet, regole firewall e connettività ibrida.
• Un progetto di servizio viene collegato a un progetto host. Consente di isolare i carichi di lavoro e gli utenti a livello di progetto utilizzando Identity and Access Management (IAM), mentre condivide le risorse di networking dal progetto host gestito centralmente.

Definisci criteri e regole firewall a livello di organizzazione, cartella e rete VPC. Puoi configurare regole firewall per consentire o negare il traffico da o verso le istanze VM. Ad esempio, consulta Esempi di criteri firewall di rete globali e a livello di regione ed Esempi di criteri firewall gerarchici. Oltre a definire le regole in base a indirizzi IP, protocolli e porte, puoi gestire il traffico e applicare regole firewall in base all'account di servizio utilizzato da un'istanza VM o utilizzando tag protetti.

Per controllare lo spostamento dei dati nei servizi Google e per configurare la sicurezza del perimetro basata sul contesto, prendi in considerazione Controlli di servizio VPC. I Controlli di servizio VPC forniscono un ulteriore livello di sicurezza per i servizi Google Cloud, indipendente da regole e criteri IAM e firewall. Ad esempio, Controlli di servizio VPC consente di configurare perimetri tra dati riservati e non riservati, in modo da poter applicare controlli che aiutano a prevenire l'esfiltrazione di dati.

Utilizza i criteri di sicurezza di Google Cloud Armor per consentire, negare o reindirizzare le richieste al bilanciatore del carico delle applicazioni esterno a livello perimetrale di Google Cloud, il più vicino possibile alla sorgente del traffico in entrata. Questi criteri impediscono al traffico indesiderato di consumare risorse o di entrare nella rete.

Utilizza Secure Web Proxy per applicare criteri di accesso granulari al traffico web in uscita e per monitorare l'accesso a servizi web non attendibili.

Esaminare il traffico di rete

Puoi utilizzare Cloud Intrusion Detection System (Cloud IDS) e Mirroring pacchetto per garantire la sicurezza e la conformità dei carichi di lavoro in esecuzione in Compute Engine e Google Kubernetes Engine (GKE).

Utilizza Cloud IDS per ottenere visibilità sul traffico in entrata e in uscita dalle tue reti VPC. Cloud IDS crea una rete in peering gestita da Google che ha VM con mirroring. Le tecnologie di protezione dalle minacce di Palo Alto Networks eseguono il mirroring e l'ispezione del traffico. Per maggiori informazioni, consulta la panoramica di Cloud IDS.

Il Mirroring pacchetto clona il traffico di istanze VM specificate nella rete VPC e lo inoltra per la raccolta, la conservazione e l'esame. Dopo aver configurato il servizio Mirroring pacchetto, puoi utilizzare Cloud IDS o strumenti di terze parti per raccogliere e analizzare il traffico di rete su larga scala. L'ispezione del traffico di rete in questo modo consente di rilevare le intrusioni e monitorare le prestazioni delle applicazioni.

Usare un web application firewall

Per i servizi e le applicazioni web esterni, puoi abilitare Google Cloud Armor per fornire funzionalità di protezione DDoS (Distributed Denial of Service) e Firewall delle applicazioni web (WAF Application Firewall). Google Cloud Armor supporta i carichi di lavoro Google Cloud esposti utilizzando il bilanciamento del carico HTTP(S) esterno, il bilanciamento del carico del proxy TCP o il bilanciamento del carico del proxy SSL.

Google Cloud Armor è offerto in due livelli di servizio, Standard e Managed Protection Plus. Per sfruttare al massimo le funzionalità avanzate di Google Cloud Armor, devi investire in Managed Protection Plus per i tuoi carichi di lavoro chiave.

Automatizza il provisioning dell'infrastruttura

L'Automation consente di creare un'infrastruttura immutabile, il che significa che non può essere modificata dopo il provisioning. Questa misura fornisce al team operativo uno stato valido noto, un rollback veloce e funzionalità di risoluzione dei problemi. Per l'automazione, puoi utilizzare strumenti come Terraform, Jenkins e Cloud Build.

Per aiutarti a creare un ambiente che utilizza l'automazione, Google Cloud fornisce una serie di progetti di sicurezza a loro volta basati sul progetto di base aziendale. Il progetto della piattaforma di sicurezza fornisce il design "guidato" di Google per un ambiente applicativo sicuro e descrive passo dopo passo come configurare ed eseguire il deployment della tua proprietà Google Cloud. Utilizzando le istruzioni e gli script che fanno parte del progetto della piattaforma di sicurezza, puoi configurare un ambiente che soddisfi le nostre best practice e linee guida per la sicurezza. Puoi basarti su quel progetto con altri progetti oppure creare la tua automazione.

Per maggiori informazioni sull'automazione, consulta Utilizzare una pipeline CI/CD per i flussi di lavoro di elaborazione dati.

Monitorare la rete

Monitora la rete e il traffico utilizzando la telemetria.

I log di flusso VPC e il logging delle regole firewall forniscono visibilità quasi in tempo reale sul traffico e sull'utilizzo del firewall nel tuo ambiente Google Cloud. Ad esempio, il logging delle regole firewall registra il traffico da e verso le istanze VM di Compute Engine. Se combini questi strumenti con Cloud Logging e Cloud Monitoring, puoi monitorare, avvisare e visualizzare i pattern di traffico e accesso per migliorare la sicurezza operativa del deployment.

Firewall Insights ti consente di esaminare le regole firewall corrispondenti alle connessioni in entrata e in uscita e se le connessioni sono state consentite o negate. La funzionalità delle regole con shadowing ti aiuta a ottimizzare la configurazione del firewall mostrando le regole non attivate perché un'altra regola viene sempre attivata per prima.

Utilizza Network Intelligence Center per visualizzare le prestazioni della topologia e dell'architettura di rete. Puoi ottenere insight dettagliati sulle prestazioni della rete e quindi ottimizzare il deployment per eliminare eventuali colli di bottiglia nel tuo servizio. I test di connettività forniscono insight sulle regole e sui criteri firewall applicati al percorso di rete.

Per maggiori informazioni sul monitoraggio, consulta Implementare il logging e i controlli di rilevamento.

Passaggi successivi

Scopri di più sulla sicurezza della rete nelle seguenti risorse:

• Implementare la sicurezza dei dati (documento successivo di questa serie)
• Best practice e architetture di riferimento per la progettazione di VPC
• Ruoli IAM per amministrare i Controlli di servizio VPC
• Onboarding in qualità di partner di Security Command Center
• Visualizzazione di vulnerabilità e minacce in Security Command Center
• Mirroring pacchetto: visualizza e protegge la rete cloud
• Usare Mirroring pacchetto per il rilevamento delle intrusioni
• Utilizzare il mirroring pacchetto con una soluzione IDS partner