Nell'ambito della strategia di difesa in profondità della tua organizzazione, potresti avere criteri di sicurezza che richiedono l'utilizzo di appliance di rete centralizzate per il rilevamento in linea e il blocco di attività di rete sospette. Questo documento ti aiuta a progettare le seguenti funzionalità avanzate di protezione della rete per i carichi di lavoro di Google Cloud VMware Engine:
- Mitigazione degli attacchi Distributed Denial of Service (DDoS)
- Offload SSL
- Firewall di nuova generazione (NGFW)
- Sistema di prevenzione delle intrusioni (IPS) e Intrusion Detection System (IDS)
- Deep Packet Ispezione (DPI)
Le architetture in questo documento utilizzano Cloud Load Balancing e le appliance di rete di Google Cloud Marketplace. Cloud Marketplace offre appliance di rete supportate dal fornitore e pronte per la produzione dai partner per la sicurezza di Google Cloud per le tue esigenze IT aziendali.
Le indicazioni contenute in questo documento sono rivolte agli architetti della sicurezza e agli amministratori di rete che progettano, eseguono il provisioning e gestiscono la connettività di rete per i carichi di lavoro di VMware Engine. Il documento presuppone che tu conosca la conoscenza di Virtual Private Cloud (VPC), VMware vSphere, VMware NSX, Network Address Translation (NAT) e Cloud Load Balancing.
Architettura
Il seguente diagramma mostra un'architettura per la connettività di rete ai carichi di lavoro di VMware Engine dalle reti on-premise e da internet. Più avanti in questo documento, questa architettura è stata estesa per soddisfare i requisiti di casi d'uso specifici.
La figura 1 mostra i seguenti componenti principali dell'architettura:
- Cloud privato VMware Engine: uno stack VMware isolato che comprende macchine virtuali (VM), spazio di archiviazione, infrastruttura di networking e VMware vCenter Server. VMware NSX-T fornisce funzionalità di networking e sicurezza come la microsegmentazione e i criteri del firewall. Le VM di VMware Engine utilizzano gli indirizzi IP dei segmenti di rete creati nel cloud privato.
- Servizio di indirizzi IP pubblici: fornisce indirizzi IP esterni alle VM di VMware Engine per consentire l'accesso in entrata da internet. Il gateway internet fornisce l'accesso in uscita per impostazione predefinita per le VM VMware Engine.
- Rete VPC tenant VMware Engine: una rete VPC dedicata e gestita da Google che viene utilizzata con ogni cloud privato VMware Engine per consentire la comunicazione con i servizi Google Cloud.
Reti VPC del cliente:
- Rete VPC cliente 1 (esterna): una rete VPC che ospita l'interfaccia rivolta al pubblico dell'appliance di rete e del bilanciatore del carico.
- Rete VPC del cliente 2 (interna): una rete VPC che ospita l'interfaccia interna dell'appliance di rete e che è connessa in peering con la rete VPC tenant VMware Engine utilizzando il modello di accesso privato ai servizi.
Accesso privato ai servizi: un modello di accesso privato che utilizza il peering di rete VPC per abilitare la connettività tra i servizi gestiti da Google e le tue reti VPC.
Appliance di rete: software di Networking che scegli da Cloud Marketplace ed esegui il deployment su istanze di Compute Engine. Per ulteriori informazioni sul deployment di appliance di rete di terze parti su Google Cloud, consulta appliance di rete centralizzate su Google Cloud.
Cloud Load Balancing: un servizio gestito da Google che puoi utilizzare per gestire il traffico verso carichi di lavoro distribuiti ad alta disponibilità in Google Cloud. Puoi scegliere un tipo di bilanciatore del carico adatto al tuo protocollo di traffico e ai tuoi requisiti di accesso. Le architetture in questo documento non utilizzano i bilanciatori del carico NSX-T integrati.
Note sulla configurazione
Il seguente diagramma mostra le risorse necessarie per fornire la connettività di rete per i carichi di lavoro VMware Engine:
La Figura 2 mostra le attività da completare per impostare e configurare le risorse in questa architettura. Di seguito è riportata una descrizione di ogni attività, incluso un link a un documento che fornisce ulteriori informazioni e istruzioni dettagliate.
Crea le reti e le subnet VPC esterne e interne seguendo le istruzioni in Creazione di una rete VPC in modalità personalizzata.
- Per ogni subnet, scegli un intervallo di indirizzi IP univoco nelle reti VPC.
- La rete VPC di gestione mostrata nel diagramma dell'architettura è facoltativa. Se necessario, puoi utilizzarlo per ospitare le interfacce NIC di gestione delle tue appliance di rete.
Esegui il deployment delle appliance di rete richieste da Cloud Marketplace.
Per l'alta disponibilità delle appliance di rete, esegui il deployment di ogni appliance in una coppia di VM distribuite in due zone.
Puoi eseguire il deployment delle appliance di rete nei gruppi di istanze. I gruppi di istanze possono essere gruppi di istanze gestite (MIG) o gruppi di istanze non gestite, a seconda dei requisiti di gestione o di assistenza del fornitore.
Esegui il provisioning delle interfacce di rete come segue:
nic0nella rete VPC esterna per instradare il traffico all'origine pubblica.nic1per le operazioni di gestione, se richiesto dal fornitore dell'appliance.nic2nella rete VPC interna per la comunicazione interna con le risorse VMware Engine.
Il deployment delle interfacce di rete in reti VPC separate consente di garantire la segregazione della zona di sicurezza a livello di interfaccia per le connessioni pubbliche e on-premise.
Configura VMware Engine:
- Crea un cloud privato VMware Engine.
- Crea un segmento di rete per le VM VMware Engine.
Utilizza l'accesso privato ai servizi per configurare il peering di rete VPC in modo da connettere la rete VPC interna alla rete VPC gestita da VMware Engine.
Se hai bisogno di una connettività ibrida alla tua rete on-premise, utilizza Cloud VPN o Cloud Interconnect.
Puoi estendere l'architettura nella Figura 2 per i seguenti casi d'uso:
| Caso d'uso | Prodotti e servizi utilizzati |
|---|---|
| NGFW per carichi di lavoro VMware Engine rivolti al pubblico |
|
| NGFW, mitigazione degli attacchi DDoS, offload SSL e rete CDN (Content Delivery Network) per carichi di lavoro VMware Engine rivolti al pubblico |
|
| NGFW per la comunicazione privata tra carichi di lavoro VMware Engine e data center on-premise o altri cloud provider |
|
| Punti di traffico in uscita centralizzati verso internet per i carichi di lavoro VMware Engine |
|
Le seguenti sezioni descrivono questi casi d'uso e forniscono una panoramica delle attività di configurazione per implementarli.
NGFW per carichi di lavoro rivolti al pubblico
Questo caso d'uso prevede i seguenti requisiti:
- Un'architettura ibrida composta da istanze VMware Engine e Compute Engine con un bilanciatore del carico L4 come frontend comune.
- Protezione per i carichi di lavoro VMware Engine pubblici mediante una soluzione IPS/IDS, NGFW, DPI o NAT.
- Più indirizzi IP pubblici di quelli supportati dal servizio di indirizzi IP pubblici di VMware Engine.
Il seguente diagramma mostra le risorse necessarie per eseguire il provisioning di un NGFW per i carichi di lavoro VMware Engine rivolti al pubblico:
La Figura 3 mostra le attività da completare per impostare e configurare le risorse in questa architettura. Di seguito è riportata una descrizione di ogni attività, incluso un link a un documento che fornisce ulteriori informazioni e istruzioni dettagliate.
Esegui il provisioning di un bilanciatore del carico di rete passthrough esterno nella rete VPC esterna come punto di ingresso in entrata rivolto al pubblico per i carichi di lavoro di VMware Engine.
- Crea più regole di forwarding per supportare più carichi di lavoro di VMware Engine.
- Configura ogni regola di forwarding con un indirizzo IP univoco e un numero di porta TCP o UDP.
- Configura le appliance di rete come backend per il bilanciatore del carico.
Configura le appliance di rete in modo che eseguano DNAT (Destination-NAT) per l'indirizzo IP pubblico della regola di forwarding negli indirizzi IP interni delle VM che ospitano le applicazioni rivolte al pubblico in VMware Engine.
- Le appliance di rete devono eseguire il monitoraggio NAT (source-NAT) per il traffico dall'interfaccia
nic2al fine di garantire un percorso restituito simmetrico. - Le appliance di rete devono anche instradare il traffico destinato a reti VMware Engine attraverso l'interfaccia
nic2al gateway della subnet (il primo indirizzo IP della subnet). - Affinché i controlli di integrità superino, le appliance di rete devono utilizzare interfacce secondarie o di loopback per rispondere agli indirizzi IP delle regole di forwarding.
- Le appliance di rete devono eseguire il monitoraggio NAT (source-NAT) per il traffico dall'interfaccia
Configura la tabella delle route della rete VPC interna per inoltrare il traffico di VMware Engine al peering di rete VPC come hop successivo.
In questa configurazione, le VM VMware Engine utilizzano il servizio gateway internet di VMware Engine per il traffico in uscita verso le risorse internet. Tuttavia, il traffico in entrata è gestito dalle appliance di rete per gli indirizzi IP pubblici mappati alle VM.
NGFW, mitigazione degli attacchi DDoS, offload SSL e CDN
Questo caso d'uso prevede i seguenti requisiti:
- Un'architettura ibrida composta da istanze VMware Engine e Compute Engine con un bilanciatore del carico L7 come frontend comune e mappatura degli URL per instradare il traffico al backend appropriato.
- Protezione per i carichi di lavoro VMware Engine pubblici mediante una soluzione IPS/IDS, NGFW, DPI o NAT.
- L3: mitigazione degli attacchi DDoS L7 per i carichi di lavoro pubblici di VMware Engine utilizzando Google Cloud Armor.
- Terminazione SSL mediante certificati SSL gestiti da Google o criteri SSL per controllare le versioni e le crittografie SSL utilizzate per le connessioni HTTPS o SSL ai carichi di lavoro VMware Engine rivolti al pubblico.
- Distribuzione di rete accelerata per i carichi di lavoro VMware Engine utilizzando Cloud CDN per fornire contenuti da località vicine agli utenti.
Il seguente diagramma mostra le risorse necessarie per il provisioning della funzionalità NGFW, la mitigazione degli attacchi DDoS, l'offload SSL e la CDN per i carichi di lavoro VMware Engine pubblici:
La Figura 4 mostra le attività da completare per impostare e configurare le risorse in questa architettura. Di seguito è riportata una descrizione di ogni attività, incluso un link a un documento che fornisce ulteriori informazioni e istruzioni dettagliate.
Esegui il provisioning di un Application Load Balancer esterno globale nella rete VPC esterna come punto di ingresso in entrata rivolto al pubblico per i carichi di lavoro di VMware Engine.
- Crea più regole di forwarding per supportare più carichi di lavoro di VMware Engine.
- Configura ogni regola di forwarding con un indirizzo IP pubblico univoco e impostala per l'ascolto del traffico HTTP(S).
- Configura le appliance di rete come backend per il bilanciatore del carico.
Inoltre, puoi:
- Per proteggere le appliance di rete, configura i criteri di sicurezza di Google Cloud Armor sul bilanciatore del carico.
- Per supportare il routing, il controllo di integrità e l'indirizzo IP anycast per le appliance di rete che fungono da backend CDN, configura Cloud CDN per i MIG che ospitano le appliance di rete.
- Per instradare le richieste a backend diversi, configura il mapping degli URL sul bilanciatore del carico. Ad esempio, instrada le richieste a
/apialle VM di Compute Engine, le richieste a/imagesa un bucket Cloud Storage e le richieste a/apptramite le appliance di rete alle tue VM VMware Engine.
Configura ogni appliance di rete in modo che esegua il monitoraggio NAT (DNAT) di destinazione per l'indirizzo IP interno della sua interfaccia
nic0agli indirizzi IP interni delle VM che ospitano le applicazioni rivolte al pubblico in VMware Engine.- Le appliance di rete devono eseguire SNAT per il traffico di origine dall'interfaccia
nic2(indirizzo IP interno) per garantire un percorso restituito simmetrico. - Inoltre, le appliance di rete devono instradare il traffico destinato a reti VMware Engine attraverso l'interfaccia
nic2al gateway di subnet (il primo indirizzo IP della subnet).
Il passaggio DNAT è necessario perché il bilanciatore del carico è un servizio basato su proxy implementato su un servizio Google Front End (GFE). A seconda della posizione dei client, più GFE possono avviare connessioni HTTP(S) agli indirizzi IP interni delle appliance di rete di backend. I pacchetti dei GFE hanno indirizzi IP di origine dallo stesso intervallo utilizzato per i probe di controllo di integrità (35.191.0.0/16 e 130.211.0.0/22), non dagli indirizzi IP dei client originali. Il bilanciatore del carico accoda gli indirizzi IP del client utilizzando l'intestazione
X-Forwarded-For.Affinché i controlli di integrità superino, configura le appliance di rete in modo che rispondano all'indirizzo IP della regola di forwarding utilizzando interfacce secondarie o di loopback.
- Le appliance di rete devono eseguire SNAT per il traffico di origine dall'interfaccia
Configura la tabella delle route della rete VPC interna per inoltrare il traffico di VMware Engine al peering di rete VPC.
In questa configurazione, le VM VMware Engine utilizzano il servizio gateway internet di VMware Engine per il traffico in uscita verso internet. Tuttavia, il traffico in entrata è gestito dalle appliance di rete per gli indirizzi IP pubblici delle VM.
NGFW per la connettività privata
Questo caso d'uso prevede i seguenti requisiti:
- Un'architettura ibrida composta da istanze VMware Engine e Compute Engine con un bilanciatore del carico L4 come frontend comune.
- Protezione per i carichi di lavoro VMware Engine privati mediante una soluzione IPS/IDS, NGFW, DPI o NAT.
- Cloud Interconnect o Cloud VPN per la connettività con la rete on-premise.
Il seguente diagramma mostra le risorse necessarie per eseguire il provisioning di un NGFW per la connettività privata tra i carichi di lavoro VMware Engine e le reti on-premise o altri provider cloud:
La Figura 5 mostra le attività da completare per impostare e configurare le risorse in questa architettura. Di seguito è riportata una descrizione di ogni attività, incluso un link a un documento che fornisce ulteriori informazioni e istruzioni dettagliate.
Esegui il provisioning di un bilanciatore del carico di rete passthrough interno nella rete VPC esterna utilizzando una singola regola di forwarding per ascoltare tutto il traffico. Configura le appliance di rete come backend per il bilanciatore del carico.
Configura la tabella delle route della rete VPC esterna in modo che punti alla regola di forwarding come hop successivo per il traffico destinato alle reti VMware Engine.
Configura le appliance di rete nel seguente modo:
- Instrada il traffico destinato a reti VMware Engine attraverso
l'interfaccia
nic2al gateway di subnet (il primo indirizzo IP della subnet). - Affinché i controlli di integrità superino, configura le appliance di rete in modo che rispondano all'indirizzo IP della regola di forwarding utilizzando interfacce secondarie o di loopback.
- Affinché i controlli di integrità vengano superati per i bilanciatori del carico interni, configura più domini di routing virtuale per garantire il corretto routing. Questo passaggio è necessario per consentire all'interfaccia
nic2di restituire il traffico per il controllo di integrità proveniente dagli intervalli pubblici (35.191.0.0/16 e 130.211.0.0/22), mentre la route predefinita delle appliance di rete rimanda all'interfaccianic0. Per ulteriori informazioni sugli intervalli IP per i controlli di integrità del bilanciatore del carico, consulta Eseguire controlli sugli intervalli IP e sulle regole firewall.
- Instrada il traffico destinato a reti VMware Engine attraverso
l'interfaccia
Configura la tabella delle route della rete VPC interna per inoltrare il traffico di VMware Engine al peering di rete VPC come hop successivo.
Per il traffico restituito o per quello avviato da VMware Engine alle reti remote, configura il bilanciatore del carico di rete passthrough interno come hop successivo pubblicizzato nel peering di rete VPC alla rete VPC di accesso privato ai servizi.
Traffico in uscita centralizzato verso internet
Questo caso d'uso prevede i seguenti requisiti:
- Filtro degli URL, logging e applicazione del traffico centralizzati per il traffico in uscita da Internet.
- Protezione personalizzata per i carichi di lavoro VMware Engine mediante appliance di rete di Cloud Marketplace.
Il seguente diagramma mostra le risorse necessarie per eseguire il provisioning di punti in uscita centralizzati dai carichi di lavoro VMware Engine a internet:
La Figura 6 mostra le attività da completare per impostare e configurare le risorse in questa architettura. Di seguito è riportata una descrizione di ogni attività, incluso un link a un documento che fornisce ulteriori informazioni e istruzioni dettagliate.
Esegui il provisioning di un bilanciatore del carico di rete passthrough interno nella rete VPC interna come punto di ingresso in uscita per i carichi di lavoro VMware Engine.
- Crea un'unica regola di forwarding per ascoltare tutto il traffico.
- Configura le appliance di rete come backend per il bilanciatore del carico.
Configura le appliance di rete in modo che eseguano lo SNAT del traffico dai loro indirizzi IP pubblici (
nic0). Affinché i controlli di integrità superino, le appliance di rete devono rispondere all'indirizzo IP della regola di forwarding utilizzando interfacce secondarie o di loopback.Configura la rete VPC interna per pubblicizzare una route predefinita su peering di rete VPC alla rete VPC di accesso privato ai servizi, con la regola di forwarding del bilanciatore del carico interno come hop successivo.
Per consentire il traffico in uscita attraverso le appliance di rete anziché il gateway internet, utilizza la stessa procedura prevista per abilitare il routing del traffico Internet attraverso una connessione on-premise.
Passaggi successivi
- Scopri di più su VMware Engine.
- Consulta le best practice per la progettazione di reti VPC.
- Scopri di più sul networking VMware Engine.
- Scopri di più su Cloud Load Balancing.
- Scopri di più sulla configurazione di appliance di rete centralizzate in Google Cloud.
- Esplora Cloud Marketplace.