Keamanan jaringan VMware Engine menggunakan peralatan terpusat

Last reviewed 2024-08-14 UTC

Sebagai bagian dari strategi defense-in-deep organisasi, Anda mungkin memiliki kebijakan keamanan yang mewajibkan penggunaan peralatan jaringan terpusat untuk deteksi inline dan pemblokiran aktivitas jaringan yang mencurigakan. Dokumen ini membantu Anda mendesain fitur perlindungan jaringan lanjutan berikut untuk workload Google Cloud VMware Engine:

  • Mitigasi serangan distributed denial of service (DDoS)
  • Memindahkan SSL
  • Firewall generasi berikutnya (NGFW)
  • Intrusion Prevention System (IPS) and Intrusion Detection System (IDS)
  • Deep packet inspection (DPI)

Arsitektur pada dokumen ini menggunakan Cloud Load Balancing dan peralatan jaringan dari Google Cloud Marketplace. Cloud Marketplace menawarkan peralatan jaringan yang siap produksi dan didukung oleh vendor dari partner Google Cloud untuk kebutuhan IT perusahaan Anda.

Panduan dalam dokumen ini ditujukan untuk arsitek keamanan dan administrator jaringan yang mendesain, menyediakan, dan mengelola konektivitas jaringan untuk workload VMware Engine. Dokumen ini mengasumsikan bahwa Anda sudah terbiasa dengan Virtual Private Cloud (VPC), VMware vSphere, VMware NSX, penafsiran alamat jaringan (NAT), dan Cloud Load Balancing.

Arsitektur

Diagram berikut menunjukkan arsitektur untuk konektivitas jaringan ke workload VMware Engine dari jaringan lokal dan dari internet. Selanjutnya pada dokumen ini, arsitektur ini diperluas untuk memenuhi persyaratan kasus penggunaan tertentu.

Arsitektur dasar untuk konektivitas jaringan ke workload VMware Engine.
Gambar 1. Arsitektur dasar untuk konektivitas jaringan ke workload VMware Engine.

Gambar 1 berikut ini menunjukkan komponen utama arsitektur:

  1. Cloud pribadi VMware Engine: stack VMware terisolasi yang terdiri dari virtual machine (VM), penyimpanan, infrastruktur jaringan, dan VMware vCenter Server. VMware NSX-T menyediakan fitur jaringan dan keamanan seperti kebijakan segmentasi mikro dan firewall. VM VMware Engine menggunakan alamat IP dari segmen jaringan yang Anda buat di cloud pribadi.
  2. Layanan alamat IP publik: menyediakan alamat IP eksternal ke VM VMware Engine untuk mengaktifkan akses ingress dari internet. Secara default, gateway internet menyediakan akses traffic keluar untuk VM VMware Engine.
  3. Jaringan VPC tenant VMware Engine: jaringan VPC khusus yang dikelola Google yang digunakan dengan setiap cloud pribadi VMware Engin untuk berkomunikasi dengan layanan Google Cloud.

  4. Jaringan VPC pelanggan:

    • Jaringan PC pelanggan 1 (eksternal): jaringan VPC yang menghosting antarmuka alat jaringan dan load balancer yang dapat dilihat publik.
    • Jaringan VPC pelanggan 2 (internal): jaringan VPC yang menghosting antarmuka internal perangkat jaringan dan di-peering dengan jaringan VPC tenant VMware Engine menggunakan model akses layanan pribadi.

  5. Akses layanan pribadi: model akses pribadi yang menggunakan Peering Jaringan VPC untuk memungkinkan konektivitas antara layanan yang dikelola Google dan jaringan VPC Anda.

  6. Peralatan jaringan: software jaringan yang Anda pilih dari Cloud Marketplace dan di-deploy instance Compute Engine.

  7. Cloud Load Balancing: layanan yang dikelola Google yang dapat Anda gunakan untuk mengelola traffic ke workload terdistribusi yang tersedia di Google Cloud. Anda dapat memilih jenis load balancer yang sesuai dengan protokol traffic dan persyaratan akses. Arsitektur pada dokumen ini tidak menggunakan load balancer NSX-T bawaan.

Catatan konfigurasi

Diagram berikut menunjukkan resource yang diperlukan guna menyediakan konektivitas jaringan untuk workload VMware Engine:

Resource yang diperlukan untuk konektivitas jaringan ke workload VMware Engine.
Gambar 2. Resource yang diperlukan untuk konektivitas jaringan ke workload VMware Engine.

Gambar 2 menunjukkan tugas yang harus Anda selesaikan untuk menyiapkan dan mengonfigurasikan resource dalam arsitektur ini. Berikut merupakan deskripsi setiap tugas, termasuk link ke dokumen yang menyediakan informasi lebih lanjut dan petunjuk terperinci.

  1. Buat jaringan dan subnet VPC eksternal serta internal dengan mengikuti petunjuk dalam Membuat jaringan VPC mode kostum.

    • Pada setiap subnet, pilih rentang alamat IP yang unik di seluruh jaringan VPC.
    • Jaringan VPC Pengelolaan yang ditunjukkan dalam diagram arsitektur bersifat opsional. Jika perlu, Anda dapat menggunakannya untuk pengelolaan penyelenggara antarmuka NIC untuk peralatan jaringan Anda.

  2. Deployperalatan jaringan yang diperlukan untuk Cloud Marketplace.

    • Untuk ketersedian tinggi peralatan jaringan, deploy setiap alat dalam sepasang VM yang didistribusikan di dunia zona.

      Anda dapat men-deploy peralatan jaringan di grup instance. Grup instance dapat berupa grup instance terkelola (MIG) atau grup instance yang tidak dikelola, bergantung pada persyaratan pengelolaan atau dukungan vendor Anda.

    • Menyediakan antarmuka jaringan sebagai berikut:

      • nic0 pada jaringan VPC eksternal untuk mengarahkan traffic ke sumber publik.
      • nic1 untuk operasi pengelolaan, jika vendor peralatan memerlukannya.
      • nic2 di jaringan VPC internal untuk komunikasi internal dengan resource VMware Engine.

      Men-deploy antarmuka jaringan di jarikan VPC terpisah akan membantu Anda memastikan pemisahan zona keamanan pada tingkat antarmuka untuk koneksi publik dan lokal.

  3. Menyiapkan VMware Engine:

  4. Gunakan akses layanan pribadi untuk menyiapkan Peering Jaringan VPC guna menghubungkan jaringan VPC internal ke jaringan VPC yang dikelola VMware Engine.

  5. Jika Anda memerlukan konektivitas hybrid pada jaringan lokal Anda, gunakan Cloud VPN atau Cloud Interconnect.

Anda dapat memperluas arsitektur pada gambar 2 untuk kasus penggunaan berikut:

Kasus penggunaan Produk dan layanan yang digunakan
NGFW untuk workload VMware Engine yang dapat dilihat publik
  • Peralatan jaringan dari Cloud Marketplace
  • Load Balancer Jaringan passthrough eksternal
NGFW, mitigasi DDoS, pembongkaran SSL, dan Jaringan Penayangan Konten (CDN) untuk workload VMware Engine yang dapat dilihat publik
  • Peralatan jaringan dari Cloud Marketplace
  • Load Balancer Aplikasi Eksternal
NGFW untuk komunikasi pribadi antara workload VMware Engine dan pusat data lokal atau penyedia cloud lainnya
  • Peralatan jaringan dari Cloud Marketplace
  • Load Balancer Jaringan passthrough internal
Traffic keluar terpusat ke internet untuk workload VMware Engine
  • Peralatan jaringan dari Cloud Marketplace
  • Load Balancer Jaringan passthrough internal

Bagian berikut menjelaskan kasus penggunaan ini dan memberikan ringkasan tugas konfigurasi untuk mengimplementasikan kasus penggunaan.

NGFW untuk workload yang dapat dilihat publik

Kasus penggunaan ini memiliki persyaratan berikut:

  • Arsitektur hybrid yang terdiri dari instance VMware Engine dan Compute Engine instances, dengan load balancer L4 sebagai frontend umum.
  • Perlindungan untuk workload VMware Engine publik menggunakan solusi IPS/IDS, NGFW, DPI, atau NAT.
  • Lebih banyak alamat IP publik daripada yang didukung oleh layanan alamat IP publik dari VMware Engine.

Diagram berikut menunjukkan resource yang diperlukan guna menyediakan NGFW untuk workload VMware Engine yang dapat dilihat publik:

Resource yang diperlukan guna menyediakan NGFW untuk workload VMware Engine yang dapat dilihat publik.
Gambar 3. Resource yang diperlukan guna menyediakan NGFW untuk workload VMware Engine yang dapat dilihat publik.

Gambar 3 menunjukkan tugas yang harus Anda selesaikan untuk menyiapkan dan mengonfigurasikan resource dalam arsitektur ini. Berikut merupakan deskripsi setiap tugas, termasuk link ke dokumen yang menyediakan informasi lebih lanjut dan petunjuk terperinci.

  1. Sediakan Load Balancer Jaringan passthrough eksternal di jaringan VPC eksternal sebagai titik entri masuk untuk workload VMware Engine.

    • Buat beberapa aturan penerusan untuk mendukung beberapa workload VMware Engine.
    • Mengonfigurasikan setiap aturan penerusan dengan alamat IP unik dan nomor port TCP atau UDP.
    • Mengonfigurasi peralatan jaringan sebagai backend untuk load balancer.

  2. Konfigurasikan peralatan jaringan agar menjalankan tujuan-NAT (DNAT) untuk alamat IP publik aturan penerusan ke alamat IP internal VM yang menghosting aplikasi yang dapat dilihat publik di VMware Engine.

    • Perangkat jaringan harus menjalankan source-NAT (SNAT) untuk traffic dari antarmuka nic2 guna memastikan jalur simetris yang ditampilkan.
    • Peralatan jaringan juga harus merutekan traffic yang ditujukan untuk jaringan VMware Engine melalui antarmuka nic2 ke gateway subnet (alamat IP pertama subnet).
    • Agar health checks lulus, peralatan jaringan harus menggunakan antarmuka sekunder atau loopback untuk merespons alamat IP aturan penerusan.

  3. Menyiapkan tabel rute jaringan VPC internal untuk diteruskan traffic VMware Engine ke Peering Jaringan VPC sebagai hop selanjutnya.

Dalam konfigurasi ini, VM VMware Engine menggunakan layanan gateway internet VMware Engine untuk traffic keluar ke resource internet. Namun, traffic masuk dikelola oleh peralatan jaringan untuk alamat IP publik yang dipetakan ke VM.

NGFW, mitigasi DDoS, pembongkaran SSL, dan CDN

Kasus penggunaan ini memiliki persyaratan berikut:

  • Arsitektur hybrid yang terdiri dari instance VMware Engine dan Compute Engine, dengan load balancer L7 sebagai fronted umum dan pemetaan URL untuk mengarahkan traffic ke backend yang sesuai.
  • Perlindungan untuk workload VMware Engine publik menggunakan solusi IPS/IDS, NGFW, DPI, atau NAT.
  • Mitigasi DDoS L3—L7 untuk workload VMware Engine publik dengan menggunakan Google Cloud Armor.
  • Penghentian SSL menggunakan sertifikat SSL yang dikelola Google, atau kebijakan SSL untuk mengontrol versi dan cipher SSL yang digunakan untuk HTTPS atau koneksi SSL ke workload VMware Engine yang dapat dilihat publik.
  • Penayangan jaringan yang dipercepat untuk workload VMware Engine dengan menggunakan Cloud CDN untuk menyajikan konten dari lokasi yang dekat dengan pengguna.

Diagram berikut menunjukkan resource yang diperlukan untuk menyediakan kemampuan NGFW mitigasi DDoS, pemindahan SSL, dan CDN untuk workload VMware Engine yang dapat dilihat publik:

Resource yang diperlukan untuk menyediakan NGFW, mitigasi DDoS, pemindahan SSL, dan CDN untuk workload VMware Engine yang dapat dilihat publik.
Gambar 4. Resource yang diperlukan untuk menyediakan NGFW, mitigasi DDoS, pembongkaran SSL, dan CDN untuk workload VMware Engine yang dapat dilihat publik.

Gambar 4 menunjukkan tugas yang harus Anda selesaikan untuk menyiapkan dan mengonfigurasikan resource dalam arsitektur ini. Berikut merupakan deskripsi setiap tugas, termasuk link ke dokumen yang menyediakan informasi lebih lanjut dan petunjuk terperinci.

  1. Sediakan Load Balancer Aplikasi eksternal global di jaringan VPC eksternal sebagai titik entri masuk yang dapat diakses publik untuk workload VMware Engine.

    • Buat beberapa aturan penerusan untuk mendukung beberapa workload VMware Engine.
    • Konfigurasi setiap aturan penerusan dengan alamat IP unik dan siapkan untuk memproses traffic HTTP(S).
    • Mengonfigurasi peralatan jaringan sebagai backend untuk load balancer.

    Selain itu, Anda dapat melakukan hal berikut:

    • Untuk melindungi peralatan jaringan, siapkan kebijakan keamanan Google Cloud Armor di load balancer.
    • Untuk mendukung perutean, health-check, dan alamat IP anycast untuk peralatan jaringan yang bertindak sebagai backend CDN, siapkan Cloud CDN untuk MIG yang menghosting peralatan jaringan.
    • Untuk mengarahkan permintaan ke backend yang berbeda, siapkan pemetaan URL pada load balancer. Misalnya, mengarahkan permintaan /api ke VM Compute Engine permintaan ke /images ke bucket Cloud Storage dan permintaan ke /app melalui peralatan jaringan ke VM VMware Engine Anda.

  2. Mengonfigurasi setiap peralatan jaringan untuk menjalankan tujuan-NAT (DNAT) untuk alamat IP internal antarmuka nic0-nya ke alamat IP internal VM yang menghosting aplikasi yang dapat dilihat publik di VMware Engine.

    • Peralatan jaringan harus melakukan SNAT untuk traffic sumber dari antarmuka nic2 (alamat IP internal) untuk memastikan jalur yang ditampilkan secara simetris.
    • Selain itu, peralatan jaringan harus merutekan traffic yang ditujukan untuk jaringan VMware Engine melalui antarmuka nic2 ke gateway subnet (alamat IP pertama subnet).

    Langkah DNAT diperlukan karena load balancer merupakan layanan berbasis proxy yang diimplementasikan pada layanan Google Front End (GFE). Bergantung pada lokasi klien Anda, beberapa GFE dapat memulai koneksi HTTP(S) ke alamat IP internal peralatan jaringan backend. Paket dari GFE memiliki alamat IP sumber dari rentang yang sama dengan yang digunakan untuk pemeriksaan health check (35.191.0.0/16 dan 130.211.0.0/22), bukan alamat IP klien asli. Load balancer menambahkan alamat IP klien dengan menggunakan header X-Forwarded-For.

    Agar health checks lulus, konfigurasikan peralatan jaringan untuk merespons alamat IP aturan penerusan dengan menggunakan antarmuka sekunder atau loopback.

  3. Siapkan tabel rute jaringan VPC untuk meneruskan traffic VMware Engine ke Peering Jaringan VPC.

    Dalam konfigurasi ini, VM VMware Engine menggunakan layanan gateway internet VMware Engine untuk traffic keluar pada internet. Namun, traffic masuk dikelola oleh peralatan jaringan untuk alamat IP publik VM.

NGFW untuk konektivitas pribadi

Kasus penggunaan ini memiliki persyaratan berikut:

  • Arsitektur hybrid yang terdiri dari instance VMware Engine dan Compute Engine instances, dengan load balancer L4 sebagai frontend umum.
  • Perlindungan untuk workload VMware Engine pribadi Anda dengan menggunakan solusi IPS/IDS, NGFW, DPI, atau NAT.
  • Cloud Interconnect atau Cloud VPN untuk konektivitas dengan jaringan lokal.

Diagram berikut menunjukkan resource yang diperlukan guna menyediakan NGFW untuk konektivitas pribadi antara workload VMware Engine dan jaringan lokal atau penyedia cloud lainnya:

Resource yang diperlukan guna menyediakan NGFW untuk konektivitas pribadi.
Gambar 5. Resource yang diperlukan guna menyediakan NGFW untuk konektivitas pribadi ke workload VMware Engine.

Gambar 5 menunjukkan tugas yang harus Anda selesaikan untuk menyiapkan dan mengonfigurasikan resource dalam arsitektur ini. Berikut merupakan deskripsi setiap tugas, termasuk link ke dokumen yang menyediakan informasi lebih lanjut dan petunjuk terperinci.

  1. Sediakan Load Balancer Jaringan passthrough internal di jaringan VPC eksternal, dengan satu aturan penerusan untuk memproses semua traffic. Mengonfigurasi peralatan jaringan sebagai backend untuk load balancer.

  2. Siapkan tabel rute jaringan VPC eksternal agar mengarah ke aturan penerusan sebagai hop selanjutnya untuk traffic yang ditujukkan ke jaringan VMware Engine.

  3. Konfigurasi peralatan jaringan sebagai berikut:

    • Rutekan traffic yang ditujukan ke jaringan VMware Engine melalui antarmuka nic2 ke gateway subnet (alamat IP pertama subnet).
    • Agar health checks lulus, konfigurasikan peralatan jaringan untuk merespons alamat IP aturan penerusan dengan menggunakan antarmuka sekunder atau loopback.
    • Agar health check lulus untuk load balancer internal, konfigurasikan beberapa domain perutean virtual untuk memastikan perutean yang tepat. Langkah ini diperlukan untuk memungkinkan antarmuka nic2 menampilkan traffic health check yang bersumber dari rentang publik (35.191.0.0/16 dan 130.211.0.0/22), sedangkan rute default peralatan jaringan mengarah ke antarmuka nic0. Informasi selengkapnya tentang rentang IP untuk health check load balancer, lihat Memeriksa aturan firewall dan rentang IP.

  4. Siapkan tabel rute jaringan VPC untuk meneruskan traffic VMware Engine ke Peering Jaringan VPC sebagai hop selanjutnya.

  5. Untuk traffic yang ditampilkan atau traffic yang dimulai dari VMware Engine untuk jaringan jarak jauh, konfigurasikan Load Balancer Jaringan passthrough internal sebagai hop selanjutnya yang diberitahukan melalui Peering Jaringan VPC ke jaringan VPC akses layanan pribadi. network.

Traffic keluar terpusat ke internet

Kasus penggunaan ini memiliki persyaratan berikut:

  • Pemfilteran URL terpusat, logging, dan penerapan traffic untuk traffic keluar internet.
  • Perlindungan yang disesuaikan untuk workload VMware Engine dengan menggunakan peralatan jaringan dari Cloud Marketplace.

Diagram berikut menunjukkan resource yang diperlukan untuk menyediakan titik keluar terpusat dari beban kerja VMware Engine ke internet:

Resource yang diperlukan untuk menyediakan traffic keluar terpusat ke internet.
Gambar 6. Resource yang diperlukan untuk menyediakan traffic keluar terpusat ke internet untuk workload VMware Engine.

Gambar 6 menunjukkan tugas yang harus Anda selesaikan untuk menyiapkan dan mengonfigurasikan resource dalam arsitektur ini. Berikut merupakan deskripsi setiap tugas, termasuk link ke dokumen yang menyediakan informasi lebih lanjut dan petunjuk terperinci.

  1. Sediakan Load Balancer Jaringan passthrough internal di jaringan VPC internal sebagai titik entri traffic keluar untuk workload VMware Engine.

  2. Mengonfigurasi peralatan jaringan untuk SNAT traffic dari alamat IP publiknya (nic0). Agar health check lulus, peralatan jaringan harus merespons alamat IP aturan penerusan dengan menggunakan antarmuka sekunder atau loopback.

  3. Konfigurasikan jaringan VPC internal untuk memberitahukan rute default melalui Peering Jaringan VPC ke jaringan VPC akses layanan pribadi, dengan aturan penerusan load balancer internal sebagai hop selanjutnya.

  4. Untuk memungkinkan traffic keluar melalui peralatan jaringan, bukan gateway internet, gunakan proses yang sama seperti saat Anda mengaktifkan perutean traffic internet melalui koneksi lokal.

Langkah berikutnya