Sicurezza della rete VMware Engine tramite appliance centralizzate

Last reviewed 2024-08-14 UTC

Nell'ambito della strategia di difesa in profondità della tua organizzazione, potresti avere criteri di sicurezza che richiedono l'utilizzo di appliance di rete centralizzate per il rilevamento e il blocco in linea di attività di rete sospette. Questo documento ti aiuta a progettare le seguenti funzionalità avanzate funzionalità di protezione della rete per i carichi di lavoro di Google Cloud VMware Engine:

  • Contenimento degli attacchi DDoS (Distributed Denial-of-Service)
  • Offload SSL
  • Firewall di nuova generazione (NGFW)
  • Sistema per la prevenzione delle intrusioni (IPS) e Intrusion Detection System (IDS)
  • Ispezione approfondita dei pacchetti (DPI)

Le architetture in questo documento utilizzano Cloud Load Balancing di elettrodomestici da Google Cloud Marketplace. Cloud Marketplace offre una rete supportata dai fornitori e pronta per la produzione dei partner per la sicurezza di Google Cloud per l'IT aziendale. e alle esigenze aziendali.

Le indicazioni riportate in questo documento sono destinate agli architetti della sicurezza e agli amministratori di rete che progettano, eseguono il provisioning e gestiscono la connettività di rete per i carichi di lavoro di VMware Engine. Il documento presuppone che tu abbia familiarità con Virtual Private Cloud (VPC), VMware vSphere, VMware NSX, la Network Address Translation (NAT) e Cloud Load Balancing.

Architettura

Il seguente diagramma mostra un'architettura per la connettività di rete ai carichi di lavoro VMware Engine dalle reti on-premise e da internet. Più avanti in questo documento, questa architettura viene estesa per soddisfare i requisiti di casi d'uso specifici.

Architettura di base per la connettività di rete a carichi di lavoro VMware Engine.
Figura 1. Architettura di base per la connettività di rete a VMware Engine carichi di lavoro con scale out impegnativi.

La figura 1 mostra i seguenti componenti principali dell'architettura:

  1. Cloud privato VMware Engine: uno stack VMware isolato composto da macchine virtuali (VM), archiviazione, infrastruttura di rete e un server VMware vCenter. VMware NSX-T fornisce funzionalità di networking e sicurezza come il microsegmentazione e i criteri del firewall. Le VM VMware Engine utilizzano gli indirizzi IP dei segmenti di rete che crei nel tuo cloud privato.
  2. Servizio di indirizzi IP pubblici: fornisce indirizzi IP esterni alle VM VMware Engine e abilitare l'accesso in entrata da internet. Il gateway internet fornisce l'accesso in uscita per impostazione predefinita per le VM VMware Engine.
  3. Rete VPC del tenant VMware Engine: una rete VPC dedicata gestita da Google che viene utilizzata con ogni cloud privato VMware Engine per abilitare la comunicazione con i servizi Google Cloud.

  4. Reti VPC dei clienti:

    • Rete VPC del cliente 1 (esterna): un VPC che ospita l'interfaccia pubblica dell'appliance di rete e il bilanciatore del carico.
    • Rete VPC del cliente 2 (interna): una rete VPC che ospita l'interfaccia interna dell'appliance di rete ed è in peering con la rete VPC del tenant VMware Engine utilizzando il modello di accesso privato ai servizi.

  5. Accesso privato ai servizi: un modello di accesso privato che utilizza il peering di rete VPC per abilitare connettività tra i servizi gestiti da Google e il tuo VPC reti.

  6. Appliance di rete: software di rete a tua scelta Cloud Marketplace ed esegui il deployment su istanze di Compute Engine.

  7. Cloud Load Balancing: un servizio gestito da Google che puoi usare per gestire il traffico verso per i carichi di lavoro distribuiti in Google Cloud. Puoi scegliere un tipo di bilanciatore del carico adatto al protocollo del traffico e all'accesso i tuoi requisiti. Le architetture riportate in questo documento non utilizzano Bilanciatori del carico NSX-T.

Note sulla configurazione

Il seguente diagramma mostra le risorse necessarie per fornire dati di rete connettività per i carichi di lavoro VMware Engine:

Risorse necessarie per la connettività di rete carichi di lavoro VMware Engine.
Figura 2. Risorse necessarie per la connettività di rete ai carichi di lavoro VMware Engine.

La figura 2 mostra le attività da completare per impostare e configurare risorse in questa architettura. Di seguito è riportata una descrizione di ogni attività, incluso un link a un documento che fornisce ulteriori informazioni e istruzioni dettagliate.

  1. Crea le reti e le subnet VPC esterne ed interne seguendo le istruzioni in Creazione di una rete VPC in modalità personalizzata.

    • Per ogni subnet, scegli un intervallo di indirizzi IP univoco reti VPC.
    • La rete VPC di gestione mostrata dell'architettura è facoltativo. Se necessario, puoi utilizzarlo per ospitare di gestione delle interfacce NIC per le appliance di rete.

  2. Esegui il deployment delle appliance di rete richieste da Cloud Marketplace.

    • Per ottenere l'alta disponibilità delle appliance di rete, distribuisci ogni appliance in una coppia di VM distribuite in due zone.

      Puoi eseguire il deployment delle appliance di rete gruppi di istanze. I gruppi di istanze possono essere gruppi di istanze gestite o non gestiti gruppi di istanze, a seconda della gestione o del supporto del fornitore i tuoi requisiti.

    • Esegui il provisioning delle interfacce di rete come segue:

      • nic0 nella rete VPC esterna a cui instradare il traffico la fonte pubblica.
      • nic1 per le operazioni di gestione, se il fornitore dell'appliance lo richiede.
      • nic2 nella rete VPC interna per la comunicazione con le risorse VMware Engine.

      Deployment delle interfacce di rete in reti VPC separate garantisce la segregazione della zona di sicurezza a livello di interfaccia per delle connessioni pubbliche e on-premise.

  3. Configura VMware Engine:

  4. Utilizza le funzionalità di accesso privato ai servizi per configurare il peering di rete VPC al fine di connettere il VPC interno rete VPC alla rete VPC che VMware Engine gestisce il traffico.

  5. Se hai bisogno di connettività ibrida alla tua rete on-premise, utilizza Cloud VPN o Cloud Interconnect.

Puoi estendere l'architettura nella figura 2 per i seguenti casi d'uso:

Caso d'uso Prodotti e servizi utilizzati
NGFW per carichi di lavoro VMware Engine rivolti al pubblico
  • Appliance di rete da Cloud Marketplace
  • Bilanciatori del carico di rete passthrough esterni
NGFW, DDoS mitigazione, offloading SSL e rete CDN (Content Delivery Network) per carichi di lavoro VMware Engine rivolti al pubblico
  • Appliance di rete da Cloud Marketplace
  • Bilanciatori del carico delle applicazioni esterni
NGFW per la comunicazione privata tra i carichi di lavoro di VMware Engine e i data center on-premise o altri cloud provider
  • Appliance di rete da Cloud Marketplace
  • Bilanciatori del carico di rete passthrough interni
Traffico in uscita centralizzato punti a internet per i carichi di lavoro VMware Engine
  • Appliance di rete da Cloud Marketplace
  • Bilanciatori del carico di rete passthrough interni

Le sezioni seguenti descrivono questi casi d'uso e forniscono una panoramica delle attività di configurazione per implementarli.

NGFW per carichi di lavoro rivolti al pubblico

Questo caso d'uso presenta i seguenti requisiti:

  • Un'architettura ibrida composta da VMware Engine e Istanze Compute Engine, con un bilanciatore del carico L4 come e il frontend di Google Cloud.
  • Protezione per i carichi di lavoro pubblici di VMware Engine mediante Soluzione IPS/IDS, NGFW, DPI o NAT.
  • Più indirizzi IP pubblici rispetto a quelli supportati dall'indirizzo IP pubblico di VMware Engine.

Il seguente diagramma mostra le risorse necessarie per il provisioning di un NGFW per i carichi di lavoro VMware Engine rivolti al pubblico:

Risorse necessarie per eseguire il provisioning di una NGFW per il pubblico carichi di lavoro VMware Engine.
Figura 3. Risorse necessarie per eseguire il provisioning di una NGFW per il pubblico carichi di lavoro VMware Engine.

La Figura 3 mostra le attività che devi completare per impostare e configurare le risorse di questa architettura. Di seguito è riportata una descrizione di ciascuna attività, incluso un link a un documento che fornisce ulteriori informazioni e istruzioni.

  1. Esegui il provisioning di un bilanciatore del carico di rete passthrough esterno nella rete VPC esterna come punto di accesso di ingresso rivolto al pubblico per i carichi di lavoro di VMware Engine.

    • Crea più elementi regole di forwarding per supportare più carichi di lavoro VMware Engine.
    • Configura ogni regola di inoltro con un indirizzo IP univoco e un numero di porta TCP o UDP.
    • Configurare le appliance di rete come backend per il bilanciatore del carico.

  2. Configura le appliance di rete per eseguire la destinazione NAT (DNAT) per l'indirizzo IP pubblico della regola di forwarding agli indirizzi IP interni del VM che ospitano le applicazioni rivolte al pubblico in VMware Engine.

    • Le appliance di rete devono eseguire source-NAT (SNAT) per traffico dall'interfaccia nic2 per garantire un percorso restituito simmetrico.
    • Le appliance di rete devono inoltre instradare il traffico destinato alle reti VMware Engine tramite l'interfaccia nic2 al gateway della subnet (il primo indirizzo IP della subnet).
    • Affinché i controlli di integrità vengano superati, le appliance di rete devono utilizzare interfacce secondarie o loopback per rispondere agli indirizzi IP delle regole di inoltro.

  3. Configura la tabella di routing della rete VPC interna in modo da inoltrare il traffico di VMware Engine al peering di rete VPC come hop successivo.

In questa configurazione, le VM di VMware Engine utilizzano servizio di gateway internet di VMware Engine per il traffico in uscita verso internet Google Cloud. Tuttavia, il traffico in entrata è gestito dalle appliance di rete per il pubblico Indirizzi IP mappati alle VM.

NGFW, mitigazione DDoS, offload SSL e CDN

Questo caso d'uso presenta i seguenti requisiti:

  • Un'architettura ibrida composta da VMware Engine e Istanze Compute Engine, con un bilanciatore del carico L7 come l'istanza frontend e la mappatura degli URL per instradare il traffico al backend appropriato.
  • Protezione per i carichi di lavoro pubblici di VMware Engine mediante Soluzione IPS/IDS, NGFW, DPI o NAT.
  • L3-L7 Mitigazione degli attacchi DDoS per i carichi di lavoro pubblici di VMware Engine utilizzando Google Cloud Armor.
  • Terminazione SSL mediante certificati SSL gestiti da Google, o criteri SSL per controllare le versioni e le crittografie SSL utilizzate per le connessioni HTTPS o SSL ai carichi di lavoro di VMware Engine rivolti al pubblico.
  • Importazione tramite rete accelerata per i carichi di lavoro VMware Engine tramite Cloud CDN per pubblicare i contenuti da località vicine agli utenti.

Il seguente diagramma mostra le risorse necessarie per il provisioning di NGFW funzionalità, mitigazione degli attacchi DDoS, offloading SSL e CDN per la tua rete Carichi di lavoro VMware Engine:

Risorse necessarie per eseguire il provisioning di NGFW, mitigazione degli attacchi DDoS, SSL offloading e CDN per VMware Engine rivolto al pubblico carichi di lavoro con scale out impegnativi.
Figura 4. Risorse necessarie per il provisioning di un NGFW, la mitigazione dei DDoS, lo scaricamento SSL e la CDN per i carichi di lavoro di VMware Engine rivolti al pubblico.

La Figura 4 mostra le attività che devi completare per impostare e configurare le risorse di questa architettura. Di seguito è riportata una descrizione di ciascuna attività, incluso un link a un documento che fornisce ulteriori informazioni e istruzioni.

  1. Esegui il provisioning di un bilanciatore del carico delle applicazioni esterno globale nella rete VPC esterna come punto di accesso di ingresso rivolto al pubblico per i carichi di lavoro di VMware Engine.

    • Crea più regole di inoltro per supportare più carichi di lavoro VMware Engine.
    • Configura ogni regola di inoltro con un indirizzo IP pubblico univoco e impostala in modo da ascoltare il traffico HTTP(S).
    • Configura le appliance di rete come backend per il bilanciatore del carico.

    Puoi anche eseguire le seguenti operazioni:

    • Per proteggere le appliance di rete, configura i criteri di sicurezza di Google Cloud Armor sul bilanciatore del carico.
    • Per supportare il routing, il controllo di integrità e l'indirizzo IP anycast per le appliance di rete che fungono da backend CDN, configura Cloud CDN per i gruppi di istanze gestite che ospitano le appliance di rete.
    • Per instradare le richieste a backend diversi, configura la mappatura degli URL al momento del caricamento con il bilanciatore del carico di rete passthrough esterno regionale. Ad esempio, invia le richieste a /api alle VM Compute Engine, le richieste a /images a un bucket Cloud Storage e le richieste a /app tramite le appliance di rete alle VM VMware Engine.

  2. Configurare ciascuna appliance di rete affinché esegua la destinazione NAT (DNAT) per l'indirizzo IP interno della sua interfaccia nic0 all'IP interno delle VM che ospitano le applicazioni rivolte al pubblico con VMware Engine.

    • Le appliance di rete devono eseguire la crittografia SNAT per il traffico di origine dall'interfaccia nic2 (indirizzo IP interno) per garantire una simmetria del percorso restituito.
    • Inoltre, le appliance di rete devono instradare il traffico destinato le reti VMware Engine tramite l'interfaccia nic2 per gateway della subnet (il primo indirizzo IP della subnet).

    Il passaggio DNAT è necessario perché il bilanciatore del carico è basato su proxy implementato in un servizio Google Front End (GFE). A seconda in base alla località dei tuoi client, più GFE possono avviare HTTP(S) connessioni agli indirizzi IP interni della rete di backend elettrodomestici. I pacchetti dei GFE hanno indirizzi IP di origine dal stesso intervallo usato per i probe di controllo di integrità (35.191.0.0/16 e 130.211.0.0/22), non gli indirizzi IP client originali. Il bilanciatore del carico aggiunge gli indirizzi IP dei client utilizzando l'intestazione X-Forwarded-For.

    Affinché i controlli di integrità vengano superati, configura le appliance di rete in modo che rispondano all'indirizzo IP della regola di inoltro utilizzando interfacce secondarie o loopback.

  3. Configura la tabella di route della rete VPC interna per l'inoltro Traffico di VMware Engine verso il peering di rete VPC.

    In questa configurazione, le VM di VMware Engine utilizzano internet di VMware Engine per il traffico in uscita verso internet. Tuttavia, il traffico in entrata è gestito dalle appliance di rete per l'IP pubblico gli indirizzi IP delle VM.

NGFW per la connettività privata

Questo caso d'uso presenta i seguenti requisiti:

  • Un'architettura ibrida composta da istanze VMware Engine e Compute Engine, con un bilanciatore del carico L4 come frontend comune.
  • Protezione per i carichi di lavoro privati VMware Engine mediante una soluzione IPS/IDS, NGFW, DPI o NAT.
  • Cloud Interconnect o Cloud VPN per la connettività con la rete on-premise.

Il seguente diagramma mostra le risorse necessarie per il provisioning di un NGFW per la connettività privata tra VMware Engine carichi di lavoro e reti on-premise o altri cloud provider:

Risorse necessarie per eseguire il provisioning di un NGFW per la connettività privata.
Figura 5. Risorse necessarie per il provisioning di una NGFW per la connettività privata carichi di lavoro VMware Engine.

La Figura 5 mostra le attività che devi completare per impostare e configurare le risorse di questa architettura. Di seguito è riportata una descrizione di ogni attività, incluso un link a un documento che fornisce ulteriori informazioni e istruzioni dettagliate.

  1. Esegui il provisioning di un bilanciatore del carico di rete passthrough interno nella rete VPC esterna, con un singolo regola di inoltro a per ascoltare tutto il traffico. Configurare le appliance di rete come backend per il bilanciatore del carico.

  2. Configura la tabella di route della rete VPC esterna in modo che punti alla regola di forwarding come hop successivo per il traffico destinato a Reti VMware Engine.

  3. Configura le appliance di rete come segue:

    • Instrada il traffico destinato alle reti VMware Engine tramite l'interfaccia nic2 al gateway della subnet (il primo indirizzo IP della subnet).
    • Per controlli di integrità per passare, configurare le appliance di rete in modo che rispondano alle richieste l'indirizzo IP di una regola tramite interfacce secondarie o di loopback.
    • Affinché i controlli di integrità vengano superati per i bilanciatori del carico interni, configura più domini di routing virtuali per garantire il routing corretto. Questo passaggio è necessaria per consentire all'interfaccia nic2 di restituire il traffico associato ai controlli di integrità proveniente dagli intervalli pubblici (35.191.0.0/16 e 130.211.0.0/22), mentre il percorso predefinito delle appliance di rete rimanda all'interfaccia nic0. Per ulteriori informazioni sugli intervalli IP per controlli di integrità del bilanciatore del carico, Esegui test per intervalli IP e regole firewall.

  4. Configura la tabella di route della rete VPC interna per l'inoltro Traffico VMware Engine verso il peering di rete VPC come hop successivo.

  5. Per il traffico restituito o per il traffico avviato da da VMware Engine alle reti remote, bilanciatore del carico di rete passthrough interno come hop successivo pubblicizzato su Il peering di rete VPC al VPC di accesso ai servizi privati in ogni rete.

Traffico in uscita centralizzato verso internet

Questo caso d'uso prevede i seguenti requisiti:

  • Filtro degli URL, logging e applicazione del traffico centralizzati per per il traffico in uscita da internet.
  • Protezione personalizzata per i carichi di lavoro VMware Engine mediante l'uso di rete da Cloud Marketplace.

Il seguente diagramma mostra le risorse necessarie per eseguire il provisioning di punti di uscita centralizzati dai carichi di lavoro di VMware Engine a internet:

Le risorse necessarie per eseguire il provisioning centralizzato del traffico in uscita verso internet.
Figura 6. Risorse necessarie per eseguire il provisioning dell'uscita centralizzata su internet per i carichi di lavoro di VMware Engine.

La Figura 6 mostra le attività che devi completare per impostare e configurare le risorse di questa architettura. Di seguito è riportata una descrizione di ciascuna attività, incluso un link a un documento che fornisce ulteriori informazioni e istruzioni.

  1. Esegui il provisioning di un bilanciatore del carico di rete passthrough interno nella rete VPC interna come punto di contatto in uscita per i carichi di lavoro VMware Engine.

  2. Configura le appliance di rete in modo che applichino il NAT a sorgente (SNAT) al traffico proveniente dai loro indirizzi IP pubblici (nic0). Per consentire il superamento dei controlli di salute, le appliance di rete devono rispondere all'indirizzo IP della regola di inoltro utilizzando interfacce secondarie o loopback.

  3. Configura la rete VPC interna per pubblicizzare una rete VPC predefinita routing sul peering di rete VPC all'accesso privato ai servizi sulla rete VPC, con il forwarding del bilanciatore del carico interno come hop successivo.

  4. Per consentire il traffico in uscita tramite le appliance di rete anziché tramite il gateway internet, utilizza la stessa procedura utilizzata per abilitare il routing del traffico internet tramite una connessione on-premise.

Passaggi successivi