Mendesain jaringan untuk memigrasikan workload perusahaan: Pendekatan arsitektur

Last reviewed 2023-11-13 UTC

Dokumen ini memperkenalkan rangkaian yang menjelaskan arsitektur jaringan dan keamanan untuk perusahaan yang memigrasikan workload pusat data ke Google Cloud. Arsitektur ini menekankan konektivitas lanjutan, prinsip keamanan zero-trust, dan pengelolaan di seluruh lingkungan hybrid.

Seperti yang dijelaskan dalam dokumen yang menyertainya, Architectures for Protecting Cloud Data Planes, perusahaan men-deploy spektrum arsitektur yang memperhitungkan kebutuhan konektivitas dan keamanan di cloud. Kami mengklasifikasikan arsitektur ini ke dalam tiga pola arsitektur yang berbeda: lift-and-shift, layanan hybrid, dan zero-trust terdistribusi. Dokumen saat ini mempertimbangkan pendekatan keamanan yang berbeda, bergantung pada arsitektur mana yang dipilih perusahaan. Panduan ini juga menjelaskan cara mewujudkan pendekatan tersebut menggunakan elemen penyusun yang disediakan Google Cloud. Anda harus menggunakan panduan keamanan ini bersama dengan panduan arsitektur lain yang mencakup keandalan, ketersediaan, skala, performa, dan tata kelola.

Dokumen ini dirancang untuk membantu arsitek sistem, administrator jaringan, dan administrator keamanan yang berencana memigrasikan workload lokal ke cloud. Hal ini mengasumsikan hal berikut:

  • Anda terbiasa dengan konsep jaringan dan keamanan pusat data.
  • Anda memiliki workload yang ada di pusat data lokal dan sudah memahami apa yang mereka lakukan dan siapa penggunanya.
  • Anda memiliki setidaknya beberapa beban kerja yang ingin dimigrasikan.
  • Secara umum, Anda sudah memahami konsep yang dijelaskan dalam Arsitektur untuk Melindungi Bidang Data Cloud.

Seri ini terdiri dari dokumen berikut:

Dokumen ini merangkum tiga pola arsitektur utama dan memperkenalkan elemen penyusun resource yang dapat Anda gunakan untuk membuat infrastruktur. Terakhir, artikel ini menjelaskan cara menyusun elemen penyusun ke dalam serangkaian arsitektur referensi yang sesuai dengan pola. Anda dapat menggunakan arsitektur referensi ini untuk memandu arsitektur Anda sendiri.

Dokumen ini menyebutkan virtual machine (VM) sebagai contoh resource beban kerja. Informasi ini berlaku untuk resource lain yang menggunakan jaringan VPC, seperti instance Cloud SQL dan node Google Kubernetes Engine.

Ringkasan pola arsitektur

Biasanya, engineer jaringan berfokus pada pembangunan infrastruktur jaringan fisik dan infrastruktur keamanan di pusat data lokal.

Perjalanan ke cloud telah mengubah pendekatan ini karena konstruksi jaringan cloud ditetapkan secara software-defined. Di cloud, pemilik aplikasi memiliki kontrol terbatas atas stack infrastruktur yang mendasarinya. Mereka memerlukan model yang memiliki perimeter aman dan menyediakan isolasi untuk workload mereka.

Dalam seri ini, kami mempertimbangkan tiga pola arsitektur yang umum. Pola ini saling melengkapi, dan dapat dilihat sebagai spektrum, bukan pilihan yang ketat.

Pola angkat-dan-geser

Dalam pola arsitektur lift-and-shift, pemilik aplikasi perusahaan memigrasikan workload mereka ke cloud tanpa memfaktorkan ulang workload tersebut. Engineer jaringan dan keamanan menggunakan kontrol Lapisan 3 dan Lapisan 4 untuk memberikan perlindungan menggunakan kombinasi peralatan virtual jaringan yang meniru aturan firewall cloud dan perangkat fisik lokal di jaringan VPC. Pemilik workload men-deploy layanan mereka di jaringan VPC.

Pola layanan hybrid

Beban kerja yang dibangun menggunakan lift-and-shift mungkin memerlukan akses ke layanan cloud seperti BigQuery atau Cloud SQL. Biasanya, akses ke layanan cloud tersebut adalah pada Lapisan 4 dan Lapisan 7. Dalam konteks ini, isolasi dan keamanan tidak dapat dilakukan hanya di Lapisan 3. Oleh karena itu, jaringan layanan dan Kontrol Layanan VPC digunakan untuk menyediakan konektivitas dan keamanan, berdasarkan identitas layanan yang diakses dan layanan yang meminta akses. Dalam model ini, Anda dapat mengekspresikan kebijakan kontrol akses yang lengkap.

Pola terdistribusi zero-trust

Dalam arsitektur zero-trust, aplikasi perusahaan memperluas penegakan keamanan di luar kontrol perimeter. Di dalam perimeter, workload dapat berkomunikasi dengan workload lain hanya jika identitas IAM-nya memiliki izin khusus, yang ditolak secara default. Dalam Arsitektur Terdistribusi Zero-Trust, kepercayaan berbasis identitas dan diberlakukan untuk setiap aplikasi. Beban kerja dibangun sebagai microservice yang memiliki identitas yang diterbitkan secara terpusat. Dengan demikian, layanan dapat memvalidasi pemanggilnya dan membuat keputusan berbasis kebijakan untuk setiap permintaan tentang apakah akses tersebut dapat diterima. Arsitektur ini sering diimplementasikan menggunakan proxy terdistribusi (mesh layanan), bukan menggunakan gateway terpusat.

Perusahaan dapat menerapkan akses zero-trust dari pengguna dan perangkat ke aplikasi perusahaan dengan mengonfigurasi Identity-Aware Proxy (IAP). IAP memberikan kontrol berbasis identitas dan konteks untuk traffic pengguna dari internet atau intranet.

Menggabungkan pola

Perusahaan yang membangun atau memigrasikan aplikasi bisnis mereka ke cloud biasanya menggunakan kombinasi ketiga pola arsitektur tersebut.

Google Cloud menawarkan portofolio produk dan layanan yang berfungsi sebagai elemen penyusun untuk menerapkan bidang data cloud yang mendukung pola arsitektur. Elemen penyusun ini akan dibahas nanti dalam dokumen ini. Kombinasi kontrol yang disediakan di bidang data cloud, bersama dengan kontrol administratif untuk mengelola resource cloud, membentuk fondasi dari perimeter keamanan menyeluruh. Perimeter yang dibuat oleh kombinasi ini memungkinkan Anda mengatur, men-deploy, dan mengoperasikan beban kerja di cloud.

Hierarki resource dan kontrol administratif

Bagian ini menampilkan ringkasan kontrol administratif yang disediakan Google Cloud sebagai container resource. Kontrol tersebut mencakup resource, folder, dan project organisasi Google Cloud yang dapat Anda gunakan untuk mengelompokkan dan mengatur secara hierarkis resource cloud. Organisasi hierarkis ini memberi Anda struktur kepemilikan dan titik link untuk menerapkan kebijakan dan kontrol.

Resource organisasi Google adalah node root dalam hierarki dan merupakan dasar untuk membuat deployment di cloud. Resource organisasi dapat memiliki folder dan project sebagai turunannya. Folder memiliki project atau folder lain sebagai turunan. Semua resource lain adalah turunan project.

Anda menggunakan folder sebagai metode pengelompokan project. Project menjadi dasar untuk membuat, mengaktifkan, dan menggunakan semua layanan Google Cloud. Dengan project, Anda dapat mengelola API, mengaktifkan penagihan, menambahkan dan menghapus kolaborator, serta mengelola izin.

Dengan Identity and Access Management (IAM) Google, Anda dapat menetapkan peran dan menentukan kebijakan akses dan izin di semua tingkat hierarki resource. Kebijakan IAM diwarisi oleh resource yang lebih rendah dalam hierarki. Kebijakan ini tidak dapat diubah oleh pemilik resource yang memiliki hierarki yang lebih rendah. Dalam beberapa kasus, pengelolaan akses dan identitas diberikan pada level yang lebih terperinci, misalnya pada cakupan objek di namespace atau cluster seperti dalam Google Kubernetes Engine.

Pertimbangan desain untuk jaringan Virtual Private Cloud Google

Saat merancang strategi migrasi ke cloud, penting untuk mengembangkan strategi penggunaan jaringan VPC bagi perusahaan Anda. Anda dapat menganggap jaringan VPC sebagai versi virtual dari jaringan fisik tradisional Anda. Ini adalah partisi jaringan pribadi yang sepenuhnya terisolasi. Secara default, beban kerja atau layanan yang di-deploy di satu jaringan VPC tidak dapat berkomunikasi dengan tugas di jaringan VPC lain. Oleh karena itu, jaringan VPC memungkinkan isolasi beban kerja dengan membentuk batas keamanan.

Karena setiap jaringan VPC di cloud adalah jaringan sepenuhnya virtual, masing-masing memiliki ruang alamat IP pribadinya sendiri. Oleh karena itu, Anda dapat menggunakan alamat IP yang sama di beberapa jaringan VPC tanpa konflik. Deployment lokal standar mungkin menghabiskan sebagian besar ruang alamat IP pribadi RFC 1918. Di sisi lain, jika Anda memiliki workload lokal dan di jaringan VPC, Anda dapat menggunakan kembali rentang alamat yang sama di berbagai jaringan VPC, selama jaringan tersebut tidak terhubung atau di-peering, sehingga menghabiskan ruang alamat IP lebih lambat.

Jaringan VPC tersedia secara global

Jaringan VPC di Google Cloud bersifat global. Artinya, resource yang di-deploy dalam project yang memiliki jaringan VPC dapat saling berkomunikasi secara langsung menggunakan backbone pribadi Google.

Seperti yang ditunjukkan pada gambar 1, Anda dapat memiliki jaringan VPC di project Anda yang berisi subnetwork di berbagai region yang mencakup beberapa zona. Semua VM di region mana pun dapat berkomunikasi secara pribadi satu sama lain menggunakan rute VPC lokal.

Implementasi jaringan VPC global Google Cloud dengan subnetwork yang dikonfigurasi di berbagai region.

Gambar 1. Implementasi jaringan VPC global Google Cloud dengan subnetwork yang dikonfigurasi di berbagai region.

Berbagi jaringan menggunakan VPC Bersama

VPC Bersama memungkinkan resource organisasi menghubungkan beberapa project ke jaringan VPC umum sehingga mereka dapat berkomunikasi satu sama lain secara aman menggunakan alamat IP internal dari jaringan bersama. Administrator jaringan untuk jaringan bersama tersebut menerapkan dan menerapkan kontrol terpusat atas resource jaringan.

Saat menggunakan VPC bersama, Anda menetapkan suatu project sebagai project host dan menautkan satu atau beberapa project layanan lain padanya. Jaringan VPC dalam project host disebut Jaringan VPC bersama. Resource yang memenuhi syarat dari project layanan dapat menggunakan subnet di jaringan VPC Bersama.

Perusahaan biasanya menggunakan jaringan VPC Bersama saat mereka membutuhkan administrator jaringan dan keamanan untuk memusatkan pengelolaan resource jaringan seperti subnet dan rute. Pada saat yang sama, jaringan VPC Bersama memungkinkan tim aplikasi dan pengembangan membuat dan menghapus instance VM serta men-deploy beban kerja di subnet yang ditentukan menggunakan project layanan.

Mengisolasi lingkungan menggunakan jaringan VPC

Menggunakan jaringan VPC untuk mengisolasi lingkungan memiliki sejumlah keuntungan, tetapi Anda juga perlu mempertimbangkan beberapa kelemahan. Bagian ini membahas konsekuensi ini dan menjelaskan pola umum untuk menerapkan isolasi.

Alasan mengisolasi lingkungan

Karena jaringan VPC mewakili domain isolasi, banyak perusahaan menggunakannya untuk mempertahankan lingkungan atau unit bisnis di domain terpisah. Alasan umum untuk membuat isolasi tingkat VPC adalah sebagai berikut:

  • Sebuah perusahaan ingin melakukan komunikasi penolakan default antara satu jaringan VPC dan jaringan lainnya, karena jaringan ini mewakili perbedaan yang signifikan secara organisasi. Untuk mengetahui informasi selengkapnya, lihat Pola isolasi jaringan VPC umum nanti dalam dokumen ini.
  • Perusahaan harus memiliki rentang alamat IP yang tumpang tindih karena lingkungan lokal yang sudah ada sebelumnya, karena akuisisi, atau karena deployment ke lingkungan cloud lainnya.
  • Sebuah perusahaan ingin mendelegasikan kontrol administratif penuh atas jaringan ke sebagian perusahaan.

Kekurangan dari mengisolasi lingkungan

Membuat lingkungan terisolasi dengan jaringan VPC dapat memiliki beberapa kelemahan. Memiliki beberapa jaringan VPC dapat meningkatkan overhead administratif dalam mengelola layanan yang menjangkau beberapa jaringan. Dokumen ini membahas teknik yang dapat Anda gunakan untuk mengatasi kompleksitas ini.

Pola isolasi jaringan VPC umum

Ada beberapa pola umum untuk mengisolasi jaringan VPC:

  • Mengisolasi lingkungan pengembangan, staging, dan produksi. Dengan pola ini, perusahaan dapat sepenuhnya memisahkan lingkungan pengembangan, staging, dan produksi dari satu sama lain. Akibatnya, struktur ini mempertahankan beberapa salinan aplikasi lengkap, dengan peluncuran progresif di antara setiap lingkungan. Dalam pola ini, jaringan VPC digunakan sebagai batasan keamanan. Developer memiliki akses tingkat tinggi ke jaringan VPC pengembangan untuk melakukan pekerjaan sehari-hari mereka. Saat pengembangan selesai, tim engineering atau tim QA dapat memigrasikan perubahan ke lingkungan staging, di mana perubahan tersebut dapat diuji secara terintegrasi. Setelah siap di-deploy, perubahan tersebut akan dikirim ke lingkungan produksi.
  • Mengisolasi unit bisnis. Beberapa perusahaan ingin memberlakukan tingkat isolasi yang tinggi di antara unit bisnis, terutama dalam kasus unit yang diakuisisi atau yang menuntut otonomi dan isolasi yang tinggi. Dalam pola ini, perusahaan sering membuat jaringan VPC untuk setiap unit bisnis dan mendelegasikan kontrol VPC tersebut kepada administrator unit bisnis. Perusahaan menggunakan teknik yang akan dijelaskan nanti dalam dokumen ini untuk mengekspos layanan yang mencakup perusahaan atau menghosting aplikasi yang ditampilkan kepada pengguna dan mencakup beberapa unit bisnis.

Rekomendasi untuk membuat lingkungan yang terisolasi

Sebaiknya desain jaringan VPC Anda agar memiliki domain terluas yang sesuai dengan batas administratif dan keamanan perusahaan Anda. Anda dapat memperoleh isolasi tambahan antara workload yang berjalan di jaringan VPC yang sama dengan menggunakan kontrol keamanan seperti firewall.

Untuk mengetahui informasi selengkapnya tentang merancang dan membangun strategi isolasi bagi organisasi Anda, lihat Praktik terbaik dan arsitektur referensi untuk desain VPC dan Networking dalam blueprint dasar perusahaan Google Cloud.

Elemen penyusun untuk jaringan cloud

Bagian ini membahas elemen penyusun penting untuk konektivitas jaringan, keamanan jaringan, jaringan layanan, dan keamanan layanan. Gambar 2 menunjukkan bagaimana elemen penyusun ini berhubungan satu sama lain. Anda dapat menggunakan satu atau lebih produk yang tercantum pada baris tertentu.

Elemen penyusun dalam bidang keamanan dan konektivitas jaringan cloud.

Gambar 2. Elemen penyusun dalam ranah konektivitas dan keamanan jaringan cloud.

Bagian berikut membahas masing-masing elemen penyusun dan layanan Google Cloud yang dapat Anda gunakan untuk setiap elemen tersebut.

Konektivitas jaringan

Blok konektivitas jaringan berada di dasar hierarki. bertanggung jawab untuk menghubungkan resource Google Cloud ke pusat data lokal atau cloud lainnya. Bergantung pada kebutuhan, Anda mungkin hanya memerlukan salah satu produk ini, atau Anda dapat menggunakan semuanya untuk menangani kasus penggunaan yang berbeda.

Cloud VPN

Cloud VPN memungkinkan Anda menghubungkan kantor cabang yang jauh atau penyedia cloud lainnya ke jaringan VPC Google melalui koneksi VPN IPsec. Traffic yang beralih di antara dua jaringan tersebut dienkripsi oleh satu gateway VPN, lalu didekripsi oleh gateway VPN lainnya, sehingga membantu melindungi data saat data tersebut melintasi internet.

Dengan Cloud VPN, Anda dapat mengaktifkan konektivitas antara lingkungan lokal dan Google Cloud tanpa overhead penyediaan cross-connect fisik yang diperlukan untuk Cloud Interconnect (dijelaskan di bagian berikutnya). Anda dapat menyediakan VPN dengan ketersediaan tinggi (HA) untuk memenuhi persyaratan SLA ketersediaan hingga 99,99% jika Anda memiliki arsitektur yang sesuai. Anda dapat mempertimbangkan untuk menggunakan Cloud VPN jika beban kerja Anda tidak memerlukan latensi rendah atau bandwidth tinggi. Misalnya, Cloud VPN adalah pilihan yang bagus untuk kasus penggunaan non-misi atau untuk memperluas konektivitas ke penyedia cloud lainnya.

Cloud Interconnect

Cloud Interconnect menyediakan konektivitas khusus tingkat perusahaan ke Google Cloud yang memiliki throughput lebih tinggi dan performa jaringan yang lebih andal dibandingkan dengan menggunakan VPN atau traffic masuk internet. Dedicated Interconnect menyediakan konektivitas fisik langsung ke jaringan Google dari router Anda. Partner Interconnect menyediakan konektivitas khusus melalui jaringan partner yang luas, yang mungkin menawarkan jangkauan yang lebih luas atau opsi bandwidth lainnya dibandingkan dengan Dedicated Interconnect. Cross-Cloud Interconnect menyediakan konektivitas langsung khusus dari jaringan VPC Anda ke penyedia cloud lainnya. Dedicated Interconnect mengharuskan Anda terhubung di fasilitas kolokasi tempat Google ada, tetapi Partner Interconnect tidak terhubung. Cross-Cloud Interconnect memungkinkan Anda memilih lokasi yang memenuhi persyaratan Anda untuk membuat koneksi. Cloud Interconnect memastikan bahwa traffic antara jaringan lokal atau jaringan cloud lainnya dan jaringan VPC Anda tidak melintasi internet publik.

Anda dapat menyediakan koneksi Cloud Interconnect ini untuk memenuhi persyaratan SLA ketersediaan hingga 99,99% jika Anda menyediakan arsitektur yang sesuai. Anda dapat mempertimbangkan untuk menggunakan Cloud Interconnect untuk mendukung beban kerja yang memerlukan latensi rendah, bandwidth tinggi, dan performa yang dapat diprediksi, sekaligus memastikan bahwa semua traffic Anda tetap bersifat pribadi.

Network Connectivity Center untuk hybrid

Network Connectivity Center menyediakan konektivitas site-to-site di antara jaringan lokal Anda dan jaringan cloud lainnya. Hal ini dilakukan menggunakan jaringan backbone Google untuk memberikan konektivitas yang andal di antara situs Anda.

Selain itu, Anda dapat memperluas jaringan overlay SD-WAN yang sudah ada ke Google Cloud dengan mengonfigurasi VM atau peralatan router vendor pihak ketiga dengan lampiran jari-jari logis.

Anda dapat mengakses resource di dalam jaringan VPC menggunakan peralatan router, VPN, atau Cloud Interconnect sebagai lampiran spoke. Anda dapat menggunakan Network Connectivity Center untuk mengonsolidasikan konektivitas antara situs lokal Anda, kehadiran Anda di cloud lain, dan Google Cloud, lalu mengelola semuanya menggunakan satu tampilan.

Network Connectivity Center untuk jaringan VPC

Dengan Network Connectivity Center, Anda juga dapat membuat mesh di antara banyak jaringan VPC. Anda dapat menghubungkan mesh ini ke infrastruktur lokal atau cloud lainnya menggunakan Cloud VPN atau Cloud Interconnect.

Peering Jaringan VPC

Peering Jaringan VPC memungkinkan Anda menghubungkan jaringan VPC Google sehingga beban kerja di jaringan VPC yang berbeda dapat berkomunikasi secara internal terlepas dari apakah beban kerja tersebut termasuk dalam project yang sama atau milik resource organisasi yang sama. Traffic tetap berada dalam jaringan Google dan tidak melewati internet publik.

Peering Jaringan VPC mengharuskan jaringan yang di-peering tidak memiliki alamat IP yang tumpang-tindih.

Keamanan jaringan

Blok keamanan jaringan berada di atas blok konektivitas jaringan. Anda bertanggung jawab untuk mengizinkan atau menolak akses ke resource berdasarkan karakteristik paket IP.

Aturan firewall VPC

Aturan firewall VPC berlaku untuk jaringan tertentu. Dengan aturan firewall VPC, Anda dapat mengizinkan atau menolak koneksi ke atau dari instance VM Anda, berdasarkan konfigurasi yang Anda tentukan. Aturan firewall VPC yang diaktifkan akan selalu diterapkan, melindungi instance Anda terlepas dari konfigurasinya, sistem operasinya, atau apakah VM telah melakukan booting sepenuhnya.

Setiap jaringan VPC berfungsi sebagai firewall terdistribusi. Meskipun aturan firewall ditetapkan pada tingkat jaringan, koneksi diizinkan atau ditolak per instance. Anda dapat menganggap aturan firewall VPC sebagai aturan yang ada tidak hanya antara instance Anda dan jaringan lainnya, tetapi juga di antara setiap instance dalam jaringan yang sama.

Kebijakan firewall hierarkis

Kebijakan firewall hierarkis memungkinkan Anda membuat dan menerapkan kebijakan firewall yang konsisten di seluruh perusahaan. Kebijakan ini berisi aturan yang dapat secara eksplisit menolak atau mengizinkan koneksi. Anda dapat menetapkan kebijakan firewall hierarkis ke resource organisasi sebagai keseluruhan atau masing-masing folder.

Duplikasi paket

Pencerminan paket meng-clone traffic instance tertentu di jaringan VPC Anda dan meneruskannya ke kolektor untuk diperiksa. Duplikasi paket merekam semua data traffic dan paket, termasuk payload dan header. Anda dapat mengonfigurasi pencerminan untuk traffic masuk dan keluar, hanya untuk traffic masuk, atau hanya untuk traffic keluar. Pencerminan terjadi pada instance VM, bukan di jaringan.

Alat virtual jaringan

Dengan peralatan virtual jaringan, Anda dapat menerapkan kontrol keamanan dan kepatuhan ke jaringan virtual yang konsisten dengan kontrol di lingkungan lokal. Anda dapat melakukannya dengan men-deploy image VM yang tersedia di Google Cloud Marketplace ke VM yang memiliki beberapa antarmuka jaringan, yang masing-masing terpasang ke jaringan VPC yang berbeda, untuk menjalankan berbagai fungsi virtual jaringan.

Kasus penggunaan umum untuk peralatan virtual adalah sebagai berikut:

  • Firewall generasi berikutnya (NGFWs). NGFW terdiri dari sekumpulan firewall terpusat yang berjalan sebagai VM yang memberikan fitur yang tidak tersedia di aturan firewall VPC. Fitur umum produk NGFW mencakup pemeriksaan paket mendalam (DPI) dan perlindungan firewall pada lapisan aplikasi. Beberapa NGFW juga menyediakan pemeriksaan traffic TLS/SSL dan fungsi jaringan lainnya, seperti yang akan dijelaskan nanti dalam daftar ini.
  • Intrusion detection system/intrusion prevention system (IDS/IPS). IDS berbasis jaringan memberikan visibilitas ke lalu lintas yang berpotensi berbahaya. Untuk mencegah penyusupan, perangkat IPS dapat memblokir traffic berbahaya agar tidak mencapai tujuannya.
  • Gateway web aman (SWG). SWG memblokir ancaman dari internet dengan mengizinkan perusahaan menerapkan kebijakan perusahaan pada traffic yang beralih ke dan dari internet. Hal ini dilakukan dengan menggunakan pemfilteran URL, deteksi kode berbahaya, dan kontrol akses.
  • Gateway penafsiran alamat jaringan (NAT). Gateway NAT menafsirkan alamat IP dan port. Misalnya, terjemahan ini membantu menghindari alamat IP yang tumpang tindih. Google Cloud menawarkan Cloud NAT sebagai layanan terkelola, tetapi layanan ini hanya tersedia untuk traffic yang menuju ke internet, bukan untuk traffic yang menuju ke jaringan lokal atau ke jaringan VPC lain.
  • Firewall aplikasi web (WAF). WAF didesain untuk memblokir traffic HTTP(S) berbahaya yang menuju ke aplikasi web. Google Cloud menawarkan fungsionalitas WAF melalui Kebijakan keamanan Google Cloud Armor. Fungsi persisnya berbeda untuk setiap vendor WAF, jadi penting untuk menentukan apa yang Anda butuhkan.

Cloud IDS

Cloud IDS adalah layanan deteksi penyusupan yang menyediakan deteksi ancaman untuk intrusi, malware, spyware, serta serangan perintah dan kontrol di jaringan Anda. Cloud IDS bekerja dengan membuat jaringan yang di-peering dan dikelola Google berisi VM yang akan menerima traffic yang diduplikasi. Traffic yang dicerminkan kemudian diperiksa oleh teknologi perlindungan ancaman Palo Alto Networks untuk memberikan deteksi ancaman tingkat lanjut.

Cloud IDS memberikan visibilitas penuh ke traffic intra-subnet sehingga Anda dapat memantau komunikasi VM-ke-VM dan mendeteksi pergerakan lateral.

Cloud NAT

Cloud NAT menyediakan dukungan penerjemahan alamat jaringan yang ditetapkan oleh software dan terkelola sepenuhnya untuk aplikasi. Dengan API ini, penafsiran alamat jaringan sumber (NAT atau SNAT sumber) dapat dilakukan untuk traffic yang terhubung ke internet dari VM yang tidak memiliki alamat IP eksternal.

Analisis Firewall

Analisis Firewall membantu Anda memahami dan mengoptimalkan aturan firewall. Fitur ini memberikan data tentang cara aturan firewall Anda digunakan, mengekspos kesalahan konfigurasi, dan mengidentifikasi aturan yang dapat dibuat lebih ketat. Cloud Monitoring juga menggunakan machine learning untuk memprediksi penggunaan aturan firewall di masa mendatang, sehingga Anda dapat membuat keputusan yang tepat terkait penghapusan atau memperketat aturan yang tampaknya terlalu permisif.

Pencatatan log jaringan

Anda dapat menggunakan beberapa produk Google Cloud untuk mencatat dan menganalisis traffic jaringan.

Firewall Rules Logging VPC memungkinkan Anda untuk mengaudit, memverifikasi, dan menganalisis efek aturan firewall Anda. Misalnya, Anda dapat menentukan apakah aturan firewall yang dirancang untuk menolak traffic berfungsi sebagaimana mestinya. Logging Aturan Firewall juga berguna jika Anda perlu menentukan jumlah koneksi yang terpengaruh oleh aturan firewall tertentu.

Aktifkan Firewall Rules Logging satu per satu untuk setiap aturan firewall yang koneksinya perlu Anda catat. Firewall Rules Logging adalah opsi untuk setiap aturan firewall, terlepas dari tindakan (izinkan atau tolak) atau arah (masuk atau keluar) aturan tersebut.

VPC Flow Logs mencatat sampel alur jaringan yang dikirim dari dan diterima oleh instance VM, termasuk instance yang digunakan sebagai node Google Kubernetes Engine (GKE). Log ini dapat digunakan untuk pemantauan jaringan, forensik, analisis keamanan secara real-time, dan pengoptimalan biaya.

Service Networking

Blok jaringan layanan bertanggung jawab untuk menyediakan layanan pencarian yang memberi tahu layanan ke mana permintaan harus dikirim (DNS, Direktori Layanan) dan dengan mengirimkan permintaan ke tempat yang benar (Private Service Connect, Cloud Load Balancing).

Cloud DNS

Beban kerja diakses menggunakan nama domain. Cloud DNS menawarkan terjemahan nama domain yang andal dan berlatensi rendah ke alamat IP yang berlokasi di mana saja di seluruh dunia. Cloud DNS menawarkan zona publik dan zona DNS terkelola pribadi. Zona publik dapat dilihat oleh internet publik, sedangkan zona pribadi hanya terlihat dari satu atau beberapa jaringan VPC yang Anda tentukan.

Cloud Load Balancing

Dalam Google Cloud, load balancer adalah komponen penting. Load balancer merutekan traffic ke berbagai layanan untuk memastikan kecepatan dan efisiensi, serta membantu memastikan keamanan secara global baik bagi traffic internal atau eksternal.

Load balancer kami juga memungkinkan traffic dirutekan dan diskalakan di beberapa cloud atau lingkungan hybrid. Hal ini menjadikan Cloud Load Balancing sebagai "pintu depan" yang dapat digunakan untuk menskalakan aplikasi apa pun di mana pun atau di mana pun tempatnya dihosting. Google menawarkan berbagai jenis load balancing: global dan regional, eksternal dan internal, serta Lapisan 4 dan Lapisan 7.

Direktori Layanan

Direktori Layanan memungkinkan Anda mengelola inventaris layanan, yang menyediakan satu tempat yang aman untuk memublikasikan, menemukan, dan menghubungkan layanan, yang semuanya didukung oleh kontrol akses berbasis identitas. ID ini memungkinkan Anda mendaftarkan layanan bernama dan endpoint-nya. Pendaftaran dapat dilakukan secara manual atau menggunakan integrasi dengan Private Service Connect, GKE, dan Cloud Load Balancing. Penemuan layanan dapat dilakukan dengan menggunakan HTTP dan gRPC API eksplisit, serta menggunakan Cloud DNS.

Mesh layanan: Anthos Service Mesh dan Traffic Director

Anthos Service Mesh dan Traffic Director dirancang untuk memudahkan Anda menjalankan aplikasi yang kompleks dan terdistribusi dengan memungkinkan beragam pengelolaan traffic dan kebijakan keamanan dalam arsitektur mesh layanan. Perbedaan utama antara kedua produk tersebut terletak pada lingkungan yang didukungnya, dalam Istio API untuk produk tersebut, dan kemampuan load balancing globalnya.

Anthos Service Mesh cocok untuk deployment regional dan global berbasis Kubernetes, baik Google Cloud maupun secara lokal, yang mendapatkan manfaat dari produk Istio terkelola.

Traffic Director ideal untuk kasus penggunaan jaringan yang menampilkan layanan yang di-deploy secara global dan peka terhadap beban di Google Cloud. Traffic Director mengelola workload menggunakan proxy Envoy yang bertindak sebagai sidecar atau gateway, atau dengan menggunakan workload gRPC tanpa proxy.

Tabel berikut merangkum fitur Traffic Directory dan Anthos Service Mesh.

Anthos Service Mesh Traffic Director
Jenis deployment Kubernetes VM, Kubernetes
Lingkungan Google Cloud, secara lokal, multi-cloud Google Cloud, secara lokal, multi-cloud
Cakupan deployment Regional dan federated regional Global
Platform API Istio Perutean layanan (Model Gateway Kubernetes)
Konektivitas jaringan File bantuan Envoy File bantuan Envoy, gRPC tanpa proxy
Distribusi beban global berdasarkan kondisi backend Ya (Berdasarkan Kubernetes) Ya
Distribusi beban global berdasarkan beban backend Tidak Ya
Identitas terkelola untuk workload mTLS (zero-trust) Ya Ya (khusus GKE)

Google telah menguraikan lebih lanjut cara membangun lingkungan Arsitektur Terdistribusi Zero-Trust secara menyeluruh menggunakan arsitektur BeyondProd. Selain autentikasi dan otorisasi layanan serta perimeter jaringan, BeyondProd menjelaskan bagaimana lingkungan komputasi, provenance kode, dan peluncuran deployment tepercaya berperan dalam mencapai arsitektur layanan zero-trust terdistribusi yang aman. Anda harus mempertimbangkan masalah yang meluas di luar jaringan saat Anda mengadopsi pendekatan zero-trust.

Private Service Connect

Private Service Connect membuat abstraksi layanan dengan membuat beban kerja dapat diakses di seluruh jaringan VPC melalui satu endpoint. Hal ini memungkinkan dua jaringan berkomunikasi dalam model klien-server yang hanya menampilkan layanan kepada konsumen, bukan seluruh jaringan atau beban kerja itu sendiri. Model jaringan berorientasi layanan memungkinkan administrator jaringan untuk memikirkan layanan yang diekspos di antara jaringan, bukan subnet atau VPC, sehingga memungkinkan konsumsi layanan dalam model produsen-konsumen, baik untuk layanan pihak pertama atau pihak ketiga (SaaS).

Dengan Private Service Connect, VPC konsumen dapat menggunakan alamat IP pribadi untuk terhubung ke Google API atau layanan di VPC lain.

Anda dapat memperluas Private Service Connect ke jaringan lokal untuk mengakses endpoint yang terhubung ke Google API atau ke layanan terkelola di jaringan VPC lain. Private Service Connect memungkinkan penggunaan layanan di Lapisan 4 atau Lapisan 7.

Pada Lapisan 4, Private Service Connect mengharuskan produser membuat satu atau beberapa subnet khusus untuk Private Service Connect. Subnet ini juga disebut sebagai subnet NAT. Private Service Connect menjalankan NAT sumber menggunakan alamat IP yang dipilih dari salah satu subnet Private Service Connect untuk merutekan permintaan ke produsen layanan. Pendekatan ini memungkinkan Anda menggunakan alamat IP yang tumpang-tindih antara konsumen dan produsen.

Di Lapisan 7, Anda dapat membuat backend Private Service Connect menggunakan Load Balancer Aplikasi internal. Dengan Load Balancer Aplikasi internal, Anda dapat memilih layanan mana yang tersedia menggunakan peta URL. Untuk mengetahui informasi selengkapnya, lihat Tentang backend Private Service Connect.

Akses layanan pribadi

Akses layanan pribadi adalah koneksi pribadi antara jaringan VPC Anda dan jaringan yang dimiliki oleh Google atau pihak ketiga. Google atau pihak ketiga yang menawarkan layanan dikenal sebagai produsen layanan. Akses layanan pribadi menggunakan Peering Jaringan VPC untuk membangun konektivitas, dan mengharuskan jaringan VPC produsen dan konsumen di-peering satu sama lain. Ini berbeda dengan Private Service Connect, yang memungkinkan Anda memproyeksikan satu alamat IP pribadi ke subnet.

Dengan koneksi pribadi, instance VM di jaringan VPC Anda dan layanan yang Anda akses dapat berkomunikasi secara eksklusif menggunakan alamat IP internal. Instance VM tidak memerlukan akses internet atau alamat IP eksternal untuk menjangkau layanan yang tersedia melalui akses layanan pribadi. Akses layanan pribadi juga dapat diperluas ke jaringan lokal dengan menggunakan Cloud VPN atau Cloud Interconnect untuk menyediakan cara bagi host lokal agar dapat menjangkau jaringan produsen layanan. Untuk mengetahui daftar layanan yang dikelola Google yang didukung menggunakan akses layanan pribadi, lihat Layanan yang didukung dalam dokumentasi Virtual Private Cloud.

Akses VPC Serverless

Akses VPC Serverless memungkinkan Anda untuk terhubung langsung ke jaringan VPC dari layanan yang dihosting di lingkungan tanpa server seperti Cloud Run, App Engine, atau Cloud Functions. Dengan mengonfigurasi Akses VPC Serverless, lingkungan serverless Anda dapat mengirim permintaan ke jaringan VPC Anda menggunakan DNS internal dan alamat IP internal. Respons atas permintaan tersebut juga menggunakan jaringan virtual Anda.

Akses VPC Serverless mengirimkan traffic internal dari jaringan VPC Anda ke lingkungan serverless hanya jika traffic tersebut merupakan respons terhadap permintaan yang dikirim dari lingkungan serverless Anda melalui konektor Akses VPC Serverless.

Akses VPC Serverless memiliki manfaat berikut:

  • Permintaan yang dikirim ke jaringan VPC Anda tidak akan pernah terekspos ke internet.
  • Komunikasi melalui Akses VPC Serverless dapat memiliki latensi yang lebih rendah dibandingkan komunikasi melalui internet.

Keamanan layanan

Blok keamanan layanan mengontrol akses ke resource berdasarkan identitas pemohon atau berdasarkan pemahaman tingkat tinggi tentang pola paket, bukan hanya karakteristik setiap paket.

Google Cloud Armor untuk DDoS/WAF

Google Cloud Armor adalah layanan mitigasi firewall aplikasi web (WAF) dan distributed denial of service (DDoS), yang membantu Anda mempertahankan layanan dan aplikasi web dari berbagai jenis ancaman. Ancaman ini mencakup serangan DDoS, serangan berbasis web, seperti pembuatan skrip lintas situs (XSS) dan injeksi SQL (SQLi), serta serangan berbasis penipuan dan otomatisasi.

Google Cloud Armor memeriksa permintaan yang masuk di edge global Google. Layanan ini memiliki serangkaian aturan firewall aplikasi web bawaan untuk memindai serangan web umum dan sistem deteksi serangan berbasis ML lanjutan yang membangun model traffic baik, lalu mendeteksi traffic buruk. Terakhir, Google Cloud Armor terintegrasi dengan Google reCAPTCHA Enterprise untuk membantu mendeteksi dan menghentikan serangan berbasis otomatisasi dan penipuan yang canggih dengan menggunakan telemetri endpoint dan telemetri cloud.

Identity-Aware Proxy (IAP)

Identity-Aware Proxy (IAP) menyediakan kontrol akses kontekstual untuk aplikasi dan VM berbasis cloud yang berjalan di Google Cloud atau yang terhubung ke Google Cloud menggunakan salah satu teknologi hybrid networking. IAP memverifikasi identitas pengguna dan menentukan apakah permintaan pengguna berasal dari sumber tepercaya, berdasarkan berbagai atribut kontekstual. IAP juga mendukung tunneling TCP untuk akses SSH/RDP dari pengguna versi bisnis.

Kontrol Layanan VPC

Kontrol Layanan VPC membantu Anda mengurangi risiko pemindahan data yang tidak sah dari layanan Google Cloud, seperti Cloud Storage dan BigQuery. Menggunakan Kontrol Layanan VPC dapat membantu memastikan bahwa penggunaan layanan Google Cloud Anda hanya terjadi dari lingkungan yang disetujui.

Anda dapat menggunakan Kontrol Layanan VPC untuk membuat perimeter yang melindungi resource dan data layanan yang Anda tentukan dengan membatasi akses ke konstruksi identitas berbasis cloud tertentu, seperti akun layanan dan jaringan VPC. Setelah perimeter dibuat, akses ke layanan Google yang ditentukan akan ditolak kecuali jika permintaan berasal dari dalam perimeter.

Pengiriman konten

Blok penayangan konten mengontrol pengoptimalan penayangan aplikasi dan konten.

Cloud CDN

Cloud CDN memberikan akselerasi konten statis dengan menggunakan jaringan edge global Google untuk mengirimkan konten dari titik yang paling dekat dengan pengguna. Hal ini membantu mengurangi latensi untuk situs dan aplikasi Anda.

Media CDN

Media CDN adalah solusi penayangan media Google dan dibuat untuk workload traffic keluar dengan throughput tinggi.

Kemampuan observasi

Blok kemampuan observasi memberi Anda visibilitas ke jaringan dan memberikan insight yang dapat digunakan untuk memecahkan masalah, mendokumentasikan, menyelidiki, atau masalah.

Network Intelligence Center

Network Intelligence Center terdiri dari beberapa produk yang menangani berbagai aspek kemampuan observasi jaringan. Setiap produk memiliki fokus yang berbeda dan memberikan insight yang lengkap untuk memberi tahu administrator, arsitek, dan praktisi tentang kesehatan dan masalah jaringan.

Arsitektur referensi

Dokumen berikut menampilkan arsitektur referensi untuk berbagai jenis beban kerja: intra-cloud, internet-facing, dan hybrid. Arsitektur workload ini dibangun di atas bidang data cloud yang direalisasikan menggunakan elemen penyusun dan pola arsitektur yang diuraikan di bagian sebelumnya pada dokumen ini.

Anda dapat menggunakan arsitektur referensi untuk mendesain cara memigrasikan atau membangun workload di cloud. Beban kerja Anda kemudian didukung oleh bidang data cloud dan menggunakan arsitekturnya. Meskipun dokumen ini tidak memberikan kumpulan arsitektur referensi yang lengkap, dokumen tersebut mencakup skenario yang paling umum.

Seperti pola arsitektur keamanan yang dijelaskan dalam Arsitektur untuk Melindungi Paket Data Cloud, layanan di dunia nyata mungkin menggunakan kombinasi dari desain ini. Dokumen-dokumen ini membahas setiap jenis workload dan pertimbangan untuk setiap arsitektur keamanan.

Langkah berikutnya