Cross-Cloud Network 中分散式應用程式的網路安全性

Last reviewed 2025-01-30 UTC

本文是 Cross-Cloud Network 設計指南系列的一部分。本節將探討網路安全性層。

本系列文章包含以下部分:

安全性途徑

設計 Cross-Cloud Network 的安全層時,請務必考量下列安全層面:

  • 工作負載安全性
  • 網域邊界安全性

工作負載安全性可控管虛擬私有雲 (VPC) 內部和跨越虛擬私有雲的工作負載間的通訊。工作負載安全性會使用架構中與工作負載相近的安全性執行點。 Google Cloud的 Cloud Next Generation Firewall 可為工作負載提供安全防護,Cross-Cloud Network 會盡可能使用這項服務。

所有網路邊界都必須設有邊界安全性。由於邊界通常會連結由不同機構管理的網路,因此通常需要更嚴格的安全控制措施。您必須確保下列跨網路通訊安全無虞:

  • 跨虛擬私有雲的通訊
  • 透過混合連線與其他雲端服務供應商或地端資料中心進行通訊
  • 與網際網路的通訊

在Google Cloud 環境中插入第三方網路虛擬設備 (NVA) 的能力,對於解決混合連線周邊安全性的要求至關重要。

雲端工作負載安全性

在Google Cloud 中使用防火牆政策,保護工作負載並提供可水平擴充且套用至每個 VM 執行個體的有狀態防火牆功能。 Google Cloud 防火牆的分散性質有助於實施網路微區隔的安全政策,且不會對工作負載的效能造成負面影響。

使用階層式防火牆政策可改善防火牆政策的可管理性,並強制執行法規遵循。階層式防火牆政策可讓您在整個機構中建立並強制執行一致的防火牆政策。您可以將階層式防火牆政策指派給機構或個別資料夾。此外,階層式防火牆政策規則可透過 goto_next 動作,將評估工作委派給較低層級的政策 (全域或區域性網路防火牆政策)。

較低層級的規則無法覆寫資源階層中較高層級的規則。這項規則結構可讓全機構的管理員在同一個位置管理強制防火牆規則。階層式防火牆政策的常見用途包括機構或多專案堡壘主機存取權、允許集中式探測或健康檢查系統,以及在機構或一組專案中強制執行虛擬網路邊界。如要瞭解其他使用階層式防火牆政策的範例,請參閱「階層式防火牆政策範例」。

您可以使用全域區域性網路防火牆政策,針對個別 VPC 網路定義規則,無論是網路的所有區域 (全域),或是單一區域 (區域) 皆可。

如要在虛擬機器 (VM) 層級實施更精細的控管,建議您在機構或專案層級使用由 Identity and Access Management (IAM) 管理的標記。由 IAM 管理的標記可根據工作負載主機的身分 (而非主機 IP 位址) 套用防火牆規則,並在虛擬私有雲網路對等互連中運作。使用標記部署的防火牆規則可提供子網路內微分區,並提供政策涵蓋範圍,自動套用至部署位置的負載,不受網路架構影響。

除了具備有狀態檢查功能和標記支援功能外,Cloud Next Generation Firewall 也支援威脅情報、FQDN 和地理位置篩選功能。

建議您從虛擬私有雲防火牆規則遷移至防火牆政策。如要協助遷移作業,請使用遷移工具,這項工具可建立全域網路防火牆政策,並將現有的虛擬私有雲防火牆規則轉換為新政策。

雲端中的邊界安全性

在多雲網路環境中,通常會在每個網路中實作周邊安全性。舉例來說,內部部署網路有自己的一組邊界防火牆,而每個雲端網路都實作不同的邊界防火牆。

由於 Cross-Cloud Network 是所有通訊的中樞,您可以統一並集中管理邊界安全控管,並在 Cross-Cloud Network 中部署一組邊界防火牆。為了提供內建的邊界安全性堆疊,Cross-Cloud Network 提供彈性的選項,方便您插入 NVA。

在圖表中顯示的設計中,您可以在中樞專案的轉接虛擬私有雲中部署第三方 NVA。

NVA 可透過單一網路介面 (單一 NIC 模式) 或跨多個 VPC 的多個網路介面 (多個 NIC 模式) 部署。針對跨雲網路,我們建議為 NVA 部署單一 NIC,因為這個選項可讓您執行以下操作:

  • 插入使用策略路徑的 NVA。
  • 避免建立僵硬的拓撲。
  • 在各種虛擬私有雲間拓撲中部署。
  • 為 NVA 啟用自動調度資源功能。
  • 隨著時間推移,可擴充至多個 VPC,且無須變更 NVA 介面部署作業。

如果您的設計需要多個 NIC,請參閱「多 NIC NVA 邊界安全性」一文,瞭解相關建議。

為了實現 NVA 部署所需的流量轉送,本指南建議您在 VPC 路由表中選擇性地強制執行依政策和靜態路徑。策略路徑比標準路徑更具彈性,因為策略路徑會比對來源和目的地資訊。這些政策路徑也只會在雲端網路拓撲的特定位置強制執行。這個精細度可讓您為特定連線流程定義非常明確的流量引導行為。

此外,這項設計可啟用 NVA 所需的復原機制。NVA 會由 內部 TCP/UDP 負載平衡器負責前端,以便啟用 NVA 備援機制、彈性容量的自動調整機制,以及支援有狀態雙向流量處理的流量對稱機制。

單一 NIC 網路虛擬閘道器安全範圍

在「為集中式服務提供跨 VPC 連線」一文中所述的設計中,傳輸虛擬私有雲會充當輻射虛擬私有雲的中心,這些虛擬私有雲是透過 VPC 網路對等互連和高可用性 VPN 連線。傳遞虛擬私有雲也會讓外部網路與輪輻虛擬私有雲之間建立連線。

為了單一 NIC NVA 插入,這項設計結合了以下兩種模式:

  • 在含有外部混合連線的虛擬私有雲網路對等互連中樞中插入 NVA
  • 在設有外部混合式連線的高可用性 VPN VPC 中樞中插入 NVA

下圖顯示在虛擬私有雲網路對等互連和高可用性 VPN 的樞紐中插入的 NVA:

在 VPC 網路對等互連和高可用性 VPN 的樞紐中插入 NVA

下圖說明瞭組合模式:

  • 代管 Cloud Interconnect VLAN 連結的轉接 VPC,可提供混合式或多雲端連線。這個 VPC 也包含監控混合型連線的單 NIC NVA。
  • 透過 VPC 網路對等互連連線至傳輸 VPC 的應用程式 VPC。
  • 中央服務虛擬私有雲會透過高可用性 VPN 連線至轉接虛擬私有雲。

在這個設計中,使用高可用性 VPN 連線的輪輻會使用傳遞 VPC 與透過 VPC 網路對等互連連線的輪輻進行通訊。透過以下組合使用傳送負載平衡、靜態路徑和依政策路由,將通訊導向至第三方 NVA 防火牆:

  1. 如要將 HA VPN 流量導向至內部負載平衡器,請將未標記的策略路徑套用至傳輸 VPC。在這些依政策路徑中,請使用可提供流量對稱性的來源和目的地 CIDR 範圍。
  2. 如要將傳入流量導向內部直通式網路負載平衡器,請將策略路由套用至 Transit 虛擬私有雲網路中的 Cloud Interconnect 連線。這些是區域路線。
  3. 為避免從 NVA 離開的流量直接轉送回 NVA,請將所有 NVA 介面設為略過政策路徑的目標,以便略過其他政策路徑。流量經過 NVA 處理後,就會遵循 VPC 路由表。
  4. 如要將流量導向傳輸 VPC 中的 NVA 內部負載平衡器,請將靜態路由套用至應用程式 VPC。您可以使用網路標記,將這些規則的範圍限定為區域。

多 NIC 網路虛擬閘道 (NVA) 邊界安全性

在多 NIC 模式中,由於 NVA 會在不同網路介面所在的不同 VPC 之間建立橋接連線,因此拓樸圖會更為靜態。

如果防火牆需要以介面為基礎的區域,則下列多 NIC 設計可啟用所需的外部連線。這項設計會將不同的防火牆介面指派給外部網路。安全性專家將外部網路稱為不受信任的網路,而內部網路則稱為受信任的網路。針對多 NIC NVA 部署,這項設計會使用可信和不可信的 VPC 實作。

針對內部通訊,您可以使用單一 NIC 插入模型 (對應於以 CIDR 為基礎的區域模型) 強制執行防火牆。

在這個設計中,您可以透過設定下列項目來插入 NVA:

  1. 如要將 HA VPN 流量導向至內部負載平衡器,請將未標記的策略路徑套用至信任的 VPC。在這些依政策路徑中,請使用可提供流量對稱性的來源和目的地 CIDR 範圍。
  2. 如要將傳入流量導向內部直通式網路負載平衡器,請將策略路由套用至不受信任的虛擬私有雲網路中的 Cloud Interconnect 連線。這些是區域路線。
  3. 為避免從 NVA 離開的流量直接轉送回 NVA,請將所有 NVA 介面設為略過政策路徑的目標,以便略過其他政策路徑。流量經過 NVA 處理後,就會遵循 VPC 路由表。
  4. 如要將流量引導至信任 VPC 中的 NVA 內部負載平衡器,請將靜態路由套用至應用程式 VPC。您可以使用網路標記,將這些規則的範圍限定為區域。

下圖顯示在樞紐專案中,在不受信任和受信任的虛擬私有雲網路之間插入的多 NIC NVA:

內部通訊的 NVA

後續步驟

貢獻者

作者:

其他貢獻者: