Como parte da estratégia de defesa em profundidade da sua organização, pode ter políticas de segurança que exijam a utilização de dispositivos de rede centralizados para a deteção e o bloqueio em linha de atividade de rede suspeita. Este documento ajuda a conceber as seguintes funcionalidades avançadas de proteção de rede para cargas de trabalho do Google Cloud VMware Engine:
- Mitigação de ataques de negação de serviço distribuída (DDoS)
- Transferência de carga de SSL
- Firewalls de próxima geração (NGFW)
- Sistema de prevenção de intrusões (IPS) e sistema de deteção de intrusões (IDS)
- Inspeção detalhada de pacotes (DPI)
As arquiteturas neste documento usam o Cloud Load Balancing e dispositivos de rede do Google Cloud Marketplace. O Cloud Marketplace oferece dispositivos de rede prontos para produção e com apoio técnico do fornecedor de Google Cloud parceiros de segurança para as suas necessidades de TI empresariais.
As orientações neste documento destinam-se a arquitetos de segurança e administradores de rede que concebem, aprovisionam e gerem a conetividade de rede para cargas de trabalho do VMware Engine. Este documento pressupõe que tem conhecimentos sobre a nuvem virtual privada (VPC), o VMware vSphere, o VMware NSX, a tradução de endereços de rede (NAT) e o Cloud Load Balancing.
Arquitetura
O diagrama seguinte mostra uma arquitetura para a conetividade de rede a cargas de trabalho do VMware Engine a partir de redes nas instalações e da Internet. Mais adiante neste documento, esta arquitetura é expandida para cumprir os requisitos de exemplos de utilização específicos.
A Figura 1 mostra os seguintes componentes principais da arquitetura:
- Nuvem privada do VMware Engine: uma pilha VMware isolada que consiste em máquinas virtuais (VMs), armazenamento, infraestrutura de rede e um VMware vCenter Server. O VMware NSX-T oferece funcionalidades de rede e segurança, como a microsegmentação e as políticas de firewall. As VMs do VMware Engine usam endereços IP de segmentos de rede que cria na sua nuvem privada.
- Serviço de endereço IP público: fornece endereços IP externos às VMs do VMware Engine para ativar o acesso de entrada a partir da Internet. O gateway de Internet fornece acesso de saída por predefinição para as VMs do VMware Engine.
- Rede VPC do inquilino do VMware Engine: uma rede VPC dedicada, gerida pela Google, que é usada com cada nuvem privada do VMware Engine para permitir a comunicação comGoogle Cloud serviços.
Redes VPC do cliente:
- Rede VPC do cliente 1 (externa): uma rede VPC que aloja a interface virada para o público do seu dispositivo de rede e balanceador de carga.
- Rede da VPC do cliente 2 (interna): uma rede da VPC que aloja a interface interna do dispositivo de rede e está em intercâmbio com a rede da VPC do inquilino do VMware Engine através do modelo de acesso a serviços privados.
Acesso privado a serviços: um modelo de acesso privado que usa o peering de redes VPC para permitir a conetividade entre os serviços geridos pela Google e as suas redes VPC.
Dispositivos de rede: software de rede que escolhe no Cloud Marketplace e implementa em instâncias do Compute Engine.
Cloud Load Balancing: um serviço gerido pela Google que pode usar para gerir o tráfego para cargas de trabalho distribuídas de alta disponibilidade no Google Cloud. Pode escolher um tipo de equilibrador de carga adequado ao seu protocolo de tráfego e requisitos de acesso. As arquiteturas neste documento não usam os balanceadores de carga do NSX-T incorporados.
Notas de configuração
O diagrama seguinte mostra os recursos necessários para fornecer conetividade de rede para cargas de trabalho do VMware Engine:
A Figura 2 mostra as tarefas que tem de concluir para configurar os recursos nesta arquitetura. Segue-se uma descrição de cada tarefa, incluindo um link para um documento que faculta mais informações e instruções detalhadas.
Crie as redes VPC externas e internas, bem como as sub-redes, seguindo as instruções em Criar uma rede VPC no modo personalizado.
- Para cada sub-rede, escolha um intervalo de endereços IP que seja único nas redes VPC.
- A rede VPC de gestão apresentada no diagrama de arquitetura é opcional. Se necessário, pode usá-lo para alojar interfaces NIC de gestão para os seus dispositivos de rede.
Implemente as aplicações de rede necessárias a partir do Cloud Marketplace.
Para a elevada disponibilidade dos dispositivos de rede, implemente cada dispositivo num par de VMs distribuídas por duas zonas.
Pode implementar os dispositivos de rede em grupos de instâncias. Os grupos de instâncias podem ser grupos de instâncias geridos (MIGs) ou grupos de instâncias não geridos, consoante os seus requisitos de gestão ou de apoio técnico do fornecedor.
Aprovisione as interfaces de rede da seguinte forma:
nic0na rede VPC externa para encaminhar o tráfego para a origem pública.nic1para operações de gestão, se o fornecedor do dispositivo o exigir.nic2na rede VPC interna para comunicação interna com os recursos do VMware Engine.
A implementação das interfaces de rede em redes VPC separadas ajuda a garantir a segregação da zona de segurança ao nível da interface para ligações públicas e nas instalações.
Configure o VMware Engine:
- Crie uma nuvem privada do VMware Engine.
- Crie um segmento de rede para as VMs do VMware Engine.
Use o acesso a serviços privados para configurar o intercâmbio da rede da VPC para ligar a rede da VPC interna à rede da VPC que o VMware Engine gere.
Se precisar de conectividade híbrida à sua rede nas instalações, use o Cloud VPN ou o Cloud Interconnect.
Pode expandir a arquitetura na figura 2 para os seguintes exemplos de utilização:
| Exemplo de utilização | Produtos e serviços usados |
|---|---|
| NGFW para cargas de trabalho do VMware Engine acessíveis ao público |
|
| NGFW, mitigação de DDoS, descarregamento de SSL e rede de fornecimento de conteúdo (RFC) para cargas de trabalho do VMware Engine acessíveis ao público |
|
| NGFW para comunicação privada entre cargas de trabalho do VMware Engine e centros de dados no local ou outros fornecedores de nuvem |
|
| Pontos de saída centralizados para a Internet para cargas de trabalho do VMware Engine |
|
As secções seguintes descrevem estes exemplos de utilização e fornecem uma vista geral das tarefas de configuração para implementar os exemplos de utilização.
NGFW para cargas de trabalho viradas para o público
Este exemplo de utilização tem os seguintes requisitos:
- Uma arquitetura híbrida que consiste em instâncias do VMware Engine e do Compute Engine, com um balanceador de carga de nível 4 como front-end comum.
- Proteção para cargas de trabalho públicas do VMware Engine através de uma solução IPS/IDS, NGFW, DPI ou NAT.
- Mais endereços IP públicos do que os suportados pelo serviço de endereços IP públicos do VMware Engine.
O diagrama seguinte mostra os recursos necessários para aprovisionar uma NGFW para as suas cargas de trabalho do VMware Engine viradas para o público:
A Figura 3 mostra as tarefas que tem de concluir para configurar os recursos nesta arquitetura. Segue-se uma descrição de cada tarefa, incluindo um link para um documento que faculta mais informações e instruções detalhadas.
Aprovisione um Network Load Balancer de encaminhamento externo na rede VPC externa como o ponto de entrada de entrada virado para o público para cargas de trabalho do VMware Engine.
- Crie várias regras de encaminhamento para suportar várias cargas de trabalho do VMware Engine.
- Configure cada regra de encaminhamento com um endereço IP exclusivo e um número de porta TCP ou UDP.
- Configure os dispositivos de rede como back-ends para o equilibrador de carga.
Configure os dispositivos de rede para realizar a NAT de destino (DNAT) para o endereço IP público da regra de encaminhamento para os endereços IP internos das VMs que alojam as aplicações viradas para o público no VMware Engine.
- Os dispositivos de rede têm de executar o NAT de origem (SNAT) para o tráfego da interface
nic2para garantir um caminho de retorno simétrico. - Os dispositivos de rede também têm de encaminhar o tráfego destinado às redes do VMware Engine através da interface
nic2para o gateway da sub-rede (o primeiro endereço IP da sub-rede). - Para que as verificações de estado sejam aprovadas, os dispositivos de rede têm de usar interfaces secundárias ou de loopback para responder aos endereços IP das regras de encaminhamento.
- Os dispositivos de rede têm de executar o NAT de origem (SNAT) para o tráfego da interface
Configure a tabela de rotas da rede de VPC interna para encaminhar o tráfego do VMware Engine para o intercâmbio da rede de VPC como um salto seguinte.
Nesta configuração, as VMs do VMware Engine usam o serviço de gateway de Internet do VMware Engine para saída para recursos da Internet. No entanto, a entrada é gerida pelos dispositivos de rede para os endereços IP públicos que estão mapeados para as VMs.
NGFW, mitigação de DDoS, descarregamento de SSL e RFC
Este exemplo de utilização tem os seguintes requisitos:
- Uma arquitetura híbrida que consiste em instâncias do VMware Engine e do Compute Engine, com um balanceador de carga de nível 7 como front-end comum e mapeamento de URLs para encaminhar o tráfego para o back-end adequado.
- Proteção para cargas de trabalho públicas do VMware Engine através de uma solução IPS/IDS, NGFW, DPI ou NAT.
- Mitigação de DDoS de L3 a L7 para cargas de trabalho públicas do VMware Engine através do Google Cloud Armor.
- Terminação SSL com certificados SSL geridos pela Google, ou políticas SSL para controlar as versões SSL e as cifras usadas para ligações HTTPS ou SSL a cargas de trabalho do VMware Engine viradas para o público.
- Fornecimento de rede acelerado para cargas de trabalho do VMware Engine através da utilização do Cloud CDN para publicar conteúdo a partir de localizações próximas dos utilizadores.
O diagrama seguinte mostra os recursos necessários para aprovisionar a capacidade NGFW, a mitigação de DDoS, o descarregamento de SSL e a CDN para as suas cargas de trabalho do VMware Engine viradas para o público:
A Figura 4 mostra as tarefas que tem de concluir para configurar os recursos nesta arquitetura. Segue-se uma descrição de cada tarefa, incluindo um link para um documento que faculta mais informações e instruções detalhadas.
Aprovisione um balanceador de carga de aplicações externo global na rede VPC externa como o ponto de entrada de entrada orientado para o público para cargas de trabalho do VMware Engine.
- Crie várias regras de encaminhamento para suportar várias cargas de trabalho do VMware Engine.
- Configure cada regra de encaminhamento com um endereço IP público exclusivo e configure-a para ouvir o tráfego HTTP(S).
- Configure os dispositivos de rede como back-ends para o equilibrador de carga.
Além disso, pode fazer o seguinte:
- Para proteger os dispositivos de rede, configure as políticas de segurança do Cloud Armor no equilibrador de carga.
- Para suportar o encaminhamento, a verificação de funcionamento e o endereço IP Anycast para os dispositivos de rede que atuam como back-ends da RFC, configure o Cloud CDN para os MIGs que alojam os dispositivos de rede.
- Para encaminhar pedidos para diferentes back-ends, configure o mapeamento de URLs no equilibrador de carga. Por exemplo, encaminhe pedidos para
/apipara VMs do Compute Engine, pedidos para/imagespara um contentor do Cloud Storage e pedidos para/appatravés dos dispositivos de rede para as suas VMs do VMware Engine.
Configure cada dispositivo de rede para realizar o NAT de destino (DNAT) para o endereço IP interno da respetiva interface
nic0para os endereços IP internos das VMs que alojam as aplicações viradas para o público no VMware Engine.- Os dispositivos de rede têm de executar SNAT para o tráfego de origem da interface
nic2(endereço IP interno) para garantir um caminho de retorno simétrico. - Além disso, os dispositivos de rede têm de encaminhar o tráfego destinado às redes do VMware Engine através da interface
nic2para o gateway da sub-rede (o primeiro endereço IP da sub-rede).
O passo DNAT é necessário porque o balanceador de carga é um serviço baseado em proxy que é implementado num serviço Google Front End (GFE). Consoante a localização dos seus clientes, vários GFEs podem iniciar ligações HTTP(S) aos endereços IP internos dos dispositivos da rede de back-end. Os pacotes dos GFEs têm endereços IP de origem do mesmo intervalo usado para as sondagens de verificação do estado (35.191.0.0/16 e 130.211.0.0/22), e não os endereços IP do cliente originais. O equilibrador de carga anexa os endereços IP do cliente através do cabeçalho
X-Forwarded-For.Para que as verificações de estado sejam aprovadas, configure os dispositivos de rede para responderem ao endereço IP da regra de encaminhamento através de interfaces secundárias ou de loopback.
- Os dispositivos de rede têm de executar SNAT para o tráfego de origem da interface
Configure a tabela de rotas da rede de VPC interna para encaminhar o tráfego do VMware Engine para o intercâmbio da rede de VPC.
Nesta configuração, as VMs do VMware Engine usam o serviço de gateway de Internet do VMware Engine para a saída para a Internet. No entanto, a entrada é gerida pelos dispositivos de rede para os endereços IP públicos das VMs.
NGFW para conetividade privada
Este exemplo de utilização tem os seguintes requisitos:
- Uma arquitetura híbrida que consiste em instâncias do VMware Engine e do Compute Engine, com um balanceador de carga de nível 4 como front-end comum.
- Proteção para as suas cargas de trabalho privadas do VMware Engine através de uma solução IPS/IDS, NGFWs, DPI ou NAT.
- Cloud Interconnect ou Cloud VPN para conetividade com a rede no local.
O diagrama seguinte mostra os recursos necessários para aprovisionar uma NGFW para a conetividade privada entre as suas cargas de trabalho do VMware Engine e as redes nas instalações ou outros fornecedores de nuvem:
A Figura 5 mostra as tarefas que tem de concluir para configurar os recursos nesta arquitetura. Segue-se uma descrição de cada tarefa, incluindo um link para um documento que faculta mais informações e instruções detalhadas.
Aprovisione um balanceador de carga de rede de passagem interno na rede de VPC externa, com uma única regra de encaminhamento para ouvir todo o tráfego. Configure os dispositivos de rede como back-ends para o equilibrador de carga.
Configure a tabela de rotas da rede VPC externa para apontar para a regra de encaminhamento como um salto seguinte para o tráfego destinado às redes do VMware Engine.
Configure os dispositivos de rede da seguinte forma:
- Encaminhe o tráfego destinado às redes do VMware Engine através da interface
nic2para o gateway da sub-rede (o primeiro endereço IP da sub-rede). - Para que as verificações de estado sejam aprovadas, configure os dispositivos de rede para responderem ao endereço IP da regra de encaminhamento através de interfaces secundárias ou de loopback.
- Para que as verificações de estado sejam aprovadas para os equilibradores de carga internos, configure vários domínios de encaminhamento virtual para garantir o encaminhamento adequado. Este passo é
necessário para permitir que a interface
nic2devolva tráfego de verificação de estado proveniente dos intervalos públicos (35.191.0.0/16 e 130.211.0.0/22), enquanto o encaminhamento predefinido dos dispositivos de rede aponta para a interfacenic0. Para mais informações sobre os intervalos de IP para verificações de funcionamento do balanceador de carga, consulte o artigo Intervalos de IP de sondagem e regras da firewall.
- Encaminhe o tráfego destinado às redes do VMware Engine através da interface
Configure a tabela de rotas da rede de VPC interna para encaminhar o tráfego do VMware Engine para o intercâmbio da rede da VPC como um salto seguinte.
Para o tráfego devolvido ou para o tráfego iniciado a partir do VMware Engine para redes remotas, configure o balanceador de carga de rede de encaminhamento interno como o próximo salto anunciado através do intercâmbio da rede da VPC para a rede da VPC de acesso a serviços privados.
Saída centralizada para a Internet
Este exemplo de utilização tem os seguintes requisitos:
- Filtragem de URLs, registo e aplicação de tráfego centralizados para a saída da Internet.
- Proteção personalizada para cargas de trabalho do VMware Engine através de dispositivos de rede do Cloud Marketplace.
O diagrama seguinte mostra os recursos necessários para aprovisionar pontos de saída centralizados das cargas de trabalho do VMware Engine para a Internet:
A Figura 6 mostra as tarefas que tem de concluir para configurar os recursos nesta arquitetura. Segue-se uma descrição de cada tarefa, incluindo um link para um documento que faculta mais informações e instruções detalhadas.
Aprovisione um balanceador de carga de rede de encaminhamento interno na rede VPC interna como o ponto de entrada de saída para cargas de trabalho do VMware Engine.
- Crie uma única regra de encaminhamento para monitorizar todo o tráfego.
- Configure os dispositivos de rede como back-ends para o equilibrador de carga.
Configure os dispositivos de rede para fazer SNAT do tráfego a partir dos respetivos endereços IP públicos (
nic0). Para que as verificações de estado sejam aprovadas, os dispositivos de rede têm de responder ao endereço IP da regra de encaminhamento através de interfaces secundárias ou de loopback.Configure a rede VPC interna para anunciar uma rota predefinida através da interligação de redes VPC à rede VPC de acesso a serviços privados, com a regra de encaminhamento do balanceador de carga interno como o próximo salto.
Para permitir que o tráfego saia através dos dispositivos de rede em vez do gateway de Internet, use o mesmo processo que usaria para ativar o encaminhamento do tráfego de Internet através de uma ligação no local.
O que se segue?
- Saiba mais sobre o VMware Engine.
- Reveja as práticas recomendadas de design da rede VPC.
- Saiba mais acerca da rede do VMware Engine.
- Saiba mais sobre o Cloud Load Balancing.
- Explore o Cloud Marketplace.