Dokumen ini adalah bagian dari rangkaian yang menjelaskan arsitektur keamanan dan jaringan untuk perusahaan yang memigrasikan workload pusat data ke Google Cloud.
Seri ini terdiri dari dokumen berikut:
- Mendesain jaringan untuk memigrasikan workload perusahaan: Pendekatan arsitektur
- Networking untuk akses intra-cloud yang aman: Referensikan arsitektur (dokumen ini)
- Jaringan untuk pengiriman aplikasi yang terhubung ke internet: Arsitektur referensi
- Jaringan untuk workload hybrid dan multi-cloud: Arsitektur referensi
Workload untuk kasus penggunaan intra-cloud berada di jaringan VPC dan perlu terhubung ke resource lain di Google Cloud. Library tersebut mungkin menggunakan layanan yang disediakan secara native di cloud, seperti BigQuery. Perimeter keamanan disediakan oleh berbagai kemampuan pihak pertama (1P) dan pihak ketiga (3P) seperti firewall, Kontrol Layanan VPC, dan peralatan virtual jaringan.
Dalam banyak kasus, beban kerja ini mencakup beberapa jaringan VPC Google Cloud, dan batas antara jaringan VPC harus diamankan. Dokumen ini membahas keamanan dan konektivitas ini secara mendalam.
Arsitektur lift-and-shift
Skenario pertama untuk kasus penggunaan intra-cloud adalah arsitektur lift-and-shift di mana Anda memindahkan beban kerja yang sudah ada ke cloud apa adanya.
Cloud NGFW
Anda dapat membantu membangun perimeter yang aman dengan mengonfigurasi Cloud Next Generation Firewall. Anda dapat menggunakan Tag, akun layanan, dan tag jaringan untuk menerapkan aturan firewall terperinci ke VM. Untuk mengetahui panduan penerapan tentang cara mengelola traffic dengan Google Cloud aturan firewall, lihat Kebijakan firewall jaringan dalam cetak biru fondasi perusahaan.
Anda juga dapat menggunakan Logging Aturan Firewall untuk mengaudit dan memverifikasi efek dari setelan aturan firewall.
Anda dapat menggunakan Log Aliran VPC untuk forensik jaringan dan juga menstreaming log untuk berintegrasi dengan SIEM. Sistem ini dapat memberikan pemantauan real time, korelasi peristiwa, analisis, dan notifikasi keamanan.
Gambar 1 menunjukkan bagaimana aturan firewall dapat menggunakan tag jaringan untuk membantu membatasi traffic di antara VM dalam jaringan VPC.
Gambar 1. Konfigurasi firewall jaringan yang menggunakan tag jaringan untuk menerapkan kontrol keluar yang mendetail.
Alat virtual jaringan
Network virtual appliance (NVA) adalah VM yang memiliki fungsi keamanan seperti firewall aplikasi web (WAF) atau firewall tingkat aplikasi keamanan. NVA dengan beberapa antarmuka jaringan dapat digunakan untuk menjembatani antarjaringan VPC. Anda dapat menggunakan NVA untuk menerapkan traffic fungsi keamanan di antara jaringan VPC, terutama saat menggunakan konfigurasi hub-spoke, seperti yang ditunjukkan pada gambar 2.
Gambar 2. Konfigurasi alat jaringan terpusat dalam jaringan VPC Bersama.
Cloud IDS
Cloud Intrusion Detection System (Cloud IDS) memungkinkan Anda menerapkan pemeriksaan dan logging keamanan native dengan mencerminkan traffic dari subnet di jaringan VPC Anda. Dengan Cloud IDS, Anda dapat memeriksa dan memantau berbagai ancaman di lapisan jaringan dan di lapisan aplikasi untuk dianalisis. Anda membuat endpoint Cloud IDS di jaringan Google Cloud VPC. Endpoint ini memantau traffic masuk dan keluar ke dan dari jaringan tersebut, serta traffic jaringan intra-VPC, dengan menggunakan fungsi pencerminan paket yang disertakan ke dalam stack jaringan Google Cloud . Anda harus mengaktifkan akses layanan pribadi agar dapat terhubung ke project produsen layanan (project yang dikelola Google) yang menjadi {i>host<i} proses Cloud IDS.
Jika Anda memiliki arsitektur hub-and-spoke, traffic dari setiap jari-jari dapat dicerminkan ke instance Cloud IDS, seperti yang ditunjukkan pada gambar 3.
Gambar 3. Konfigurasi Cloud IDS untuk menduplikasi traffic VPC yang menggunakan akses layanan pribadi.
Cloud IDS dapat diamankan di perimeter layanan Kontrol Layanan VPC Anda menggunakan langkah tambahan. Anda dapat membaca lebih lanjut dukungan Kontrol Layanan VPC di produk yang didukung.
Network Connectivity Center
Network Connectivity Center adalah framework orkestrasi yang menyederhanakan konektivitas jaringan di antara resource yang terhubung ke resource pengelolaan terpusat yang disebut hub. Network Connectivity Center mendukung beberapa jenis jaringan berikut:
- Google Cloud Jaringan VPC
- Jaringan cloud lokal dan jaringan cloud lainnya yang menggunakan Cloud Interconnect atau VPN dengan ketersediaan tinggi (HA)
- Koneksi terenkripsi yang ditautkan oleh VM
Network Connectivity Center adalah bidang kontrol arsitektur. Koneksi ke jaringan disebut spoke. Anda dapat menggunakan Network Connectivity Center untuk menghubungkan jaringan secara bersamaan dalam topologi mesh penuh atau hub-and-spoke.
Peering Jaringan VPC
Untuk aplikasi yang mencakup beberapa jaringan VPC, baik dalam project Google Cloud yang sama maupun resource organisasi yang sama, Peering Jaringan VPC memungkinkan konektivitas antarjaringan VPC. Konektivitas ini memungkinkan traffic tetap berada dalam jaringan Google sehingga tidak melewati internet publik.
Arsitektur hub-and-spoke adalah model populer untuk konektivitas VPC. Model ini berguna saat perusahaan memiliki berbagai aplikasi yang perlu mengakses serangkaian layanan umum, seperti logging atau autentikasi. Model ini juga berguna jika perusahaan perlu menerapkan serangkaian kebijakan keamanan umum untuk traffic yang keluar dari jaringan melalui hub. Untuk panduan tentang cara menyiapkan arsitektur hub-and-spoke menggunakan Peering Jaringan VPC, lihat Konektivitas antar-VPC Jaringan Lintas Cloud menggunakan Peering Jaringan VPC.
VPC Bersama
Anda dapat menggunakan VPC Bersama, untuk mempertahankan kontrol terpusat atas resource jaringan seperti subnet, rute, dan firewall di project host. Tingkat kontrol ini memungkinkan Anda menerapkan praktik terbaik keamanan dengan hak istimewa terendah untuk administrasi jaringan, audit, dan kontrol akses karena Anda dapat mendelegasikan tugas administrasi jaringan kepada administrator jaringan dan keamanan. Anda dapat menetapkan kemampuan untuk membuat dan mengelola VM kepada administrator instance menggunakan project layanan. Menggunakan project layanan memastikan bahwa administrator VM hanya diberi kemampuan untuk membuat dan mengelola instance, dan mereka tidak diizinkan untuk membuat perubahan yang berdampak pada jaringan di jaringan VPC Bersama.
Misalnya, Anda dapat menyediakan lebih banyak isolasi dengan menentukan dua jaringan VPC yang berada dalam dua project host dan dengan melampirkan beberapa project layanan ke setiap jaringan, satu untuk produksi dan satu untuk pengujian. Gambar 6 menunjukkan arsitektur yang mengisolasi lingkungan produksi dari lingkungan pengujian menggunakan project terpisah.
Untuk informasi selengkapnya tentang praktik terbaik dalam membuat jaringan VPC, baca Praktik terbaik dan arsitektur referensi untuk desain VPC.
Gambar 6. Konfigurasi jaringan VPC bersama yang menggunakan beberapa host dan project layanan yang terisolasi (lingkungan pengujian dan produksi).
Arsitektur layanan hybrid
Arsitektur layanan hybrid menyediakan layanan berbasis cloud tambahan yang dirancang agar Anda dapat menghubungkan dan mengamankan layanan di lingkungan multi-VPC. Layanan berbasis cloud ini melengkapi apa yang tersedia dalam arsitektur lift-and-shift dan dapat mempermudah pengelolaan lingkungan yang disegmentasikan VPC dalam skala besar.
Private Service Connect
Private Service Connect memungkinkan layanan yang dihosting di satu jaringan VPC agar muncul di jaringan VPC lain. Tidak ada persyaratan bahwa layanan dihosting oleh resource organisasi yang sama, sehingga Private Service Connect dapat digunakan untuk menggunakan layanan secara pribadi dari jaringan VPC lain, meskipun jika terpasang ke organisasi lain resource.
Anda dapat menggunakan Private Service Connect dengan dua cara: untuk mengakses Google API atau mengakses layanan yang dihosting di jaringan VPC lain.
Gunakan Private Service Connect untuk mengakses Google API
Saat menggunakan Private Service Connect, Anda dapat menampilkan Google API menggunakan endpoint Private Service Connect yang merupakan bagian dari jaringan VPC Anda, seperti yang ditunjukkan pada gambar 7.
Gambar 7. Konfigurasi Private Service Connect untuk mengirim traffic ke Google API menggunakan endpoint Private Service Connect yang bersifat pribadi untuk jaringan VPC Anda.
Beban kerja dapat mengirim traffic ke paket Google API global menggunakan endpoint Private Service Connect. Selain itu, Anda dapat menggunakan backend Private Service Connect untuk mengakses satu Google API, yang memperluas fitur keamanan load balancer ke layanan API. Gambar 8 menunjukkan konfigurasi ini.
Gambar 8. Konfigurasi Private Service Connect untuk mengirim traffic ke Google API dengan menggunakan backend Private Service Connect.
Menggunakan Private Service Connect antara jaringan atau entity VPC
Private Service Connect juga memungkinkan pembuat layanan menawarkan layanan ke konsumen layanan di jaringan VPC lain, baik di resource organisasi yang sama maupun di resource organisasi yang berbeda. Jaringan VPC produsen layanan dapat mendukung beberapa konsumen layanan. Konsumen dapat terhubung ke layanan produsen dengan mengirimkan traffic ke endpoint Private Service Connect yang berada di jaringan VPC konsumen. Endpoint meneruskan traffic ke jaringan VPC yang berisi layanan yang dipublikasikan.
Gambar 9. Konfigurasi Private Service Connect untuk memublikasikan layanan terkelola melalui lampiran layanan dan menggunakan layanan melalui endpoint.
Akses layanan pribadi
Private Service Connect adalah cara yang direkomendasikan bagi produsen layanan untuk menyediakan layanan kepada konsumen layanan. Namun, Private Service Connect tidak mendukung semua layanan. Anda dapat menggunakan akses layanan pribadi untuk mendapatkan akses ke layanan yang tercantum ini.
Konektor akses serverless VPC
Konektor akses serverless VPC menangani traffic antara lingkungan serverless dan jaringan VPC Anda. Saat membuat konektor di project Google Cloud, Anda dapat memasangnya ke jaringan dan region VPC tertentu. Kemudian, Anda dapat mengonfigurasi layanan serverless agar dapat menggunakan konektor untuk traffic jaringan keluar. Anda can dapat menentukan konektor menggunakan subnet atau rentang CIDR. Traffic yang dikirim melalui konektor ke jaringan VPC berasal dari subnet atau rentang CIDR yang Anda tentukan, seperti yang ditunjukkan pada gambar 10.
Gambar 10. Konfigurasi konektor akses VPC serverless untuk mengakses Google Cloud lingkungan serverless menggunakan alamat IP internal di dalam jaringan VPC Anda.
Konektor Akses VPC Serverless didukung di setiap region yang mendukung Cloud Run, fungsi Cloud Run, atau lingkungan standar App Engine. Untuk mengetahui informasi selengkapnya, lihat daftar layanan yang didukung dan protokol jaringan yang didukung untuk menggunakan konektor akses VPC Serverless.
Traffic keluar VPC Langsung
Traffic keluar VPC langsung memungkinkan layanan Cloud Run Anda mengirim traffic ke jaringan VPC tanpa menyiapkan konektor Akses VPC Serverless.
Kontrol Layanan VPC
Kontrol Layanan VPC membantu Anda mencegah pemindahan data yang tidak sah dari layanan seperti Cloud Storage atau BigQuery dengan mencegah akses yang sah dari internet atau dari project yang bukan bagian dari perimeter keamanan. Misalnya, pertimbangkan skenario saat error manusia atau otomatisasi yang salah menyebabkan kebijakan IAM salah ditetapkan di layanan seperti Cloud Storage atau BigQuery. Hasilnya, resource dalam layanan ini menjadi dapat diakses oleh publik. Dalam hal ini, ada risiko eksposur data. Jika Anda mengonfigurasi layanan ini sebagai bagian dari perimeter Kontrol Layanan VPC, akses masuk ke resource akan diblokir, meskipun jika kebijakan IAM mengizinkan akses.
Kontrol Layanan VPC dapat membuat perimeter berdasarkan atribut klien, seperti jenis identitas (akun layanan atau pengguna) dan asal jaringan (alamat IP atau jaringan VPC).
Kontrol Layanan VPC membantu mengurangi risiko keamanan berikut:
- Akses dari jaringan tidak sah yang menggunakan kredensial yang dicuri.
- Pemindahan data yang tidak sah oleh orang dalam yang berniat jahat atau kode yang telah disusupi.
- Eksposur data pribadi kepada publik yang disebabkan oleh salah konfigurasi kebijakan IAM.
Gambar 11 menunjukkan bagaimana Kontrol Layanan VPC memungkinkan Anda membuat perimeter layanan untuk membantu mengurangi risiko ini.
Gambar 11. Perimeter layanan VPC diperluas ke lingkungan hybrid dengan menggunakan layanan akses pribadi.
Dengan menggunakan aturan masuk dan keluar, Anda dapat mengaktifkan komunikasi antara dua perimeter layanan, seperti ditunjukkan pada gambar 12.
Gambar 12. Mengonfigurasi aturan masuk dan keluar untuk berkomunikasi di antara perimeter layanan.
Untuk rekomendasi mendetail terkait arsitektur deployment Kontrol Layanan VPC, lihat Perimeter layanan mendesain dan arsitek. Untuk mengetahui informasi selengkapnya tentang daftar layanan yang didukung oleh Kontrol Layanan VPC, lihat Produk dan batasan yang didukung.
Arsitektur Terdistribusi Zero-Trust
Kontrol keamanan perimeter jaringan diperlukan, tetapi tidak memadai untuk mendukung prinsip keamanan hak istimewa dan pertahanan terendah secara mendalam. Zero Trust Distributed Architectures dibuat berdasarkan, tetapi tidak hanya mengandalkan, tepi perimeter jaringan untuk penerapan keamanan. Sebagai arsitektur terdistribusi, arsitektur tersebut terdiri dari microservice dengan penerapan kebijakan keamanan per layanan, autentikasi yang kuat, dan workload identity.
Anda dapat mengimplementasikan Zero Trust Distributed Architectures sebagai layanan yang dikelola oleh Cloud Service Mesh dan Cloud Service Mesh.
Mesh Layanan Cloud
Cloud Service Mesh menyediakan mesh microservice mTLS Zero Trust Distributed Architecture siap pakai yang dibangun di atas fondasi Istio. Anda menyiapkan mesh menggunakan flow terintegrasi. Cloud Service Mesh Terkelola, dengan data yang dikelola Google dan perangkat kontrol, didukung di GKE. Sebuah Bidang kontrol dalam cluster juga tersedia, yang cocok untuk lingkungan lain seperti Google Distributed Cloud atau GKE Multi-Cloud. Cloud Service Mesh mengelola identitas dan sertifikat untuk Anda, dengan menyediakan model kebijakan otorisasi berbasis Istio.
Cloud Service Mesh mengandalkan fleet untuk mengelola konfigurasi dan identitas deployment multi-cluster service. Seperti halnya Cloud Service Mesh, saat workload Anda beroperasi di lingkungan konektivitas jaringan VPC yang datar (atau bersama), tidak ada persyaratan konektivitas jaringan khusus di luar konfigurasi firewall. Jika arsitektur Anda mencakup beberapa cluster Cloud Service Mesh di seluruh jaringan VPC atau lingkungan jaringan yang terpisah, misalnya di seluruh koneksi Cloud Interconnect, Anda juga memerlukan gateway timur-barat. Praktik terbaik untuk jaringan Cloud Service Mesh sama dengan praktik yang dijelaskan dalam Praktik terbaik untuk jaringan GKE.
Cloud Service Mesh juga terintegrasi dengan Identity-Aware Proxy (IAP). Dengan IAP, Anda dapat menetapkan kebijakan akses yang terperinci sehingga Anda dapat mengontrol akses pengguna ke workload berdasarkan atribut permintaan asal, seperti identitas pengguna, alamat IP, dan jenis perangkat. Tingkat kontrol ini memungkinkan lingkungan zero-trust menyeluruh.
Anda perlu mempertimbangkan persyaratan cluster GKE saat menggunakan Cloud Service Mesh. Untuk informasi selengkapnya, lihat bagian Persyaratan dalam dokumentasi "Penginstalan project tunggal di GKE".
Langkah selanjutnya
- Jaringan untuk pengiriman aplikasi yang terhubung ke internet: Arsitektur referensi.
- Jaringan untuk workload hybrid dan multi-cloud: Arsitektur referensi.
- Keamanan jaringan untuk aplikasi terdistribusi di Cross-Cloud Network.
- Migrasi ke Google Cloud dapat membantu Anda merencanakan, mendesain, dan menerapkan proses migrasi workload ke Google Cloud.
- Desain zona landing di Google Cloud memiliki panduan untuk membuat jaringan zona landing.
- Untuk mengetahui lebih banyak tentang arsitektur referensi, diagram, dan praktik terbaik lainnya, jelajahi Pusat Arsitektur Cloud.