Keamanan jaringan untuk aplikasi terdistribusi di Cross-Cloud Network

Tetap teratur dengan koleksi Simpan dan kategorikan konten berdasarkan preferensi Anda.

Dokumen ini adalah bagian dari rangkaian panduan desain untuk Cross-Cloud Network. Bagian ini mengeksplorasi lapisan keamanan jaringan.

Rangkaian ini terdiri dari bagian berikut:

• Jaringan Lintas Cloud untuk aplikasi terdistribusi
• Segmentasi dan konektivitas jaringan untuk aplikasi terdistribusi di Jaringan Lintas Cloud
• Jejaring layanan untuk aplikasi terdistribusi di Jaringan Lintas Cloud
• Keamanan jaringan untuk aplikasi terdistribusi di Jaringan Lintas Cloud (dokumen ini)

Platform keamanan

Saat mendesain lapisan keamanan untuk Cross-Cloud Network, Anda harus mempertimbangkan platform keamanan berikut:

• Keamanan workload
• Keamanan perimeter domain

Keamanan workload mengontrol komunikasi antara workload di seluruh dan dalam Virtual Private Cloud (VPC). Keamanan workload menggunakan titik penegakan keamanan yang dekat dengan workload dalam arsitektur. Jika memungkinkan, Jaringan Lintas Cloud menyediakan keamanan workload menggunakan Firewall Cloud Next Generation dari Google Cloud.

Keamanan perimeter diperlukan di semua batas jaringan. Karena perimeter biasanya menghubungkan jaringan yang dikelola oleh organisasi berbeda, kontrol keamanan yang lebih ketat sering diperlukan. Anda harus memastikan bahwa komunikasi berikut di seluruh jaringan telah diamankan:

• Komunikasi di seluruh VPC
• Komunikasi di seluruh koneksi hybrid ke penyedia cloud lain atau pusat data lokal
• Komunikasi ke internet

Kemampuan menyisipkan peralatan virtual jaringan (NVA) pihak ketiga dalam Google Cloud lingkungan sangat penting untuk memenuhi persyaratan keamanan perimeter di seluruh koneksi hybrid.

Keamanan workload di cloud

Gunakan kebijakan firewall di Google Cloud untuk mengamankan workload dan memberikan kemampuan firewall stateful yang skalabel secara horizontal dan diterapkan ke setiap instance VM. Sifat firewall yang terdistribusi Google Cloud membantu Anda menerapkan kebijakan keamanan untuk segmentasi mikro jaringan tanpa berdampak negatif pada performa workload Anda.

Gunakan Kebijakan firewall hierarkis untuk meningkatkan pengelolaan dan menerapkan kepatuhan postur untuk kebijakan firewall Anda. Kebijakan firewall hierarkis memungkinkan Anda membuat dan menerapkan kebijakan firewall yang konsisten di seluruh organisasi. Anda dapat menetapkan kebijakan firewall hierarkis ke organisasi atau ke setiap folder. Selain itu, aturan kebijakan firewall hierarkis dapat mendelegasikan evaluasi ke kebijakan level lebih rendah (kebijakan firewall jaringan global atau regional) dengan tindakan goto_next.

Aturan tingkat yang lebih rendah tidak dapat menggantikan aturan dari tingkat yang lebih tinggi dalam hierarki resource. Dengan struktur aturan ini, administrator di seluruh organisasi dapat mengelola aturan firewall wajib di satu tempat. Kasus penggunaan umum untuk Kebijakan firewall hierarkis mencakup akses bastion host organisasi atau multi-project, yang mengizinkan sistem pemeriksaan atau health check terpusat, dan menerapkan batas jaringan virtual di seluruh organisasi atau sekelompok project. Untuk mengetahui contoh tambahan penggunaan kebijakan firewall hierarkis, lihat Contoh kebijakan firewall hierarkis.

Gunakan kebijakan firewall jaringan global dan regional untuk menentukan aturan berdasarkan setiap jaringan VPC, baik untuk semua region jaringan (global) maupun satu region (regional).

Untuk mendapatkan kontrol yang lebih terperinci yang diterapkan di level virtual machine (VM), sebaiknya gunakan tag yang diatur Pengelolaan Akses dan Identitas (IAM) di level organisasi atau project. Tag yang diatur IAM memungkinkan penerapan aturan firewall berdasarkan identitas host beban kerja, bukan alamat IP host, dan berfungsi di seluruh Peering Jaringan VPC. Aturan firewall yang di-deploy menggunakan tag dapat memberikan segmentasi mikro intra-subnet dengan cakupan kebijakan yang otomatis berlaku untuk workload di mana pun tag tersebut di-deploy, terlepas dari arsitektur jaringan.

Selain kemampuan pemeriksaan stateful dan dukungan tag, Cloud Next Generation Firewall juga mendukung Threat Intelligence, FQDN, dan pemfilteran geolokasi.

Sebaiknya migrasikan dari aturan firewall VPC ke kebijakan firewall. Untuk membantu migrasi, gunakan alat migrasi, yang membuat kebijakan firewall jaringan global dan mengubah aturan firewall VPC yang sudah ada menjadi kebijakan baru.

Keamanan perimeter di cloud

Dalam lingkungan jaringan multicloud, keamanan perimeter biasanya diterapkan di setiap jaringan. Misalnya, jaringan lokal memiliki kumpulan firewall perimeter masing-masing, sedangkan setiap jaringan cloud menerapkan firewall perimeter terpisah.

Karena Cross-Cloud Network dirancang untuk menjadi pusat semua komunikasi, Anda dapat menyatukan dan memusatkan kontrol keamanan perimeter serta men-deploy satu set firewall perimeter di Cross-Cloud Network. Untuk memberikan stack keamanan perimeter bawaan pilihan, Cross-Cloud Network menyediakan opsi fleksibel bagi Anda untuk menyisipkan NVA.

Dalam desain yang ditampilkan dalam diagram, Anda dapat men-deploy NVA pihak ketiga di VPC transit di project hub.

NVA dapat di-deploy melalui satu antarmuka jaringan (mode NIC tunggal) atau melalui beberapa antarmuka jaringan di beberapa VPC (mode multi-NIC). Untuk Cross-Cloud Network, sebaiknya gunakan deployment NIC tunggal untuk NVA, karena opsi ini memungkinkan Anda melakukan hal berikut:

• Memasukkan NVA dengan rute berbasis kebijakan.
• Hindari pembuatan topologi yang kaku.
• Men-deploy dalam berbagai topologi antar-VPC.
• Aktifkan penskalaan otomatis untuk NVA.
• Melakukan penskalaan ke banyak VPC dari waktu ke waktu, tanpa perlu mengubah deployment antarmuka NVA.

Jika desain Anda memerlukan multi-NIC, rekomendasi akan dijelaskan secara mendetail dalam Keamanan perimeter NVA Multi-NIC.

Untuk menyelesaikan pengarahan traffic yang diperlukan untuk deployment NVA, panduan ini merekomendasikan penerapan selektif rute berbasis kebijakan dan statis dalam tabel perutean VPC. Rute berbasis kebijakan lebih fleksibel daripada rute standar karena rute berbasis kebijakan cocok dengan informasi sumber dan tujuan. Rute berbasis kebijakan ini juga diterapkan hanya di tempat tertentu dalam topologi jaringan cloud. Perincian ini memungkinkan definisi perilaku pengarahan traffic yang sangat spesifik untuk alur konektivitas yang sangat spesifik.

Selain itu, desain ini memungkinkan mekanisme ketahanan yang diperlukan oleh NVA. NVA di depan oleh load balancer TCP/UDP internal untuk mengaktifkan redundansi NVA, penskalaan otomatis untuk kapasitas elastis, dan simetri aliran untuk mendukung pemrosesan traffic dua arah stateful.

Keamanan perimeter NVA NIC tunggal

Dalam desain yang dijelaskan dalam Konektivitas Inter-VPC untuk layanan terpusat, VPC transit berfungsi sebagai hub ke VPC lisan yang terhubung menggunakan Peering Jaringan VPC dan VPN dengan ketersediaan tinggi (HA). VPC transit juga mengaktifkan konektivitas antara jaringan eksternal dan VPC yang diucapkan.

Untuk tujuan penyisipan NVA NIC tunggal, desain ini menggabungkan dua pola berikut:

• Menyisipkan NVA di hub Peering Jaringan VPC dengan koneksi hybrid eksternal
• Masukkan NVA di hub VPC VPN HA dengan koneksi hybrid eksternal

Diagram berikut menunjukkan NVA yang disisipkan di hub untuk Peering Jaringan VPC dan VPN dengan ketersediaan tinggi (HA):

Diagram sebelumnya menggambarkan pola gabungan:

• VPC transit yang menghosting lampiran VLAN Cloud Interconnect yang menyediakan konektivitas hybrid atau multicloud. VPC ini juga berisi NVA NIC tunggal yang memantau koneksi hybrid.
• VPC Aplikasi yang terhubung ke VPC transit melalui Peering Jaringan VPC.
• VPC layanan pusat yang terhubung ke VPC transit melalui VPN HA.

Dalam desain ini, jari-jari yang terhubung menggunakan VPN HA menggunakan VPC transit untuk berkomunikasi dengan jari-jari yang terhubung oleh Peering Jaringan VPC. Komunikasi diarahkan melalui firewall NVA pihak ketiga dengan menggunakan kombinasi load balancing passthrough, rute statis, dan rute berbasis kebijakan berikut:

1. Untuk mengarahkan traffic VPN dengan ketersediaan tinggi (HA) ke load balancer internal, terapkan rute berbasis kebijakan tanpa tag ke VPC Transit. Pada rute berbasis kebijakan ini, gunakan rentang CIDR sumber dan tujuan yang menyediakan simetri traffic.
2. Untuk mengarahkan traffic masuk ke Load Balancer Jaringan passthrough internal, terapkan rute berbasis kebijakan ke koneksi Cloud Interconnect di VPC Transit. Ini adalah rute regional.
3. Agar traffic yang meninggalkan NVA tidak diarahkan langsung kembali ke NVA, jadikan semua antarmuka NVA sebagai target rute berbasis kebijakan untuk melewati rute berbasis kebijakan lainnya. Traffic kemudian mengikuti tabel perutean VPC setelah diproses oleh NVA.
4. Untuk mengarahkan traffic ke load balancer internal NVA di VPC Transit, terapkan rute statis ke VPC aplikasi. Cakupan ini dapat dicakup secara regional menggunakan tag jaringan.

Keamanan perimeter NVA multi-NIC

Dalam mode multi-NIC, topologinya lebih statis karena NVA menjembatani konektivitas antara berbagai VPC tempat antarmuka jaringan yang berbeda berada.

Ketika zona berbasis antarmuka diperlukan dalam firewall, desain multi-NIC berikut mengaktifkan konektivitas eksternal yang diperlukan. Desain ini menetapkan antarmuka firewall yang berbeda ke jaringan eksternal. Jaringan eksternal disebut oleh praktisi keamanan sebagai jaringan yang tidak tepercaya, dan jaringan internal disebut sebagai jaringan tepercaya. Untuk deployment NVA multi-NIC, desain ini diimplementasikan menggunakan VPC tepercaya dan tidak tepercaya.

Untuk komunikasi internal, firewall dapat diterapkan menggunakan model penyisipan NIC tunggal yang sesuai dengan model zona berbasis CIDR.

Dalam desain ini, Anda menyisipkan NVA dengan mengonfigurasi hal berikut:

1. Untuk mengarahkan traffic VPN dengan ketersediaan tinggi (HA) ke load balancer internal, terapkan rute berbasis kebijakan tanpa tag ke VPC tepercaya. Pada rute berbasis kebijakan ini, gunakan rentang CIDR sumber dan tujuan yang menyediakan simetri traffic.
2. Untuk mengarahkan traffic masuk ke Load Balancer Jaringan passthrough internal, terapkan rute berbasis kebijakan ke koneksi Cloud Interconnect di VPC yang tidak tepercaya. Ini adalah rute regional.
3. Agar traffic yang meninggalkan NVA tidak diarahkan langsung kembali ke NVA, jadikan semua antarmuka NVA sebagai target rute berbasis kebijakan untuk melewati rute berbasis kebijakan lainnya. Traffic kemudian mengikuti tabel perutean VPC setelah diproses oleh NVA.
4. Untuk mengarahkan traffic ke load balancer internal NVA di VPC tepercaya, terapkan rute statis ke VPC aplikasi. Cakupan ini dapat dicakup secara regional menggunakan tag jaringan.

Diagram berikut menunjukkan NVA multi-NIC yang disisipkan di antara jaringan VPC yang tidak tepercaya dan tepercaya dalam project hub:

Langkah berikutnya

• Pelajari lebih lanjut Google Cloud produk yang digunakan dalam panduan desain ini:
  • Jaringan VPC
  • Peering Jaringan VPC
  • Cloud Interconnect
  • VPN dengan ketersediaan tinggi (HA)
• Untuk arsitektur referensi, panduan desain, dan praktik terbaik lainnya, jelajahi Pusat Arsitektur Cloud.

Kontributor

Penulis:

• Victor Moreno | Product Manager, Cloud Networking
• Ghaleb Al-habian | Spesialis Jaringan
• Deepak Michael | Spesialis Jaringan Customer Engineer
• Osvaldo Costa | Spesialis Customer Engineer Jaringan
• Jonathan Almaleh | Staf Konsultan Solusi Teknis

Kontributor lainnya:

• Zach Seils | Spesialis Jaringan
• Christopher Abraham | Spesialis Jaringan Pelanggan Engineer
• Emanuele Mazza | Spesialis Produk Jaringan
• Aurélien Legrand | Cloud Engineer Strategis
• Eric Yu | Spesialis Customer Engineer Jaringan
• Kumar Dhanagopal | Developer Solusi Lintas Produk
• Mark Schlagenhauf | Technical Writer, Networking
• Marwan Al Shawi | Partner Customer Engineer
• Ammett Williams | Developer Relations Engineer