Sicurezza della rete VMware Engine tramite appliance centralizzate

Nell'ambito della strategia di difesa in profondità della tua organizzazione, potresti avere criteri di sicurezza che richiedono l'utilizzo di appliance di rete centralizzate per il rilevamento e il blocco in linea di attività di rete sospette. Questo documento ti aiuta a progettare le seguenti funzionalità avanzate funzionalità di protezione della rete per i carichi di lavoro di Google Cloud VMware Engine:

• Mitigazione degli attacchi DDoS (distributed denial of service)
• Offload SSL
• Firewall di nuova generazione (NGFW)
• Sistema per la prevenzione delle intrusioni (IPS) e Intrusion Detection System (IDS)
• Ispezione approfondita dei pacchetti (DPI)

Le architetture in questo documento utilizzano Cloud Load Balancing di elettrodomestici da Google Cloud Marketplace. Cloud Marketplace offre appliance di rete pronte per la produzione e supportate dal fornitore dei partner per la sicurezza di Google Cloud per le tue esigenze IT aziendali.

Le linee guida di questo documento sono rivolte agli architetti della sicurezza e ai servizi di rete amministratori che progettano, eseguono il provisioning e gestiscono la connettività di rete carichi di lavoro VMware Engine. Nel documento si presuppone che tu esperienza con Virtual Private Cloud (VPC), VMware vSphere, VMware NSX, Address Translation (NAT) e Cloud Load Balancing.

Architettura

Il seguente diagramma mostra un'architettura per la connettività di rete per i carichi di lavoro VMware Engine da reti on-premise internet. Più avanti in questo documento, questa architettura è stata estesa per soddisfare requisiti di casi d'uso specifici.

La figura 1 mostra i seguenti componenti principali dell'architettura:

1. Cloud privato VMware Engine: uno stack VMware isolato composto da macchine virtuali (VM), archiviazione, infrastruttura di rete e un server VMware vCenter. VMware NSX-T fornisce funzionalità di networking e di sicurezza come la microsegmentazione e e i criteri firewall. Le VM di VMware Engine utilizzano indirizzi IP da segmenti della rete che crei nel tuo cloud privato.
2. Servizio di indirizzi IP pubblici: fornisce indirizzi IP esterni alle VM VMware Engine e abilitare l'accesso in entrata da internet. Il gateway internet fornisce l'accesso in uscita per impostazione predefinita per le VM VMware Engine.
3. Rete VPC tenant di VMware Engine: una rete VPC Rete VPC gestita da Google usata con ogni Cloud privato VMware Engine per consentire la comunicazione con servizi Google Cloud.

4. Reti VPC dei clienti:

   • Rete VPC del cliente 1 (esterna): una rete VPC che ospita l'interfaccia rivolta al pubblico dell'appliance di rete e del bilanciatore del carico.
   • Rete VPC del cliente 2 (interna): una rete VPC che ospita l'interfaccia interna dell'appliance di rete ed è in peering con la rete VPC del tenant VMware Engine utilizzando il modello di accesso ai servizi privati.

5. Accesso privato ai servizi: un modello di accesso privato che utilizza il peering di rete VPC per abilitare connettività tra i servizi gestiti da Google e il tuo VPC reti.

6. Appliance di rete: software di rete a tua scelta Cloud Marketplace ed esegui il deployment su istanze di Compute Engine.

7. Cloud Load Balancing: un servizio gestito da Google che puoi usare per gestire il traffico verso per i carichi di lavoro distribuiti in Google Cloud. Puoi scegliere un tipo di bilanciatore del carico adatto al protocollo del traffico e all'accesso i tuoi requisiti. Le architetture riportate in questo documento non utilizzano Bilanciatori del carico NSX-T.

Note sulla configurazione

Il seguente diagramma mostra le risorse necessarie per fornire connettività per i carichi di lavoro VMware Engine:

La figura 2 mostra le attività da completare per impostare e configurare risorse in questa architettura. Di seguito è riportata una descrizione di ciascuna attività, incluso un link a un documento che fornisce ulteriori informazioni e istruzioni.

1. Crea le reti e le subnet VPC esterne ed interne seguendo le istruzioni in Creazione di una rete VPC in modalità personalizzata.

   • Per ogni subnet, scegli un intervallo di indirizzi IP univoco reti VPC.
   • La rete VPC di gestione mostrata nel diagramma dell'architettura è facoltativa. Se necessario, puoi utilizzarlo per ospitare di gestione delle interfacce NIC per le appliance di rete.

2. Esegui il deployment delle appliance di rete richieste Cloud Marketplace.

   • Per garantire un'elevata disponibilità degli appliance di rete, esegui il deployment di ogni appliance in una coppia di VM distribuite su due zone.

     Puoi eseguire il deployment delle appliance di rete gruppi di istanze. I gruppi di istanze possono essere gruppi di istanze gestite o non gestiti gruppi di istanze, a seconda della gestione o del supporto del fornitore i tuoi requisiti.

   • Esegui il provisioning delle interfacce di rete come segue:

     • nic0 nella rete VPC esterna a cui instradare il traffico la fonte pubblica.
     • nic1 per le operazioni di gestione, se il fornitore dell'appliance lo richiede.
     • nic2 nella rete VPC interna per la comunicazione con le risorse VMware Engine.

     Il deployment delle interfacce di rete in reti VPC distinte ti consente di garantire la separazione delle zone di sicurezza a livello di interfaccia per le connessioni pubbliche e on-premise.

3. Configura VMware Engine:

   • Crea un Cloud privato VMware Engine.
   • Crea un segmento di rete per le VM VMware Engine.

4. Utilizza l'accesso ai servizi privati per configurare il peering di rete VPC in modo da collegare la rete VPC interna alla rete VPC gestita da VMware Engine.

5. Se hai bisogno di connettività ibrida alla tua rete on-premise, utilizza Cloud VPN o Cloud Interconnect.

Puoi estendere l'architettura nella figura 2 per i seguenti casi d'uso:

Caso d'uso	Prodotti e servizi utilizzati
NGFW per carichi di lavoro VMware Engine rivolti al pubblico	Appliance di rete da Cloud Marketplace Bilanciatori del carico di rete passthrough esterni
NGFW, DDoS mitigazione, offloading SSL e rete CDN (Content Delivery Network) per carichi di lavoro VMware Engine rivolti al pubblico	Appliance di rete da Cloud Marketplace Bilanciatori del carico delle applicazioni esterni
NGFW per privato la comunicazione tra i carichi di lavoro VMware Engine data center on-premise o altri cloud provider	Appliance di rete da Cloud Marketplace Bilanciatori del carico di rete passthrough interni
Traffico in uscita centralizzato punti a internet per i carichi di lavoro VMware Engine	Appliance di rete da Cloud Marketplace Bilanciatori del carico di rete passthrough interni

Le seguenti sezioni descrivono questi casi d'uso e forniscono una panoramica dei e le attività di configurazione per implementare i casi d'uso.

NGFW per carichi di lavoro rivolti al pubblico

Questo caso d'uso prevede i seguenti requisiti:

• Un'architettura ibrida composta da VMware Engine e Istanze Compute Engine, con un bilanciatore del carico L4 come e il frontend di Google Cloud.
• Protezione per i carichi di lavoro pubblici di VMware Engine mediante un'istanza Soluzione IPS/IDS, NGFW, DPI o NAT.
• Più indirizzi IP pubblici rispetto a quelli supportati dall'indirizzo IP pubblico di VMware Engine.

Il seguente diagramma mostra le risorse necessarie per il provisioning di un NGFW per i carichi di lavoro VMware Engine rivolti al pubblico:

La figura 3 mostra le attività da completare per impostare e configurare risorse in questa architettura. Di seguito è riportata una descrizione di ciascuna attività, incluso un link a un documento che fornisce ulteriori informazioni e istruzioni.

1. Esegui il provisioning di un bilanciatore del carico di rete passthrough esterno nella rete VPC esterna come il traffico in entrata rivolto al pubblico per i carichi di lavoro VMware Engine.

   • Crea più elementi regole di forwarding per supportare più carichi di lavoro VMware Engine.
   • Configurare ogni regola di forwarding con un indirizzo IP univoco e un protocollo TCP o UDP numero di porta.
   • Configura le appliance di rete come backend per il bilanciatore del carico.

2. Configura le appliance di rete per eseguire la destinazione NAT (DNAT) per l'indirizzo IP pubblico della regola di forwarding agli indirizzi IP interni del VM che ospitano le applicazioni rivolte al pubblico in VMware Engine.

   • Le appliance di rete devono eseguire source-NAT (SNAT) per traffico dall'interfaccia nic2 per garantire un percorso restituito simmetrico.
   • Le appliance di rete devono inoltre instradare il traffico destinato le reti VMware Engine tramite l'interfaccia nic2 per al gateway della subnet (il primo indirizzo IP della subnet).
   • Per controlli di integrità per passare, le appliance di rete devono usare l'architettura per rispondere alle regole di forwarding e gli indirizzi IP esterni.

3. Configura la tabella di routing della rete VPC interna in modo da inoltrare il traffico di VMware Engine al peering di rete VPC come hop successivo.

In questa configurazione, le VM di VMware Engine utilizzano servizio di gateway internet di VMware Engine per il traffico in uscita verso internet Google Cloud. Tuttavia, il traffico in entrata è gestito dalle appliance di rete per il pubblico Indirizzi IP mappati alle VM.

NGFW, mitigazione degli attacchi DDoS, offloading SSL e CDN

Questo caso d'uso prevede i seguenti requisiti:

• Un'architettura ibrida composta da VMware Engine e Istanze Compute Engine, con un bilanciatore del carico L7 come l'istanza frontend e la mappatura degli URL per instradare il traffico al backend appropriato.
• Protezione per i carichi di lavoro pubblici di VMware Engine mediante un'istanza Soluzione IPS/IDS, NGFW, DPI o NAT.
• L3-L7 Mitigazione degli attacchi DDoS per i carichi di lavoro pubblici di VMware Engine utilizzando Google Cloud Armor.
• Terminazione SSL mediante Certificati SSL gestiti da Google, o Criteri SSL per controllare le versioni e le crittografie SSL utilizzate per i protocolli di connessioni a carichi di lavoro VMware Engine rivolti al pubblico.
• Distribuzione accelerata della rete per i carichi di lavoro VMware Engine utilizzando Cloud CDN per pubblicare contenuti da località vicine agli utenti.

Il seguente diagramma mostra le risorse necessarie per il provisioning di NGFW funzionalità, mitigazione degli attacchi DDoS, offloading SSL e CDN per la tua rete Carichi di lavoro VMware Engine:

La figura 4 mostra le attività da completare per impostare e configurare risorse in questa architettura. Di seguito è riportata una descrizione di ciascuna attività, incluso un link a un documento che fornisce ulteriori informazioni e istruzioni.

1. Esegui il provisioning di un Bilanciatore del carico delle applicazioni esterno globale nella rete VPC esterna come il traffico in entrata rivolto al pubblico per i carichi di lavoro VMware Engine.

   • Crea più elementi regole di forwarding per supportare più carichi di lavoro VMware Engine.
   • Configura ogni regola di forwarding con un indirizzo IP pubblico univoco e imposta l'ascolto del traffico HTTP(S).
   • Configurare le appliance di rete come backend per il bilanciatore del carico.

   Puoi anche eseguire le seguenti operazioni:

   • Per proteggere le appliance di rete, configura i criteri di sicurezza di Google Cloud Armor sul bilanciatore del carico.
   • Per supportare l'indirizzo IP di routing, controllo di integrità e anycast per la rete. che fungono da backend CDN, configurano Cloud CDN per i gruppi di istanze gestite che ospitano le appliance di rete.
   • Per instradare le richieste a backend diversi, configura la mappatura degli URL al momento del caricamento con il bilanciatore del carico di rete passthrough esterno regionale. Ad esempio, instrada le richieste a /api a Compute Engine VM, richieste a /images a un bucket Cloud Storage e richieste a /app tramite le appliance di rete VM di VMware Engine.

2. Configurare ciascuna appliance di rete affinché esegua il NAT (destination-NAT) per l'indirizzo IP interno della sua interfaccia nic0 all'IP interno delle VM che ospitano le applicazioni rivolte al pubblico con VMware Engine.

   • Le appliance di rete devono eseguire la crittografia SNAT per il traffico di origine dall'interfaccia nic2 (indirizzo IP interno) per garantire una simmetria del percorso restituito.
   • Inoltre, le appliance di rete devono instradare il traffico destinato le reti VMware Engine tramite l'interfaccia nic2 per gateway della subnet (il primo indirizzo IP della subnet).

   Il passaggio DNAT è necessario perché il bilanciatore del carico è basato su proxy implementato in un servizio Google Front End (GFE). A seconda della posizione dei clienti, più GFE possono avviare connessioni HTTP(S) agli indirizzi IP interni delle appliance di rete di backend. I pacchetti dei GFE hanno indirizzi IP di origine dal stesso intervallo usato per i probe di controllo di integrità (35.191.0.0/16 e 130.211.0.0/22), non gli indirizzi IP client originali. Il bilanciatore del carico accoda gli indirizzi IP del client utilizzando X-Forwarded-For intestazione.

   Per controlli di integrità per passare, configurare le appliance di rete in modo che rispondano alle richieste l'indirizzo IP di una regola tramite interfacce secondarie o di loopback.

3. Configura la tabella di route della rete VPC interna per l'inoltro Traffico di VMware Engine verso il peering di rete VPC.

   In questa configurazione, le VM VMware Engine utilizzano il servizio di gateway internet di VMware Engine per l'uscita su internet. Tuttavia, l'ingresso è gestito dalle appliance di rete per gli indirizzi IP pubblici delle VM.

NGFW per la connettività privata

Questo caso d'uso presenta i seguenti requisiti:

• Un'architettura ibrida composta da VMware Engine e Istanze Compute Engine, con un bilanciatore del carico L4 come e il frontend di Google Cloud.
• Protezione per i carichi di lavoro privati VMware Engine mediante una soluzione IPS/IDS, NGFW, DPI o NAT.
• Cloud Interconnect o Cloud VPN per la connettività con la rete on-premise.

Il seguente diagramma mostra le risorse necessarie per il provisioning di un NGFW per la connettività privata tra VMware Engine carichi di lavoro e reti on-premise o altri cloud provider:

La figura 5 mostra le attività da completare per impostare e configurare risorse in questa architettura. Di seguito è riportata una descrizione di ciascuna attività, incluso un link a un documento che fornisce ulteriori informazioni e istruzioni.

1. Esegui il provisioning di un bilanciatore del carico di rete passthrough interno nella rete VPC esterna, con un singolo regola di inoltro a per ascoltare tutto il traffico. Configurare le appliance di rete come backend per il bilanciatore del carico.

2. Configura la tabella di route della rete VPC esterna in modo che punti alla regola di forwarding come hop successivo per il traffico destinato a Reti VMware Engine.

3. Configura le appliance di rete come segue:

   • Instrada il traffico destinato alle reti VMware Engine tramite l'interfaccia nic2 al gateway della subnet (il primo indirizzo IP della subnet).
   • Per controlli di integrità per passare, configurare le appliance di rete in modo che rispondano alle richieste l'indirizzo IP di una regola tramite interfacce secondarie o di loopback.
   • Per far sì che i controlli di integrità vengano superati per i bilanciatori del carico interni, configura più domini di routing virtuali per garantire il routing corretto. Questo passaggio è necessaria per consentire all'interfaccia nic2 di restituire il traffico associato ai controlli di integrità proveniente dagli intervalli pubblici (35.191.0.0/16 e 130.211.0.0/22), mentre il percorso predefinito delle appliance di rete rimanda all'interfaccia nic0. Per ulteriori informazioni sugli intervalli IP per controlli di integrità del bilanciatore del carico, Esegui test per intervalli IP e regole firewall.

4. Configura la tabella di routing della rete VPC interna in modo da inoltrare il traffico di VMware Engine al peering di rete VPC come hop successivo.

5. Per il traffico restituito o per il traffico avviato da da VMware Engine alle reti remote, bilanciatore del carico di rete passthrough interno come hop successivo pubblicizzato su Il peering di rete VPC al VPC di accesso ai servizi privati in ogni rete.

Traffico in uscita centralizzato verso internet

Questo caso d'uso prevede i seguenti requisiti:

• Filtro URL, registrazione e applicazione delle norme sul traffico centralizzati per il traffico in uscita su internet.
• Protezione personalizzata per i carichi di lavoro VMware Engine mediante l'uso di rete da Cloud Marketplace.

Il seguente diagramma mostra le risorse necessarie per il provisioning dai punti di uscita dei carichi di lavoro VMware Engine a internet:

La figura 6 mostra le attività da completare per impostare e configurare risorse in questa architettura. Di seguito è riportata una descrizione di ciascuna attività, incluso un link a un documento che fornisce ulteriori informazioni e istruzioni.

1. Esegui il provisioning di un bilanciatore del carico di rete passthrough interno nella rete VPC interna come punto di ingresso in uscita carichi di lavoro VMware Engine.

   • Crea un singolo regola di inoltro a ascolta tutto il traffico.
   • Configurare le appliance di rete come backend per il bilanciatore del carico.

2. Configurare le appliance di rete per SNAT il traffico dai loro dispositivi pubblici Indirizzi IP (nic0). Per controlli di integrità per passare, le appliance di rete devono rispondere all'indirizzo IP della regola di forwarding tramite interfacce secondarie o di loopback.

3. Configura la rete VPC interna in modo da pubblicizzare una route predefinita tramite il peering di rete VPC alla rete VPC di accesso ai servizi privati, con la regola di inoltro del bilanciatore del carico interno come hop successivo.

4. a consentire il traffico in uscita attraverso le appliance di rete invece che usa la stessa procedura utilizzata per accedere a Internet abilitare il routing del traffico internet attraverso una connessione on-premise.

Passaggi successivi

• Scopri di più su VMware Engine.
• Rivedi Best practice per la progettazione della rete VPC.
• Informazioni su Networking VMware Engine
• Informazioni su Cloud Load Balancing.
• Esplora Cloud Marketplace.