Segurança de rede do VMware Engine usando dispositivos centralizados

Last reviewed 2023-07-26 UTC

Como parte da estratégia de defesa em profundidade da sua organização, você pode ter políticas de segurança que exigem o uso de dispositivos de rede centralizados para detecção e bloqueio inline de suspeitos atividade da rede. Neste documento, ajudamos você a projetar os seguintes recursos avançados de proteção de rede para as cargas de trabalho do Google Cloud VMware Engine:

  • Mitigação de ataques distribuídos de negação de serviço (DDoS)
  • Descarregamento de SSL
  • Firewalls de última geração (NGFW, na sigla em inglês)
  • Sistema de prevenção de intrusões (IPS) e Sistema de detecção de intrusões (IDS)
  • Inspeção profunda de pacotes (DPI)

As arquiteturas neste documento usam o Cloud Load Balancing e os dispositivos de rede do Google Cloud Marketplace. O Cloud Marketplace oferece dispositivos de rede compatíveis com fornecedores dos parceiros de segurança do Google Cloud, ideais para suas necessidades de TI empresarial.

As orientações neste documento são destinadas a arquitetos de segurança e administradores de rede que projetam, provisionam e gerenciam a conectividade de rede para cargas de trabalho do VMware Engine. Para seguir este documento, é necessário ter familiaridade com a nuvem privada virtual (VPC), VMware vSphere, VMware NSX, conversão de endereços de rede (NAT) e Cloud Load Balancing.

Arquitetura

O diagrama a seguir mostra uma arquitetura de conectividade de rede para as cargas de trabalho do VMware Engine a partir de redes locais e da Internet. Ainda neste documento, essa arquitetura é estendida para atender aos requisitos de casos de uso específicos.

Arquitetura básica de conectividade de rede para cargas de trabalho do VMware Engine.
Figura 1. Arquitetura básica para conectividade de rede com cargas de trabalho do VMware Engine.

A figura 1 mostra os seguintes componentes principais da arquitetura:

  1. Nuvem privada do VMware Engine: uma pilha VMware isolada que consiste em máquinas virtuais (VMs), armazenamento, infraestrutura de rede e um servidor VMware vCenter. O VMware NSX-T fornece recursos de rede e segurança, como microsegmentação e políticas de firewall. As VMs do VMware Engine usam endereços IP de segmentos de rede criados na nuvem privada.
  2. Serviço de endereço IP público: fornece endereços IP externos às VMs do VMware Engine para ativar o acesso de entrada da Internet. O gateway da Internet fornece acesso de saída por padrão às VMs do VMware Engine.
  3. Rede VPC do locatário do VMware Engine: uma rede VPC dedicada gerenciada pelo Google que é usada com todas as nuvens privadas do VMware Engine para permitir a comunicação com os serviços do Google Cloud.

  4. Redes VPC do cliente:

    • Rede VPC 1 do cliente (externa): uma rede VPC que hospeda a interface pública do dispositivo de rede e do balanceador de carga.
    • Rede VPC do cliente 2 (interna): uma rede VPC que hospeda a interface interna do dispositivo de rede e faz peering com a rede VPC do locatário do VMware Engine usando os serviços particulares para acesso.

  5. Acesso a serviços particulares: um modelo de acesso particular que usa o peering de rede VPC para ativar a conectividade entre os serviços gerenciados pelo Google e suas redes VPC.

  6. Dispositivos de rede: software de rede escolhido do Cloud Marketplace e implantado em instâncias do Compute Engine. Para mais informações sobre como implantar dispositivos de rede de terceiros no Google Cloud, consulte Dispositivos de rede centralizados no Google Cloud.

  7. Cloud Load Balancing: um serviço gerenciado pelo Google que pode ser usado para gerenciar o tráfego para cargas de trabalho distribuídas altamente disponíveis no Google Cloud. Escolha um tipo de balanceador de carga que atenda aos requisitos de protocolo de tráfego e acesso. As arquiteturas neste documento não usam os balanceadores de carga NSX-T integrados.

Observações sobre a configuração

O diagrama a seguir mostra os recursos necessários para fornecer conectividade de rede para cargas de trabalho do VMware Engine:

Recursos necessários para conectividade de rede às cargas de trabalho do VMware Engine.
Figura 2. Recursos necessários para conectividade de rede às cargas de trabalho do VMware Engine.

A Figura 2 mostra as tarefas que você precisa concluir para configurar os recursos nessa arquitetura. Veja a seguir uma descrição de cada tarefa, incluindo um link para um documento que fornece mais informações e instruções detalhadas.

  1. Crie as redes e sub-redes VPC externas e internas seguindo as instruções em Como criar uma rede VPC de modo personalizado.

    • Para cada sub-rede, escolha um intervalo de endereços IP exclusivo nas redes VPC.
    • A rede VPC de gerenciamento mostrada no diagrama de arquitetura é opcional. Se necessário, é possível usá-lo para hospedar interfaces de placa de rede (NIC, na sigla em inglês) dos dispositivos de rede.

  2. Implante os dispositivos de rede necessários no Cloud Marketplace.

    • Para alta disponibilidade dos dispositivos de rede, implante cada dispositivo em um par de VMs distribuídas em duas zonas.

      É possível implantar os dispositivos de rede em grupos de instâncias. Os grupos de instâncias podem ser grupos de instâncias gerenciadas (MIGs, na sigla em inglês) ou grupos de instâncias não gerenciadas, dependendo dos seus requisitos de gerenciamento ou de suporte ao fornecedor.

    • Provisione as interfaces de rede da seguinte maneira:

      • nic0 na rede VPC externa para rotear o tráfego para a origem pública.
      • nic1 para operações de gerenciamento, se o fornecedor do dispositivo exigir.
      • nic2 na rede VPC interna para comunicação interna com os recursos do VMware Engine.

      A implantação das interfaces de rede em redes VPC separadas ajuda a garantir a segregação da zona de segurança no nível da interface para conexões públicas e locais.

  3. Configurar o VMware Engine:

  4. Use o acesso a serviços particulares para configurar o Peering de redes VPC para conectar a rede VPC interna à rede VPC gerenciada pelo VMware Engine.

  5. Se você precisar de conectividade híbrida com a rede local, use o Cloud VPN ou o Cloud Interconnect.

É possível estender a arquitetura na figura 2 para os seguintes casos de uso:

Caso de uso Produtos e serviços usados
NGFW para cargas de trabalho do VMware Engine voltadas para o público
  • Dispositivos de rede do Cloud Marketplace
  • Balanceadores de carga de rede de passagem externa
NGFW, mitigação de DDoS, descarregamento de SSL e CDN (Content Delivery Network) para cargas de trabalho públicas do VMware Engine
  • Dispositivos de rede do Cloud Marketplace
  • Balanceadores de carga de aplicativos externos
NGFW para comunicação particular entre cargas de trabalho do VMware Engine e data centers locais ou outros provedores de nuvem
  • Dispositivos de rede do Cloud Marketplace
  • Balanceadores de carga de rede de passagem interna
Pontos de saída centralizados para a Internet nas cargas de trabalho do VMware Engine
  • Dispositivos de rede do Cloud Marketplace
  • Balanceadores de carga de rede de passagem interna

As seções a seguir descrevem esses casos de uso e apresentam uma visão geral das tarefas de configuração para implementá-los.

NGFW para cargas de trabalho públicas

Esse caso de uso tem os seguintes requisitos:

  • Uma arquitetura híbrida que consiste em instâncias do VMware Engine e do Compute Engine, com um balanceador de carga L4 como front-end comum.
  • Proteção para cargas de trabalho públicas do VMware Engine usando uma solução IPS/IDS, NGFW, DPI ou NAT.
  • Mais endereços IP públicos do que o suporte do serviço de endereço IP público do VMware Engine.

O diagrama a seguir mostra os recursos necessários para provisionar um NGFW para suas cargas de trabalho públicas do VMware Engine:

Recursos necessários para provisionar um NGFW para cargas de trabalho públicas do VMware Engine.
Figura 3. Recursos necessários para provisionar um NGFW para cargas de trabalho públicas do VMware Engine.

A Figura 3 mostra as tarefas que você precisa concluir para instalar e configurar os recursos nessa arquitetura. Veja a seguir uma descrição de cada tarefa, incluindo um link para um documento que fornece mais informações e instruções detalhadas.

  1. Provisione um balanceador de carga de rede de passagem externa na rede VPC externa como o ponto de entrada de entrada pública para cargas de trabalho do VMware Engine.

    • Crie várias regras de encaminhamento para aceitar várias cargas de trabalho do VMware Engine.
    • Configure cada regra de encaminhamento com um endereço IP exclusivo e um número de porta TCP ou UDP.
    • Configure os dispositivos de rede como back-ends do balanceador de carga.

  2. Configure os dispositivos de rede para executar o NAT de destino (DNAT, na sigla em inglês) do endereço IP público da regra de encaminhamento para os endereços IP internos das VMs que hospedam os aplicativos públicos no VMware Engine.

    • Os dispositivos de rede precisam executar NAT-origem (SNAT) para o tráfego da interface nic2 para garantir um caminho simétrico retornado.
    • Os dispositivos de rede também precisam rotear o tráfego destinado às redes do VMware Engine por meio da interface nic2 para o gateway da sub-rede (o primeiro endereço IP da sub-rede).
    • Para a aprovação das verificações de integridade, os dispositivos de rede precisam usar interfaces secundárias ou de loopback para responder aos endereços IP das regras de encaminhamento.

  3. Configure a tabela de rotas da rede VPC interna para encaminhar o tráfego do VMware Engine para o peering de rede VPC como um próximo salto.

Nesta configuração, as VMs do VMware Engine usam o serviço de gateway de Internet do VMware Engine para saída para recursos da Internet. No entanto, a entrada é gerenciada pelos dispositivos de rede para os endereços IP públicos que são mapeados para as VMs.

NGFW, mitigação de DDoS, descarregamento de SSL e CDN

Esse caso de uso tem os seguintes requisitos:

  • Uma arquitetura híbrida que consiste em instâncias do VMware Engine e do Compute Engine, com um balanceador de carga L7 como o front-end comum e o mapeamento de URL para rotear o tráfego para o back-end apropriado.
  • Proteção para cargas de trabalho públicas do VMware Engine usando uma solução IPS/IDS, NGFW, DPI ou NAT.
  • Mitigação de DDoS de L3 a L7 para cargas de trabalho públicas do VMware Engine usando o Google Cloud Armor
  • Terminação SSL por meio de certificados SSL gerenciados pelo Google ou políticas de SSL para controlar as versões e criptografias SSL usadas para HTTPS. ou conexões SSL para cargas de trabalho públicas do VMware Engine.
  • Entrega de rede acelerada para cargas de trabalho do VMware Engine usando o Cloud CDN para exibir conteúdo de locais próximos aos usuários.

O diagrama a seguir mostra os recursos necessários para provisionar o recurso NGFW, a mitigação de DDoS, o descarregamento de SSL e a CDN para suas cargas de trabalho do VMware Engine voltadas para o público:

Recursos necessários para provisionar um NGFW, mitigação de DDoS, descarregamento de SSL e CDN para cargas de trabalho públicas do VMware Engine.
Figure 4. Recursos necessários para provisionar um NGFW, mitigação de DDoS, descarregamento de SSL e CDN para cargas de trabalho públicas do VMware Engine.

A Figura 4 mostra as tarefas que você precisa concluir para instalar e configurar os recursos nessa arquitetura. Veja a seguir uma descrição de cada tarefa, incluindo um link para um documento que fornece mais informações e instruções detalhadas.

  1. Provisione um balanceador de carga de aplicativo externo global na rede VPC externa como o ponto de entrada de entrada público para cargas de trabalho do VMware Engine.

    • Crie várias regras de encaminhamento para aceitar várias cargas de trabalho do VMware Engine.
    • Configure cada regra de encaminhamento com um endereço IP público exclusivo e configure-a para detectar tráfego HTTP(S).
    • Configure os dispositivos de rede como back-ends do balanceador de carga.

    Além disso, há outras possibilidades:

    • Para proteger os dispositivos de rede, configure as políticas de segurança do Google Cloud Armor no balanceador de carga.
    • Para aceitar roteamento, verificação de integridade e endereço IP anycast para os dispositivos de rede que atuam como back-ends de CDN, configure o Cloud CDN para os MIGs que hospedam a rede. aparelhos.
    • Para rotear solicitações para back-ends diferentes, configure o mapeamento de URL no balanceador de carga. Por exemplo, rotear solicitações para /api para VMs do Compute Engine, solicitações para /images para um bucket do Cloud Storage e solicitações para /app por meio dos dispositivos de rede para o VMware VMs do mecanismo.

  2. Configure cada dispositivo de rede para executar o NAT-destino (DNAT) do endereço IP interno da interface nic0 para os endereços IP internos das VMs que hospedam os aplicativos voltados ao público no VMware Mecanismo.

    • Os dispositivos de rede precisam executar o SNAT para o tráfego de origem da interface nic2 (endereço IP interno) para garantir um caminho simétrico retornado.
    • Além disso, os dispositivos de rede precisam rotear o tráfego destinado às redes do VMware Engine por meio da interface nic2 para o gateway de sub-rede (o primeiro endereço IP da sub-rede).

    A etapa DNAT é necessária porque o balanceador de carga é um serviço baseado em proxy implementado em um serviço do Google Front End (GFE). Dependendo do local dos seus clientes, vários GFEs podem iniciar conexões HTTP(S) com os endereços IP internos dos dispositivos de rede de back-end. Os pacotes dos GFEs têm endereços IP de origem do mesmo intervalo usado para as sondagens de verificação de integridade (35.191.0.0/16 e 130.211.0.0/22), não dos endereços IP originais do cliente. O balanceador de carga anexa os endereços IP do cliente usando o cabeçalho X-Forwarded-For.

    Para que as verificações de integridade sejam aprovadas, configure os dispositivos de rede para responder ao endereço IP da regra de encaminhamento usando interfaces secundárias ou de loopback.

  3. Configure a tabela de rotas da rede VPC interna para encaminhar o tráfego do VMware Engine para o peering de redes VPC.

    Nesta configuração, as VMs do VMware Engine usam o serviço de gateway da Internet do VMware Engine para saída para a Internet. No entanto, a entrada é gerenciada pelos dispositivos de rede para os endereços IP públicos das VMs.

NGFW para conectividade particular

Esse caso de uso tem os seguintes requisitos:

  • Uma arquitetura híbrida que consiste em instâncias do VMware Engine e do Compute Engine, com um balanceador de carga L4 como front-end comum.
  • Proteção para suas cargas de trabalho particulares do VMware Engine usando uma solução NAT/IPS/IDS, NGFW, DPI ou NAT.
  • Cloud Interconnect ou Cloud VPN para conectividade com a rede local.

O diagrama a seguir mostra os recursos necessários para provisionar um NGFW para conectividade particular entre as cargas de trabalho do VMware Engine e redes locais ou outros provedores de nuvem:

Recursos necessários para provisionar um NGFW para conectividade particular.
Figura 5. Recursos necessários para provisionar um NGFW para conectividade particular às cargas de trabalho do VMware Engine.

A Figura 5 mostra as tarefas que você precisa concluir para instalar e configurar os recursos nessa arquitetura. Veja a seguir uma descrição de cada tarefa, incluindo um link para um documento que fornece mais informações e instruções detalhadas.

  1. Provisione um balanceador de carga de rede de passagem interno na rede VPC externa, com uma única regra de encaminhamento para detectar todo o tráfego. Configure os dispositivos de rede como back-ends do balanceador de carga.

  2. Configure a tabela de rotas da rede VPC externa para apontar para a regra de encaminhamento como um próximo salto para o tráfego destinado às redes do VMware Engine.

  3. Configure os dispositivos de rede da seguinte maneira:

    • Encaminhe o tráfego destinado às redes do VMware Engine por meio da interface nic2 para o gateway de sub-rede (o primeiro endereço IP da sub-rede).
    • Para que as verificações de integridade sejam aprovadas, configure os dispositivos de rede para responder ao endereço IP da regra de encaminhamento usando interfaces secundárias ou de loopback.
    • Para que as verificações de integridade sejam aprovadas para os balanceadores de carga internos, configure vários domínios de roteamento virtual para garantir o roteamento adequado. Essa etapa é necessária para permitir que a interface nic2 retorne o tráfego de verificação de integridade fornecido pelos intervalos públicos (35.191.0.0/16 e 130.211.0.0/22), enquanto rota padrão dos dispositivos de rede aponta para a interface nic0. Para mais informações sobre intervalos de IP para verificações de integridade do balanceador de carga, consulte Intervalos de IP de sondagem e regras de firewall.

  4. Configure a tabela de rota da rede VPC interna para encaminhar o tráfego do VMware Engine para o peering de rede VPC como um próximo salto.

  5. Para o tráfego retornado ou para o tráfego que é iniciado do VMware Engine para redes remotas, configure o balanceador de carga de rede de passagem interno como o próximo salto anunciado por meio do peering de rede VPC para a VPC de acesso a serviços privados.

Saída centralizada para a Internet

Esse caso de uso tem os seguintes requisitos:

  • Filtragem de URL, geração de registros e aplicação de tráfego centralizadas para saída da Internet.
  • Proteção personalizada para cargas de trabalho do VMware Engine usando dispositivos de rede do Cloud Marketplace.

O diagrama a seguir mostra os recursos necessários para provisionar pontos de saída centralizados das cargas de trabalho do VMware Engine para a Internet:

Recursos necessários para provisionar a saída centralizada para a Internet.
Figura 6. Recursos necessários para provisionar a saída centralizada para a Internet para cargas de trabalho do VMware Engine.

A Figura 6 mostra as tarefas que você precisa concluir para instalar e configurar os recursos nessa arquitetura. Veja a seguir uma descrição de cada tarefa, incluindo um link para um documento que fornece mais informações e instruções detalhadas.

  1. Provisione um balanceador de carga de rede de passagem interno na rede VPC interna como o ponto de entrada de saída para cargas de trabalho do VMware Engine.

  2. Configure os dispositivos de rede para fazer SNAT do tráfego dos endereços IP públicos (nic0). Para que as verificações de integridade sejam aprovadas, os dispositivos de rede precisam responder ao endereço IP da regra de encaminhamento usando interfaces secundárias ou de loopback.

  3. Configurar a rede VPC interna para divulgar uma rota padrão por meio do peering de rede VPC para a rede VPC de acesso a serviços privados, com a regra de encaminhamento do balanceador de carga interno como o próximo salto.

  4. Para permitir a saída de tráfego pelos dispositivos de rede em vez do gateway de Internet, use o mesmo processo que você faria para ativar o roteamento de tráfego da Internet por meio de uma conexão local.

A seguir