Mendesain jaringan untuk memigrasikan workload perusahaan: Pendekatan arsitektur

Last reviewed 2023-11-13 UTC

Dokumen ini memperkenalkan rangkaian yang menjelaskan arsitektur jaringan dan keamanan untuk perusahaan yang memigrasikan workload pusat data ke Google Cloud. Arsitektur ini menekankan konektivitas lanjutan, prinsip keamanan zero-trust, dan pengelolaan di seluruh lingkungan hybrid.

Seperti yang dijelaskan dalam dokumen yang menyertainya, Arsitektur untuk Melindungi Cloud Data Plane, perusahaan men-deploy berbagai arsitektur yang mempertimbangkan kebutuhan konektivitas dan keamanan di cloud. Kami mengklasifikasikan arsitektur ini ke dalam tiga pola arsitektur yang berbeda: lift-and-shift, layanan hybrid, dan zero-trust yang didistribusikan. Dokumen saat ini mempertimbangkan berbagai pendekatan keamanan, bergantung pada arsitektur yang dipilih perusahaan. Panduan ini juga menjelaskan cara mewujudkan pendekatan tersebut menggunakan elemen penyusun yang disediakan oleh Google Cloud. Anda harus menggunakan panduan keamanan ini bersama dengan panduan arsitektur lainnya yang mencakup keandalan, ketersediaan, skala, performa, dan tata kelola.

Dokumen ini dirancang untuk membantu arsitek sistem, administrator jaringan, dan administrator keamanan yang berencana memigrasikan workload lokal ke cloud. Hal ini mengasumsikan hal berikut:

  • Anda sudah memahami konsep keamanan dan jaringan data center.
  • Anda memiliki workload yang ada di pusat data lokal dan sudah mengetahui apa yang dilakukannya dan siapa penggunanya.
  • Anda memiliki setidaknya beberapa workload yang ingin dimigrasikan.
  • Anda umumnya memahami konsep yang dijelaskan dalam Arsitektur untuk Melindungi Cloud Data Plane.

Seri ini terdiri dari dokumen berikut:

Dokumen ini merangkum tiga pola arsitektur utama dan memperkenalkan elemen penyusun resource yang dapat Anda gunakan untuk membuat infrastruktur. Terakhir, bagian ini menjelaskan cara menyusun elemen penyusun dasar menjadi serangkaian arsitektur referensi yang cocok dengan pola. Anda dapat menggunakan arsitektur referensi ini untuk memandu arsitektur Anda sendiri.

Dokumen ini menyebutkan virtual machine (VM) sebagai contoh resource beban kerja. Informasi ini berlaku untuk resource lain yang menggunakan jaringan VPC, seperti instance Cloud SQL dan node Google Kubernetes Engine.

Ringkasan pola arsitektur

Biasanya, engineer jaringan berfokus pada pembuatan infrastruktur jaringan fisik dan infrastruktur keamanan di pusat data lokal.

Perjalanan ke cloud telah mengubah pendekatan ini karena konstruksi jaringan cloud adalah software-defined. Di cloud, pemilik aplikasi memiliki kontrol terbatas terhadap stack infrastruktur yang mendasarinya. Mereka memerlukan model yang memiliki perimeter aman dan memberikan isolasi untuk workload mereka.

Dalam seri ini, kita akan mempertimbangkan tiga pola arsitektur umum. Pola ini saling membangun, dan dapat dilihat sebagai spektrum, bukan pilihan yang ketat.

Pola lift-and-shift

Dalam pola arsitektur lift-and-shift, pemilik aplikasi perusahaan memigrasikan workload mereka ke cloud tanpa memfaktorkan ulang workload tersebut. Engineer jaringan dan keamanan menggunakan kontrol Lapisan 3 dan Lapisan 4 untuk memberikan perlindungan menggunakan kombinasi virtual appliance jaringan yang meniru perangkat fisik lokal dan aturan firewall cloud di jaringan VPC. Pemilik beban kerja men-deploy layanan mereka di jaringan VPC.

Pola layanan hybrid

Beban kerja yang dibangun menggunakan lift-and-shift mungkin memerlukan akses ke layanan cloud seperti BigQuery atau Cloud SQL. Biasanya, akses ke layanan cloud tersebut adalah pada Lapisan 4 dan Lapisan 7. Dalam konteks ini, isolasi dan keamanan tidak dapat dilakukan secara ketat di Lapisan 3. Oleh karena itu, jaringan layanan dan Kontrol Layanan VPC digunakan untuk memberikan konektivitas dan keamanan, berdasarkan identitas layanan yang diakses dan layanan yang meminta akses. Dalam model ini, Anda dapat mengekspresikan kebijakan kontrol akses yang beragam.

Pola terdistribusi zero-trust

Dalam arsitektur zero-trust, aplikasi perusahaan memperluas penerapan keamanan di luar kontrol perimeter. Di dalam perimeter, workload dapat berkomunikasi dengan workload lain hanya jika identitas IAM-nya memiliki izin tertentu, yang ditolak secara default. Dalam Arsitektur Terdistribusi Zero Trust, kepercayaan didasarkan pada identitas dan diterapkan untuk setiap aplikasi. Workload dibuat sebagai microservice yang memiliki identitas yang diterbitkan secara terpusat. Dengan begitu, layanan dapat memvalidasi pemanggilnya dan membuat keputusan berbasis kebijakan untuk setiap permintaan tentang apakah akses tersebut dapat diterima. Arsitektur ini sering diimplementasikan menggunakan proxy terdistribusi (mesh layanan), bukan menggunakan gateway terpusat.

Perusahaan dapat menerapkan akses zero-trust dari pengguna dan perangkat ke aplikasi perusahaan dengan mengonfigurasi Identity-Aware Proxy (IAP). IAP menyediakan kontrol berbasis identitas dan konteks untuk traffic pengguna dari internet atau intranet.

Menggabungkan pola

Perusahaan yang membangun atau memigrasikan aplikasi bisnis mereka ke cloud biasanya menggunakan kombinasi ketiga pola arsitektur tersebut.

Google Cloud menawarkan portofolio produk dan layanan yang berfungsi sebagai elemen penyusun untuk menerapkan cloud data plane yang mendukung pola arsitektur. Elemen penyusun ini akan dibahas nanti dalam dokumen ini. Kombinasi kontrol yang disediakan di bidang data cloud, bersama dengan kontrol administratif untuk mengelola resource cloud, membentuk fondasi perimeter keamanan menyeluruh. Perimeter yang dibuat oleh kombinasi ini memungkinkan Anda mengatur, men-deploy, dan mengoperasikan workload di cloud.

Hierarki resource dan kontrol administratif

Bagian ini menyajikan ringkasan kontrol administratif yang disediakan Google Cloud sebagai penampung resource. Kontrol tersebut mencakup resource organisasi, folder, dan project Google Cloud yang memungkinkan Anda mengelompokkan dan mengatur secara hierarkis resource cloud. Pengaturan hierarkis ini memberi Anda struktur kepemilikan dan titik anchor untuk menerapkan kebijakan dan kontrol.

Resource organisasi Google adalah node root dalam hierarki dan merupakan dasar untuk membuat deployment di cloud. Resource organisasi dapat memiliki folder dan project sebagai turunan. Folder memiliki project atau folder lain sebagai turunannya. Semua resource lain adalah turunan project.

Anda menggunakan folder sebagai metode untuk mengelompokkan project. Project menjadi dasar untuk membuat, mengaktifkan, dan menggunakan semua layanan Google Cloud. Project memungkinkan Anda mengelola API, mengaktifkan penagihan, menambahkan dan menghapus kolaborator, serta mengelola izin.

Dengan menggunakan Identity and Access Management (IAM) Google, Anda dapat menetapkan peran dan menentukan kebijakan serta izin akses di semua level hierarki resource. Kebijakan IAM diwariskan oleh resource yang lebih rendah dalam hierarki. Kebijakan ini tidak dapat diubah oleh pemilik resource yang berada di hierarki lebih rendah. Dalam beberapa kasus, pengelolaan identitas dan akses disediakan pada tingkat yang lebih terperinci, misalnya pada cakupan objek di namespace atau cluster seperti di Google Kubernetes Engine.

Pertimbangan desain untuk jaringan Virtual Private Cloud Google

Saat Anda mendesain strategi migrasi ke cloud, penting untuk mengembangkan strategi tentang cara perusahaan Anda akan menggunakan jaringan VPC. Anda dapat menganggap jaringan VPC sebagai versi virtual dari jaringan fisik tradisional. Ini adalah partisi jaringan pribadi yang sepenuhnya terisolasi. Secara default, workload atau layanan yang di-deploy di satu jaringan VPC tidak dapat berkomunikasi dengan tugas di jaringan VPC lain. Oleh karena itu, jaringan VPC memungkinkan isolasi beban kerja dengan membentuk batas keamanan.

Karena setiap jaringan VPC di cloud adalah jaringan virtual sepenuhnya, setiap jaringan memiliki ruang alamat IP pribadinya sendiri. Oleh karena itu, Anda dapat menggunakan alamat IP yang sama di beberapa jaringan VPC tanpa konflik. Deployment lokal biasanya dapat menggunakan sebagian besar ruang alamat IP pribadi RFC 1918. Di sisi lain, jika Anda memiliki workload di jaringan lokal dan di jaringan VPC, Anda dapat menggunakan kembali rentang alamat yang sama di jaringan VPC yang berbeda, selama jaringan tersebut tidak terhubung atau di-peering, sehingga ruang alamat IP tidak cepat habis.

Jaringan VPC bersifat global

Jaringan VPC di Google Cloud bersifat global, yang berarti bahwa resource yang di-deploy dalam project yang memiliki jaringan VPC dapat saling berkomunikasi secara langsung menggunakan backbone pribadi Google.

Seperti yang ditunjukkan pada gambar 1, Anda dapat memiliki jaringan VPC dalam project yang berisi subnetwork di berbagai region yang mencakup beberapa zona. VM di region mana pun dapat berkomunikasi secara pribadi satu sama lain menggunakan rute VPC lokal.

Penerapan jaringan VPC global Google Cloud dengan subnet yang dikonfigurasi di berbagai region.

Gambar 1. Penerapan jaringan VPC global Google Cloud dengan subnetwork yang dikonfigurasi di region yang berbeda.

Membagikan jaringan menggunakan VPC Bersama

VPC Bersama memungkinkan resource organisasi menghubungkan beberapa project ke jaringan VPC umum sehingga resource tersebut dapat berkomunikasi satu sama lain dengan aman menggunakan alamat IP internal dari jaringan bersama. Administrator jaringan untuk jaringan bersama tersebut menerapkan dan menegakkan kontrol terpusat atas resource jaringan.

Saat menggunakan VPC Bersama, Anda menetapkan suatu project sebagai project host dan menautkan satu atau beberapa project layanan lain padanya. Jaringan VPC dalam project host disebut Jaringan VPC bersama. Resource yang memenuhi syarat dari project layanan dapat menggunakan subnet di jaringan VPC Bersama.

Perusahaan biasanya menggunakan jaringan VPC Bersama saat mereka memerlukan administrator jaringan dan keamanan untuk memusatkan pengelolaan resource jaringan seperti subnet dan rute. Pada saat yang sama, jaringan VPC Bersama memungkinkan tim aplikasi dan pengembangan membuat serta menghapus instance VM dan men-deploy workload di subnet yang ditetapkan menggunakan project layanan.

Mengisolasi lingkungan menggunakan jaringan VPC

Penggunaan jaringan VPC untuk mengisolasi lingkungan memiliki sejumlah keuntungan, tetapi Anda juga perlu mempertimbangkan beberapa kekurangannya. Bagian ini membahas kompromi ini dan menjelaskan pola umum untuk menerapkan isolasi.

Alasan untuk mengisolasi lingkungan

Karena jaringan VPC mewakili domain isolasi, banyak perusahaan menggunakannya untuk menjaga lingkungan atau unit bisnis di domain terpisah. Alasan umum untuk membuat isolasi tingkat VPC adalah sebagai berikut:

  • Perusahaan ingin menetapkan komunikasi tolak default antara satu jaringan VPC dan jaringan VPC lainnya, karena jaringan ini mewakili perbedaan yang bermakna secara organisasi. Untuk informasi selengkapnya, lihat Pola isolasi jaringan VPC umum nanti dalam dokumen ini.
  • Perusahaan harus memiliki rentang alamat IP yang tumpang-tindih karena lingkungan lokal yang sudah ada, karena akuisisi, atau karena deployment ke lingkungan cloud lainnya.
  • Perusahaan ingin mendelegasikan kontrol administratif penuh jaringan ke sebagian perusahaan.

Kekurangan isolasi lingkungan

Membuat lingkungan terisolasi dengan jaringan VPC dapat memiliki beberapa kelemahan. Memiliki beberapa jaringan VPC dapat meningkatkan beban administratif pengelolaan layanan yang mencakup beberapa jaringan. Dokumen ini membahas teknik yang dapat Anda gunakan untuk mengelola kompleksitas ini.

Pola isolasi jaringan VPC umum

Ada beberapa pola umum untuk mengisolasi jaringan VPC:

  • Isolasi lingkungan pengembangan, staging, dan produksi. Pola ini memungkinkan perusahaan memisahkan sepenuhnya lingkungan pengembangan, staging, dan produksi satu sama lain. Pada dasarnya, struktur ini mempertahankan beberapa salinan lengkap aplikasi, dengan peluncuran progresif di antara setiap lingkungan. Dalam pola ini, jaringan VPC digunakan sebagai batas keamanan. Developer memiliki tingkat akses yang tinggi ke jaringan VPC pengembangan untuk melakukan pekerjaan sehari-hari mereka. Setelah pengembangan selesai, tim produksi engineering atau tim QA dapat memigrasikan perubahan ke lingkungan staging, tempat perubahan dapat diuji secara terintegrasi. Saat siap di-deploy, perubahan akan dikirim ke lingkungan produksi.
  • Mengisolasi unit bisnis. Beberapa perusahaan ingin menerapkan tingkat isolasi yang tinggi antara unit bisnis, terutama dalam kasus unit yang diakuisisi atau unit yang menuntut tingkat otonomi dan isolasi yang tinggi. Dalam pola ini, perusahaan sering kali membuat jaringan VPC untuk setiap unit bisnis dan mendelegasikan kontrol VPC tersebut kepada administrator unit bisnis. Perusahaan menggunakan teknik yang dijelaskan nanti dalam dokumen ini untuk mengekspos layanan yang mencakup perusahaan atau menghosting aplikasi yang ditampilkan kepada pengguna yang mencakup beberapa unit bisnis.

Rekomendasi untuk membuat lingkungan terisolasi

Sebaiknya desain jaringan VPC Anda agar memiliki domain terluas yang selaras dengan batas administratif dan keamanan perusahaan Anda. Anda dapat mencapai isolasi tambahan di antara beban kerja yang berjalan di jaringan VPC yang sama menggunakan kontrol keamanan seperti firewall.

Untuk informasi selengkapnya tentang cara mendesain dan membuat strategi isolasi untuk organisasi Anda, lihat Praktik terbaik dan arsitektur referensi untuk desain VPC serta Jaringan dalam blueprint fondasi perusahaan Google Cloud.

Elemen penyusun untuk jaringan cloud

Bagian ini membahas elemen penyusun penting untuk konektivitas jaringan, keamanan jaringan, jaringan layanan, dan keamanan layanan. Gambar 2 menunjukkan cara elemen penyusun ini saling terkait. Anda dapat menggunakan satu atau beberapa produk yang tercantum di baris tertentu.

Elemen penyusun dalam bidang konektivitas dan keamanan jaringan cloud.

Gambar 2. Elemen penyusun dalam bidang keamanan dan konektivitas jaringan cloud.

Bagian berikut membahas setiap elemen penyusun dan layanan Google Cloud yang dapat Anda gunakan untuk setiap blok.

Konektivitas jaringan

Blok konektivitas jaringan berada di dasar hierarki. Layanan ini bertanggung jawab untuk menghubungkan resource Google Cloud ke pusat data lokal atau cloud lainnya. Bergantung pada kebutuhan, Anda mungkin hanya memerlukan salah satu produk ini, atau Anda dapat menggunakan semuanya untuk menangani berbagai kasus penggunaan.

Cloud VPN

Cloud VPN memungkinkan Anda menghubungkan kantor cabang jarak jauh atau penyedia cloud lainnya ke jaringan VPC Google melalui koneksi VPN IPsec. Traffic yang beralih di antara dua jaringan tersebut dienkripsi oleh satu gateway VPN, lalu didekripsi oleh gateway VPN lainnya, sehingga membantu melindungi data saat melintasi internet.

Cloud VPN memungkinkan Anda mengaktifkan konektivitas antara lingkungan lokal dan Google Cloud tanpa overhead penyediaan cross-connect fisik yang diperlukan untuk Cloud Interconnect (dijelaskan di bagian berikutnya). Anda dapat menyediakan VPN dengan ketersediaan tinggi (HA) untuk memenuhi persyaratan SLA hingga ketersediaan 99,99% jika memiliki arsitektur yang sesuai. Anda dapat mempertimbangkan untuk menggunakan Cloud VPN jika beban kerja Anda tidak memerlukan latensi rendah atau bandwidth tinggi. Misalnya, Cloud VPN adalah pilihan yang tepat untuk kasus penggunaan yang tidak penting atau untuk memperluas konektivitas ke penyedia cloud lainnya.

Cloud Interconnect

Cloud Interconnect menyediakan konektivitas khusus tingkat perusahaan ke Google Cloud yang memiliki throughput lebih tinggi dan performa jaringan yang lebih andal dibandingkan dengan menggunakan VPN atau internet ingress. Dedicated Interconnect menyediakan konektivitas fisik langsung ke jaringan Google dari router Anda. Partner Interconnect memberikan konektivitas khusus melalui jaringan partner yang luas, yang mungkin menawarkan jangkauan yang lebih luas atau opsi bandwidth lainnya daripada Dedicated Interconnect. Cross-Cloud Interconnect menyediakan konektivitas langsung khusus dari jaringan VPC Anda ke penyedia cloud lainnya. Dedicated Interconnect memerlukan Anda untuk terhubung di fasilitas kolokasi tempat Google berada, tetapi Partner Interconnect tidak. Cross-Cloud Interconnect memungkinkan Anda memilih lokasi yang memenuhi persyaratan untuk membuat koneksi. Cloud Interconnect memastikan bahwa traffic antara jaringan lokal atau jaringan cloud lainnya dan jaringan VPC Anda tidak melintasi internet publik.

Anda dapat menyediakan koneksi Cloud Interconnect ini untuk memenuhi persyaratan SLA dengan ketersediaan hingga 99,99% jika Anda menyediakan arsitektur yang sesuai. Anda dapat mempertimbangkan untuk menggunakan Cloud Interconnect guna mendukung beban kerja yang memerlukan latensi rendah, bandwidth tinggi, dan performa yang dapat diprediksi sekaligus memastikan bahwa semua traffic Anda tetap bersifat pribadi.

Network Connectivity Center untuk hybrid

Network Connectivity Center menyediakan konektivitas site-to-site di antara jaringan lokal dan jaringan cloud lainnya. Hal ini dilakukan menggunakan jaringan backbone Google untuk memberikan konektivitas yang andal di antara situs Anda.

Selain itu, Anda dapat memperluas jaringan overlay SD-WAN yang sudah ada ke Google Cloud dengan mengonfigurasi VM atau peralatan router vendor pihak ketiga dengan lampiran jari-jari logis.

Anda dapat mengakses resource di dalam jaringan VPC menggunakan perangkat router, jaringan VPN, atau Cloud Interconnect sebagai lampiran spoke. Anda dapat menggunakan Network Connectivity Center untuk menggabungkan konektivitas antara situs lokal, kehadiran Anda di cloud lain, dan Google Cloud, serta mengelola semuanya menggunakan satu tampilan.

Network Connectivity Center untuk jaringan VPC

Network Connectivity Center juga memungkinkan Anda membuat mesh di antara banyak jaringan VPC. Anda dapat menghubungkan mesh ini ke cloud lokal atau cloud lainnya menggunakan Cloud VPN atau Cloud Interconnect.

Peering Jaringan VPC

Peering Jaringan VPC memungkinkan Anda menghubungkan jaringan VPC Google sehingga beban kerja di berbagai jaringan VPC dapat berkomunikasi secara internal, terlepas dari apakah beban kerja tersebut berasal dari project yang sama atau dari resource organisasi yang sama. Traffic tetap berada dalam jaringan Google dan tidak melintasi internet publik.

Peering Jaringan VPC mengharuskan jaringan yang akan di-peering tidak memiliki alamat IP yang tumpang-tindih.

Keamanan jaringan

Blok keamanan jaringan berada di atas blok konektivitas jaringan. Firewall ini bertanggung jawab untuk mengizinkan atau menolak akses ke resource berdasarkan karakteristik paket IP.

Aturan firewall VPC

Aturan firewall VPC berlaku untuk jaringan tertentu. Dengan aturan firewall VPC, Anda dapat mengizinkan atau menolak koneksi ke atau dari instance VM, berdasarkan konfigurasi yang Anda tentukan. Aturan firewall VPC yang diaktifkan selalu diterapkan, sehingga melindungi instance Anda, terlepas dari konfigurasi, sistem operasi, atau apakah VM telah di-booting sepenuhnya.

Setiap jaringan VPC berfungsi sebagai firewall terdistribusi. Meskipun aturan firewall ditentukan di tingkat jaringan, koneksi akan diizinkan atau ditolak per instance. Anda dapat menganggap bahwa aturan firewall VPC sudah ada tidak hanya antara instance Anda dan jaringan lainnya, tetapi juga antara instance individual dalam jaringan yang sama.

Kebijakan firewall hierarkis

Kebijakan firewall hierarkis memungkinkan Anda membuat dan menerapkan kebijakan firewall yang konsisten di seluruh perusahaan. Kebijakan ini berisi aturan yang dapat secara eksplisit menolak atau mengizinkan koneksi. Anda dapat menetapkan kebijakan firewall hierarkis ke resource organisasi secara keseluruhan atau ke folder individual.

Duplikasi paket

Duplikasi paket meng-clone traffic instance tertentu di jaringan VPC Anda dan meneruskannya ke kolektor untuk diperiksa. Duplikasi paket merekam semua data traffic dan paket, termasuk payload dan header. Anda dapat mengonfigurasi pencerminan untuk traffic masuk dan keluar, untuk traffic masuk saja, atau untuk traffic keluar saja. Duplikasi terjadi di instance VM, bukan di jaringan.

Alat virtual jaringan

Virtual appliance jaringan memungkinkan Anda menerapkan kontrol keamanan dan kepatuhan ke jaringan virtual yang konsisten dengan kontrol di lingkungan lokal. Anda dapat melakukannya dengan men-deploy image VM yang tersedia di Google Cloud Marketplace ke VM yang memiliki beberapa antarmuka jaringan, yang masing-masing terpasang ke jaringan VPC yang berbeda, untuk menjalankan berbagai fungsi virtual jaringan.

Kasus penggunaan umum untuk peralatan virtual adalah sebagai berikut:

  • Firewall generasi berikutnya (NGFWs). NGFW terdiri dari serangkaian firewall terpusat yang berjalan sebagai VM yang memberikan fitur yang tidak tersedia di aturan firewall VPC. Fitur umum produk NGFW meliputi pemeriksaan paket mendalam (DPI) dan perlindungan firewall di lapisan aplikasi. Beberapa NGFW juga menyediakan pemeriksaan traffic TLS/SSL dan fungsi jaringan lainnya, seperti yang dijelaskan nanti dalam daftar ini.
  • Intrusion detection system/intrusion prevention system (IDS/IPS). IDS berbasis jaringan memberikan visibilitas ke traffic yang berpotensi berbahaya. Untuk mencegah intrusi, perangkat IPS dapat memblokir traffic berbahaya agar tidak mencapai tujuannya.
  • Secure Web Gateway (SWG). SWG memblokir ancaman dari internet dengan memungkinkan perusahaan menerapkan kebijakan perusahaan pada traffic yang berjalan ke dan dari internet. Hal ini dilakukan dengan menggunakan pemfilteran URL, deteksi kode malicious, dan kontrol akses.
  • Gateway penafsiran alamat jaringan (NAT). Gateway NAT menafsirkan alamat IP dan port. Misalnya, terjemahan ini membantu menghindari alamat IP yang tumpang tindih. Google Cloud menawarkan Cloud NAT sebagai layanan terkelola, tetapi layanan ini hanya tersedia untuk traffic yang menuju ke internet, bukan untuk traffic yang menuju ke infrastruktur lokal atau ke jaringan VPC lainnya.
  • Firewall aplikasi web (WAF). WAF dirancang untuk memblokir traffic HTTP(S) berbahaya yang menuju ke aplikasi web. Google Cloud menawarkan fungsionalitas WAF melalui Kebijakan keamanan Google Cloud Armor. Fungsionalitas yang tepat berbeda antar-vendor WAF, jadi penting untuk menentukan kebutuhan Anda.

Cloud IDS

Cloud IDS adalah layanan deteksi penyusupan yang menyediakan deteksi ancaman untuk intrusi, malware, spyware, serta serangan perintah dan kontrol di jaringan Anda. Cloud IDS berfungsi dengan membuat jaringan yang di-peering dan dikelola Google yang berisi VM yang akan menerima traffic yang diduplikasi. Traffic yang dicerminkan kemudian diperiksa oleh teknologi perlindungan terhadap ancaman Palo Alto Networks untuk memberikan deteksi ancaman tingkat lanjut.

Cloud IDS memberikan visibilitas penuh ke traffic intra-subnet, sehingga Anda dapat memantau komunikasi VM-ke-VM dan mendeteksi pergerakan lateral.

Cloud NAT

Cloud NAT memberikan dukungan penafsiran alamat jaringan software-defined dan terkelola sepenuhnya untuk aplikasi. Tindakan ini memungkinkan terjemahan alamat jaringan sumber (NAT sumber atau SNAT) untuk traffic yang terhubung ke internet dari VM yang tidak memiliki alamat IP eksternal.

Analisis Firewall

Firewall Insights membantu Anda memahami dan mengoptimalkan aturan firewall. Fitur ini memberikan data tentang cara penggunaan aturan firewall Anda, mengekspos kesalahan konfigurasi, dan mengidentifikasi aturan yang dapat dibuat lebih ketat. Fitur ini juga menggunakan machine learning untuk memprediksi penggunaan aturan firewall Anda di masa mendatang sehingga Anda dapat membuat keputusan yang tepat tentang apakah akan menghapus atau memperketat aturan yang tampaknya terlalu permisif.

Pencatatan log jaringan

Anda dapat menggunakan beberapa produk Google Cloud untuk mencatat dan menganalisis traffic jaringan.

Logging Aturan Firewall memungkinkan Anda mengaudit, memverifikasi, dan menganalisis efek aturan firewall Anda. Misalnya, Anda dapat menentukan apakah aturan firewall, yang dirancang untuk menolak traffic, berfungsi sebagaimana mestinya. Logging Aturan Firewall juga berguna jika Anda perlu menentukan jumlah koneksi yang terpengaruh oleh aturan firewall tertentu.

Aktifkan Firewall Rules Logging satu per satu untuk setiap aturan firewall yang koneksinya perlu Anda catat. Firewall Rules Logging adalah opsi untuk setiap aturan firewall, terlepas dari tindakan (izinkan atau tolak) atau arah (masuk atau keluar) aturan tersebut.

VPC Flow Logs mencatat sampel alur jaringan yang dikirim dari dan diterima oleh instance VM, termasuk instance yang digunakan sebagai node Google Kubernetes Engine (GKE). Log ini dapat digunakan untuk pemantauan jaringan, forensik, analisis keamanan real-time, dan pengoptimalan biaya.

Service Networking

Blok jaringan layanan bertanggung jawab untuk menyediakan layanan pencarian yang memberi tahu layanan tujuan permintaan (DNS, Direktori Layanan) dan mendapatkan permintaan ke tempat yang benar (Private Service Connect, Cloud Load Balancing).

Cloud DNS

Workload diakses menggunakan nama domain. Cloud DNS menawarkan terjemahan nama domain ke alamat IP yang andal dan berlatensi rendah yang berada di mana saja di seluruh dunia. Cloud DNS menawarkan zona publik dan zona DNS terkelola pribadi. Zona publik dapat dilihat oleh internet publik, sedangkan zona pribadi hanya dapat dilihat dari satu atau beberapa jaringan VPC yang Anda tentukan.

Cloud Load Balancing

Dalam Google Cloud, load balancer adalah komponen penting. Load balancer merutekan traffic ke berbagai layanan untuk memastikan kecepatan dan efisiensi, serta membantu memastikan keamanan secara global baik bagi traffic internal maupun eksternal.

Load balancer kami juga memungkinkan traffic dirutekan dan diskalakan di beberapa cloud atau lingkungan hybrid. Hal ini menjadikan Cloud Load Balancing sebagai "pintu depan" yang dapat digunakan untuk menskalakan aplikasi apa pun, di mana pun aplikasi tersebut berada atau di berapa banyak tempat aplikasi tersebut dihosting. Google menawarkan berbagai jenis load balancing: global dan regional, eksternal dan internal, serta Lapisan 4 dan Lapisan 7.

Direktori Layanan

Service Directory memungkinkan Anda mengelola inventaris layanan, menyediakan satu tempat aman untuk memublikasikan, menemukan, dan menghubungkan layanan, semua operasi didukung oleh kontrol akses berbasis identitas. Dengan layanan ini, Anda dapat mendaftarkan layanan bernama dan endpoint-nya. Pendaftaran dapat dilakukan secara manual atau menggunakan integrasi dengan Private Service Connect, GKE, dan Cloud Load Balancing. Penemuan layanan dapat dilakukan dengan menggunakan API HTTP dan gRPC eksplisit, serta dengan menggunakan Cloud DNS.

Mesh layanan: Cloud Service Mesh dan Cloud Service Mesh

Cloud Service Mesh dan Cloud Service Mesh dirancang untuk menjalankan aplikasi terdistribusi yang kompleks dengan mengaktifkan serangkaian kebijakan keamanan dan pengelolaan traffic yang beragam dalam arsitektur mesh layanan. Perbedaan utama antara produk ini adalah pada lingkungan yang didukungnya, di Istio API untuknya, dan pada kemampuan load balancing globalnya.

Cloud Service Mesh ideal untuk deployment regional dan global berbasis Kubernetes, baik Google Cloud maupun di lokasi, yang mendapatkan manfaat dari produk Istio terkelola.

Cloud Service Mesh ideal untuk kasus penggunaan jaringan yang menampilkan layanan yang di-deploy secara global dan berbasis status serta beban di seluruh Google Cloud. Cloud Service Mesh mengelola beban kerja dengan menggunakan proxy Envoy yang berfungsi sebagai sidecar atau gateway, atau dengan menggunakan beban kerja gRPC tanpa proxy.

Tabel berikut meringkas fitur Cloud Service Meshy dan Cloud Service Mesh.

Mesh Layanan Traffic Director
Jenis deployment Kubernetes VM, Kubernetes
Lingkungan Google Cloud, di lokasi, multi-cloud Google Cloud, di lokasi, multi-cloud
Cakupan deployment Regional dan regional gabungan Global
Platform API Istio Pemetaan layanan (model Gateway Kubernetes)
Konektivitas jaringan Sidecar Envoy Sidecar Envoy, gRPC tanpa proxy
Distribusi beban global berdasarkan kondisi backend Ya (Berdasarkan Kubernetes) Ya
Distribusi beban global berdasarkan beban backend Tidak Ya
Identitas terkelola untuk mTLS workload (zero-trust) Ya Ya (khusus GKE)

Google telah menjelaskan lebih lanjut cara membuat lingkungan Arsitektur Zero Trust Distributed Architecture secara menyeluruh menggunakan arsitektur BeyondProd. Selain perimeter jaringan serta autentikasi dan otorisasi layanan, BeyondProd menjelaskan bagaimana lingkungan komputasi tepercaya, asal kode, dan peluncuran deployment berperan dalam mencapai arsitektur layanan zero-trust terdistribusi yang aman. Anda harus mempertimbangkan masalah ini yang meluas di luar jaringan saat mengadopsi pendekatan zero-trust.

Private Service Connect

Private Service Connect membuat abstraksi layanan dengan membuat workload dapat diakses di seluruh jaringan VPC melalui satu endpoint. Hal ini memungkinkan dua jaringan berkomunikasi dalam model klien-server yang hanya mengekspos layanan kepada konsumen, bukan seluruh jaringan atau beban kerja itu sendiri. Model jaringan yang berorientasi pada layanan memungkinkan administrator jaringan untuk memahami layanan yang mereka ekspos di antara jaringan, bukan subnet atau VPC, sehingga memungkinkan penggunaan layanan dalam model produsen-konsumen, baik untuk layanan pihak pertama maupun pihak ketiga (SaaS).

Dengan Private Service Connect, VPC konsumen dapat menggunakan alamat IP pribadi untuk terhubung ke Google API atau layanan di VPC lain.

Anda dapat memperluas Private Service Connect ke jaringan lokal untuk mengakses endpoint yang terhubung ke Google API atau ke layanan terkelola di jaringan VPC lain. Private Service Connect memungkinkan penggunaan layanan di Lapisan 4 atau Lapisan 7.

Di Lapisan 4, Private Service Connect mengharuskan produsen untuk membuat satu atau beberapa subnet khusus untuk Private Service Connect. Subnet ini juga disebut sebagai subnet NAT. Private Service Connect melakukan NAT sumber menggunakan alamat IP yang dipilih dari salah satu subnet Private Service Connect untuk merutekan permintaan ke produsen layanan. Pendekatan ini memungkinkan Anda menggunakan alamat IP yang tumpang-tindih antara konsumen dan produsen.

Di Lapisan 7, Anda dapat membuat backend Private Service Connect menggunakan Load Balancer Aplikasi internal. Load Balancer Aplikasi internal memungkinkan Anda memilih layanan yang tersedia menggunakan peta URL. Untuk mengetahui informasi selengkapnya, lihat Tentang backend Private Service Connect.

Akses layanan pribadi

Akses layanan pribadi adalah koneksi pribadi antara jaringan VPC Anda dan jaringan yang dimiliki oleh Google atau pihak ketiga. Google atau pihak ketiga yang menawarkan layanan dikenal sebagai produsen layanan. Akses layanan pribadi menggunakan Peering Jaringan VPC untuk membangun konektivitas, dan memerlukan jaringan VPC produsen dan konsumen untuk saling melakukan peering. Hal ini berbeda dengan Private Service Connect, yang memungkinkan Anda memproyeksikan satu alamat IP pribadi ke dalam subnet.

Koneksi pribadi memungkinkan instance VM di jaringan VPC Anda dan layanan yang diakses untuk berkomunikasi secara eksklusif menggunakan alamat IP internal. Instance VM tidak memerlukan akses internet atau alamat IP eksternal untuk menjangkau layanan yang tersedia melalui akses layanan pribadi. Akses layanan pribadi juga dapat diperluas ke jaringan lokal menggunakan Cloud VPN atau Cloud Interconnect untuk menyediakan cara bagi host lokal untuk menjangkau jaringan produsen layanan. Untuk mengetahui daftar layanan yang dikelola Google yang didukung menggunakan akses layanan pribadi, lihat Layanan yang didukung dalam dokumentasi Virtual Private Cloud.

Akses VPC Serverless

Akses VPC Serverless memungkinkan Anda terhubung langsung ke jaringan VPC dari layanan yang dihosting di lingkungan serverless seperti Cloud Run, App Engine, atau fungsi Cloud Run. Dengan mengonfigurasi Akses VPC Serverless, lingkungan serverless Anda dapat mengirim permintaan ke jaringan VPC Anda menggunakan DNS internal dan alamat IP internal. Respons terhadap permintaan ini juga menggunakan jaringan virtual Anda.

Akses VPC Serverless mengirimkan traffic internal dari jaringan VPC Anda ke lingkungan serverless hanya jika traffic tersebut merupakan respons terhadap permintaan yang dikirim dari lingkungan serverless Anda melalui konektor Akses VPC Serverless.

Akses VPC Serverless memiliki manfaat berikut:

  • Permintaan yang dikirim ke jaringan VPC Anda tidak akan pernah terekspos ke internet.
  • Komunikasi melalui Akses VPC Serverless dapat memiliki latensi yang lebih rendah dibandingkan dengan komunikasi melalui internet.

Keamanan layanan

Keamanan layanan memblokir akses kontrol ke resource berdasarkan identitas peminta atau berdasarkan pemahaman tingkat tinggi tentang pola paket, bukan hanya karakteristik setiap paket.

Google Cloud Armor untuk DDoS/WAF

Google Cloud Armor adalah layanan mitigasi distributed denial of service (DDoS) dan firewall aplikasi web (WAF) yang membantu Anda mempertahankan aplikasi dan layanan web dari beberapa jenis ancaman. Ancaman ini mencakup serangan DDoS, serangan berbasis web seperti pembuatan skrip lintas situs (XSS) dan injeksi SQL (SQLi), serta serangan berbasis penipuan dan otomatisasi.

Google Cloud Armor memeriksa permintaan yang masuk di edge global Google. Cloud Armor memiliki kumpulan aturan firewall aplikasi web bawaan untuk memindai serangan web umum dan sistem deteksi serangan berbasis ML lanjutan yang membuat model traffic yang baik, lalu mendeteksi traffic yang buruk. Terakhir, Google Cloud Armor terintegrasi dengan reCAPTCHA Google untuk membantu mendeteksi dan menghentikan penipuan yang canggih dan serangan berbasis otomatisasi dengan menggunakan telemetri endpoint dan telemetri cloud.

Identity-Aware Proxy (IAP)

Identity-Aware Proxy (IAP) menyediakan kontrol akses kontekstual ke aplikasi dan VM berbasis cloud yang berjalan di Google Cloud atau yang terhubung ke Google Cloud menggunakan salah satu teknologi jaringan hybrid. IAP memverifikasi identitas pengguna dan menentukan apakah permintaan pengguna berasal dari sumber tepercaya, berdasarkan berbagai atribut kontekstual. IAP juga mendukung tunneling TCP untuk akses SSH/RDP dari pengguna perusahaan.

Kontrol Layanan VPC

Kontrol Layanan VPC membantu Anda mengurangi risiko pemindahan data yang tidak sah dari layanan Google Cloud, seperti Cloud Storage dan BigQuery. Menggunakan Kontrol Layanan VPC membantu memastikan bahwa penggunaan layanan Google Cloud Anda hanya terjadi dari lingkungan yang disetujui.

Anda dapat menggunakan Kontrol Layanan VPC untuk membuat perimeter yang melindungi resource dan data layanan yang Anda tentukan dengan membatasi akses ke konstruksi identitas native cloud tertentu seperti akun layanan dan jaringan VPC. Setelah perimeter dibuat, akses ke layanan Google yang ditentukan akan ditolak kecuali jika permintaan berasal dari dalam perimeter.

Pengiriman konten

Blok pengiriman konten mengontrol pengoptimalan pengiriman aplikasi dan konten.

Cloud CDN

Cloud CDN menyediakan akselerasi konten statis dengan menggunakan jaringan edge global Google untuk mengirimkan konten dari titik yang paling dekat dengan pengguna. Hal ini membantu mengurangi latensi untuk situs dan aplikasi Anda.

Media CDN

Media CDN adalah solusi pengiriman media Google dan dibuat untuk beban kerja keluar dengan throughput tinggi.

Kemampuan observasi

Blok visibilitas memberi Anda visibilitas ke jaringan dan memberikan insight yang dapat digunakan untuk memecahkan masalah, mendokumentasikan, menyelidiki masalah.

Network Intelligence Center

Network Intelligence Center terdiri dari beberapa produk yang menangani berbagai aspek pengamatan jaringan. Setiap produk memiliki fokus yang berbeda dan memberikan insight yang kaya untuk memberi tahu administrator, arsitek, dan praktisi tentang kesehatan dan masalah jaringan.

Arsitektur referensi

Dokumen berikut menyajikan arsitektur referensi untuk berbagai jenis beban kerja: intra-cloud, yang menghadap internet, dan hybrid. Arsitektur beban kerja ini dibangun di atas bidang data cloud yang diwujudkan menggunakan elemen penyusun dan pola arsitektur yang diuraikan di bagian sebelumnya dalam dokumen ini.

Anda dapat menggunakan arsitektur referensi untuk mendesain cara memigrasikan atau membangun workload di cloud. Beban kerja Anda kemudian didukung oleh bidang data cloud dan menggunakan arsitekturnya. Meskipun dokumen ini tidak menyediakan kumpulan arsitektur referensi yang lengkap, dokumen ini mencakup skenario yang paling umum.

Seperti pola arsitektur keamanan yang dijelaskan dalam Arsitektur untuk Melindungi Cloud Data Plane, layanan di dunia nyata mungkin menggunakan kombinasi desain ini. Dokumen ini membahas setiap jenis workload dan pertimbangan untuk setiap arsitektur keamanan.

Langkah selanjutnya