Netzwerksicherheit für verteilte Anwendungen im Cross-Cloud Network

Dieses Dokument ist Teil einer Designanleitungsreihe für Cross-Cloud Network. In diesem Teil wird die Netzwerksicherheitsebene behandelt.

Die Reihe besteht aus folgenden Teilen:

• Cloudübergreifendes Netzwerk für verteilte Anwendungen
• Netzwerksegmentierung und -verbindung für verteilte Anwendungen im cloudübergreifenden Netzwerk
• Dienstnetzwerk für verteilte Anwendungen im Cross-Cloud Network
• Netzwerksicherheit für verteilte Anwendungen im Cross-Cloud Network (dieses Dokument)

Sicherheitsoberflächen

Beim Entwerfen der Sicherheitsebene für das Cross-Cloud Network müssen Sie die folgenden Sicherheitsoberflächen berücksichtigen:

• Arbeitslastsicherheit
• Sicherheit des Domainperimeters

Die Arbeitslastsicherheit steuert die Kommunikation zwischen Arbeitslasten innerhalb der Virtual Private Cloud (VPC). Bei der Arbeitslastsicherheit werden Sicherheitsdurchsetzungspunkte verwendet, die sich in der Architektur in der Nähe der Arbeitslasten befinden. Wann immer möglich, bietet Cross-Cloud Network mit der Firewall der nächsten Generation von Google CloudArbeitslastsicherheit.

An allen Netzwerkgrenzen ist Perimetersicherheit erforderlich. Da der Perimeter in der Regel Netzwerke verbindet, die von verschiedenen Organisationen verwaltet werden, sind oft strengere Sicherheitskontrollen erforderlich. Sie müssen dafür sorgen, dass die folgenden netzwerkübergreifenden Kommunikationen gesichert sind:

• Kommunikation zwischen VPCs
• Kommunikation über Hybridverbindungen zu anderen Cloud-Anbietern oder lokalen Rechenzentren
• Kommunikation mit dem Internet

Die Möglichkeit, virtuelle Netzwerk-Appliances (NVAs) von Drittanbietern in dieGoogle Cloud -Umgebung einzufügen, ist von entscheidender Bedeutung, um die Anforderungen an die Perimetersicherheit in Hybridverbindungen zu erfüllen.

Arbeitslastsicherheit in der Cloud

Verwenden Sie Firewallrichtlinien inGoogle Cloud , um Arbeitslasten zu schützen und zustandsorientierte Firewallfunktionen bereitzustellen, die horizontal skalierbar sind und auf jede VM-Instanz angewendet werden. Die verteilte Architektur von Google Cloud Firewalls ermöglicht es Ihnen, Sicherheitsrichtlinien für die Netzwerk-Mikrosegmentierung zu implementieren, ohne die Leistung Ihrer Arbeitslasten zu beeinträchtigen.

Mit hierarchischen Firewallrichtlinien können Sie die Verwaltbarkeit verbessern und die Einhaltung der Sicherheitskonfiguration für Ihre Firewallrichtlinien erzwingen. Mit hierarchischen Firewallrichtlinien können Sie eine konsistente Firewallrichtlinie für Ihre gesamte Organisation erstellen und erzwingen. Sie können der Organisation oder einzelnen Ordnern hierarchische Firewallrichtlinien zuweisen. Darüber hinaus können die Regeln einer hierarchischen Firewallrichtlinie die Auswertung an Richtlinien auf einer niedrigeren Ebene (globale oder regionale Netzwerk-Firewallrichtlinien) mit der Aktion goto_next delegieren.

Regeln auf niedrigerer Ebene können keine Regeln von einer höheren Ebene in der Ressourcenhierarchie überschreiben. Mit dieser Regelstruktur können organisationsweite Administratoren obligatorische Firewallregeln an einem Ort verwalten. Häufige Anwendungsfälle für hierarchische Firewallrichtlinien sind der Zugriff auf Bastion-Hosts in Organisationen oder mehreren Projekten, die Zulassung zentralisierter Systeme für Tests oder Systemdiagnosen sowie die Erzwingung einer virtuellen Netzwerkgrenze für eine Organisation oder eine Gruppe von Projekten. Weitere Beispiele für die Verwendung hierarchischer Firewallrichtlinien finden Sie unter Beispiele für hierarchische Firewallrichtlinien.

Verwenden Sie globale und regionale Netzwerk-Firewallrichtlinien, um Regeln für einzelne VPC-Netzwerke zu definieren, entweder für alle Regionen des Netzwerks (global) oder eine einzelne Region (regional).

Damit detailliertere Kontrollen auf VM-Ebene (virtuelle Maschinen) erzwungen werden, empfehlen wir die Verwendung der IAM-gesteuerten Tags (Identity and Access Management) auf Organisations- oder Projektebene. Mit IAM-gesteuerten Tags können Firewallregeln basierend auf der Identität des Arbeitslasthosts und nicht auf der Host-IP-Adresse angewendet werden. Sie funktionieren auch bei VPC-Netzwerk-Peering. Mit Tags bereitgestellte Firewallregeln können eine Mikrosegmentierung innerhalb des Subnetzes mit Richtlinienabdeckung ermöglichen, die automatisch auf Arbeitslasten angewendet wird, unabhängig davon, wo sie bereitgestellt werden und unabhängig von der Netzwerkarchitektur.

Zusätzlich zu den Funktionen für die zustandsbehaftete Überprüfung und der Unterstützung von Tags unterstützt die Cloud Next Generation Firewall auch Threat Intelligence, FQDN und die Filterung nach geografischem Standort.

Wir empfehlen, von VPC-Firewallregeln zu Firewallrichtlinien zu migrieren. Um die Migration zu erleichtern, können Sie das Migrationstool verwenden. Damit wird eine globale Netzwerk-Firewallrichtlinie erstellt und vorhandene VPC-Firewallregeln werden in die neue Richtlinie konvertiert.

Perimetersicherheit in der Cloud

In einer Multi-Cloud-Netzwerkumgebung wird die Perimetersicherheit in der Regel in jedem Netzwerk implementiert. Das lokale Netzwerk hat beispielsweise eigene Perimeterfirewalls, während in jedem Cloud-Netzwerk separate Perimeterfirewalls implementiert werden.

Da das Cross-Cloud Network als Hub für die gesamte Kommunikation konzipiert ist, können Sie die Perimeter-Sicherheitskontrollen vereinheitlichen und zentralisieren und eine einzelne Gruppe von Perimeter-Firewalls in Ihrem Cross-Cloud Network bereitstellen. Um einen integrierten Perimeter-Sicherheitsstack Ihrer Wahl bereitzustellen, bietet Cross-Cloud Network flexible Optionen zum Einfügen von NVAs.

In den in den Diagrammen gezeigten Designs können Sie Drittanbieter-NVAs in der Transit-VPC im Hub-Projekt bereitstellen.

NVAs können über eine einzelne Netzwerkschnittstelle (Einzel-NIC-Modus) oder über mehrere Netzwerkschnittstellen in mehreren VPCs (Multi-NIC-Modus) bereitgestellt werden. Für ein Cross-Cloud Network empfehlen wir eine Bereitstellung mit einer einzigen NIC für NVAs, da Sie mit dieser Option Folgendes tun können:

• Fügen Sie die NVAs mit richtlinienbasierten Routen ein.
• Vermeiden Sie starre Topologien.
• Bereitstellung in verschiedenen Inter-VPC-Topologien
• Aktivieren Sie das Autoscaling für die NVAs.
• Im Laufe der Zeit auf viele VPCs skalieren, ohne dass Änderungen am NVA-Schnittstellendeployment erforderlich sind.

Wenn für Ihr Design mehrere NICs erforderlich sind, finden Sie Empfehlungen unter Perimetersicherheit mit NVA mit mehreren NICs.

Um die für die NVA-Bereitstellung erforderliche Traffic-Weiterleitung zu erreichen, wird in diesem Leitfaden die selektive Erzwingung von richtlinienbasierten und statischen Routen in den VPC-Routingtabellen empfohlen. Richtlinienbasierte Routen sind flexibler als Standardrouten, da sie sowohl mit Quell- als auch mit Zielinformationen übereinstimmen. Diese richtlinienbasierten Routen werden auch nur an bestimmten Stellen in der Cloud-Netzwerktopologie erzwungen. Diese Granularität ermöglicht die Definition eines sehr spezifischen Traffic-Steuerungsverhaltens für sehr spezifische Verbindungsflüsse.

Außerdem ermöglicht dieses Design die von den NVAs erforderlichen Resilienzmechanismen. NVAs werden von einem internen TCP/UDP-Load-Balancer unterstützt, um NVA-Redundanz, Autoscaling für elastische Kapazität und Flow-Symmetrie zur Unterstützung der zustandsorientierten bidirektionalen Traffic-Verarbeitung zu ermöglichen.

Perimetersicherheit mit einer einzelnen NIC-NVA

Im unter Inter-VPC-Konnektivität für zentralisierte Dienste beschriebenen Design fungiert die Transit-VPC als Hub für die Spoke-VPCs, die über Peering und HA VPN eines VPC-Netzwerks verbunden sind. Die Transit-VPC ermöglicht auch die Verbindung zwischen den externen Netzwerken und den Spoke-VPCs.

Für das Einfügen von NVAs mit einer einzelnen NIC werden in diesem Design die folgenden beiden Muster kombiniert:

• NVAs in einen VPC-Netzwerk-Peering-Hub mit externen Hybridverbindungen einfügen
• NVAs in einen HA VPN-VPC-Hub mit externen Hybridverbindungen einfügen

Das folgende Diagramm zeigt NVAs, die an den Hubs für VPC-Netzwerk-Peering und HA VPN eingefügt wurden:

Das obige Diagramm veranschaulicht ein kombiniertes Muster:

• Eine Transit-VPC, in der die Cloud Interconnect-VLAN-Anhänge gehostet werden, die Hybrid- oder Multicloud-Konnektivität ermöglichen. Diese VPC enthält auch die NVAs mit einer einzelnen NIC, die die Hybridverbindungen überwachen.
• Anwendungs-VPCs, die über VPC-Netzwerk-Peering mit der Transit-VPC verbunden sind.
• Eine zentrale Dienst-VPC, die über HA VPN mit der Transit-VPC verbunden ist.

Bei diesem Design verwenden die Spokes, die über HA VPN verbunden sind, die Transit-VPC, um mit den Spokes zu kommunizieren, die über VPC-Netzwerk-Peering verbunden sind. Die Kommunikation wird über die Firewalls von Drittanbietern gesteuert. Dazu wird die folgende Kombination aus Passthrough-Load-Balancing, statischen Routen und richtlinienbasierten Routen verwendet:

1. Um HA VPN-Traffic an den internen Load-Balancer weiterzuleiten, wenden Sie nicht getaggte richtlinienbasierte Routen auf die Transit-VPC an. Verwenden Sie für diese richtlinienbasierten Routen Quell- und Ziel-CIDR-Bereiche, die für Traffic-Symmetrie sorgen.
2. Wenn Sie eingehenden Traffic an den internen Passthrough-Network Load Balancer weiterleiten möchten, wenden Sie richtlinienbasierte Routen auf die Cloud Interconnect-Verbindungen in der Transit-VPC an. Dies sind regionale Routen.
3. Damit Traffic, der die NVA verlässt, nicht direkt zurück zur NVA geleitet wird, müssen alle NVA-Schnittstellen das Ziel einer skip-policy-based route sein, um andere richtlinienbasierte Routen zu überspringen. Nach der Verarbeitung durch die NVAs folgt der Traffic der VPC-Routingtabelle.
4. Um Traffic an die internen Load-Balancer der NVA in der Transit-VPC weiterzuleiten, wenden Sie statische Routen auf die Anwendungs-VPCs an. Diese können mithilfe von Netzwerk-Tags regional eingegrenzt werden.

Perimetersicherheit mit mehreren NICs für NVAs

Im Multi-NIC-Modus ist die Topologie statischer, da NVAs die Verbindung zwischen den verschiedenen VPCs überbrücken, in denen sich die verschiedenen Netzwerkschnittstellen befinden.

Wenn in einer Firewall schnittstellenbasierte Zonen erforderlich sind, ermöglicht das folgende Multi-NIC-Design die erforderliche externe Verbindung. Bei diesem Design werden den externen Netzwerken verschiedene Firewallschnittstellen zugewiesen. Die externen Netzwerke werden von Sicherheitsexperten als nicht vertrauenswürdige Netzwerke und die internen Netzwerke als vertrauenswürdige Netzwerke bezeichnet. Bei der Bereitstellung von NVAs mit mehreren NICs wird dieses Design mit vertrauenswürdigen und nicht vertrauenswürdigen VPCs implementiert.

Für die interne Kommunikation kann die Firewall mit einem Single-NIC-Einfügemodell erzwungen werden, das einem CIDR-basierten Zonenmodell entspricht.

Bei diesem Design fügen Sie NVAs ein, indem Sie Folgendes konfigurieren:

1. Wenn Sie HA VPN-Traffic an den internen Load Balancer weiterleiten möchten, wenden Sie nicht getaggte richtlinienbasierte Routen auf das vertrauenswürdige VPC-Netzwerk an. Verwenden Sie für diese richtlinienbasierten Routen Quell- und Ziel-CIDR-Bereiche, die für Traffic-Symmetrie sorgen.
2. Wenn Sie eingehenden Traffic an den internen Passthrough-Network Load Balancer weiterleiten möchten, wenden Sie richtlinienbasierte Routen auf die Cloud Interconnect-Verbindungen in der nicht vertrauenswürdigen VPC an. Dies sind regionale Routen.
3. Damit Traffic, der die NVA verlässt, nicht direkt zurück zur NVA geleitet wird, müssen alle NVA-Schnittstellen das Ziel einer skip-policy-based route sein, um andere richtlinienbasierte Routen zu überspringen. Nach der Verarbeitung durch die NVAs folgt der Traffic der VPC-Routingtabelle.
4. Um Traffic zu den internen Load-Balancern der NVA in der vertrauenswürdigen VPC weiterzuleiten, wenden Sie statische Routen auf die Anwendungs-VPCs an. Diese können mithilfe von Netzwerk-Tags regional eingegrenzt werden.

Das folgende Diagramm zeigt NVAs mit mehreren NICs, die zwischen den nicht vertrauenswürdigen und vertrauenswürdigen VPC-Netzwerken im Hub-Projekt eingefügt werden:

Nächste Schritte

• Weitere Informationen zu den in dieser Designanleitung verwendeten Google Cloud -Produkten:
  • VPC-Netzwerke
  • VPC-Netzwerk-Peering
  • Cloud Interconnect
  • HA VPN
• Weitere Referenzarchitekturen, Designleitfäden und Best Practices finden Sie im Cloud-Architekturcenter

Beitragende

Autoren:

• Victor Moreno | Product Manager, Cloud Networking
• Ghaleb Al-habian | Network Specialist
• Deepak Michael | Networking Specialist Customer Engineer
• Osvaldo Costa | Networking Specialist Customer Engineer
• Jonathan Almaleh | Staff Technical Solutions Consultant

Weitere Beitragende:

• Zach Seils | Networking Specialist
• Christopher Abraham | Networking Specialist Customer Engineer
• Emanuele Mazza | Networking Product Specialist
• Aurélien Legrand | Strategic Cloud Engineer
• Eric Yu | Networking Specialist Customer Engineer
• Kumar Dhanagopal | Cross-Product Solution Developer
• Mark Schlagenhauf | Technical Writer, Netzwerk
• Marwan Al Shawi | Partner Customer Engineer
• Ammett Williams | Developer Relations Engineer