Como parte de la estrategia de defensa en profundidad de tu organización, es posible que tengas políticas de seguridad que requieran el uso de dispositivos de red centralizados para detectar y bloquear en línea la actividad de red sospechosa. Este documento le ayudará a diseñar las siguientes funciones avanzadas de protección de redes para cargas de trabajo de VMware Engine de Google Cloud:
- Mitigación de ataques de denegación de servicio distribuido (DDoS)
- Descarga de SSL
- Cortafuegos de última generación (NGFW)
- Sistema de prevención de intrusiones (IPS) y sistema de detección de intrusiones (IDS)
- Inspección profunda de paquetes (DPI)
Las arquitecturas de este documento usan Cloud Load Balancing y dispositivos de red de Google Cloud Marketplace. Cloud Marketplace ofrece dispositivos de red listos para producción y con asistencia de proveedores de Google Cloud partners de seguridad para satisfacer las necesidades de TI de tu empresa.
Las directrices de este documento están dirigidas a arquitectos de seguridad y administradores de redes que diseñan, aprovisionan y gestionan la conectividad de red para cargas de trabajo de VMware Engine. En este documento se da por hecho que conoces la nube privada virtual (VPC), VMware vSphere, VMware NSX, la traducción de direcciones de red (NAT) y Cloud Load Balancing.
Arquitectura
En el siguiente diagrama se muestra una arquitectura de conectividad de red a cargas de trabajo de VMware Engine desde redes on-premise y desde Internet. Más adelante en este documento, se amplía esta arquitectura para cumplir los requisitos de casos prácticos específicos.
En la figura 1 se muestran los siguientes componentes principales de la arquitectura:
- Nube privada de VMware Engine: una pila de VMware aislada que consta de máquinas virtuales, almacenamiento, infraestructura de red y un servidor VMware vCenter. VMware NSX-T ofrece funciones de redes y seguridad, como la microsegmentación y las políticas de cortafuegos. Las máquinas virtuales de VMware Engine usan direcciones IP de segmentos de red que creas en tu nube privada.
- Servicio de direcciones IP públicas: proporciona direcciones IP externas a las VMs de VMware Engine para habilitar el acceso de entrada desde Internet. La pasarela de Internet proporciona acceso de salida de forma predeterminada a las VMs de VMware Engine.
- Red de VPC de inquilino de VMware Engine: una red de VPC dedicada y gestionada por Google que se usa con cada nube privada de VMware Engine para habilitar la comunicación con losGoogle Cloud servicios.
Redes de VPC de clientes:
- Red de VPC del cliente 1 (externa): una red de VPC que aloja la interfaz pública de tu dispositivo de red y tu balanceador de carga.
- Red VPC del cliente 2 (interna): una red VPC que aloja la interfaz interna del dispositivo de red y que está emparejada con la red VPC del arrendatario de VMware Engine mediante el modelo de acceso a servicios privados.
Acceso privado a servicios: un modelo de acceso privado que usa el emparejamiento de redes de VPC para habilitar la conectividad entre los servicios gestionados por Google y tus redes de VPC.
Dispositivos de red: software de redes que elijas en Cloud Marketplace y que despliegues en instancias de Compute Engine.
Cloud Load Balancing: un servicio gestionado por Google que puedes usar para gestionar el tráfico a cargas de trabajo distribuidas de alta disponibilidad en Google Cloud. Puedes elegir un tipo de balanceador de carga que se adapte a tu protocolo de tráfico y a tus requisitos de acceso. Las arquitecturas de este documento no usan los balanceadores de carga de NSX-T integrados.
Notas de configuración
En el siguiente diagrama se muestran los recursos necesarios para proporcionar conectividad de red a las cargas de trabajo de VMware Engine:
En la figura 2 se muestran las tareas que debes completar para configurar los recursos de esta arquitectura. A continuación, se describe cada tarea y se incluye un enlace a un documento con más información e instrucciones detalladas.
Crea las redes y subredes de VPC externas e internas siguiendo las instrucciones de la sección Crear una red de VPC en modo personalizado.
- En cada subred, elige un intervalo de direcciones IP que sea único en todas las redes de la VPC.
- La red VPC de gestión que se muestra en el diagrama de arquitectura es opcional. Si es necesario, puedes usarla para alojar interfaces NIC de gestión de tus dispositivos de red.
Despliega los dispositivos de red necesarios desde Cloud Marketplace.
Para conseguir una alta disponibilidad de los dispositivos de red, implementa cada dispositivo en un par de VMs distribuidas en dos zonas.
Puedes implementar los dispositivos de red en grupos de instancias. Los grupos de instancias pueden ser grupos de instancias gestionados (MIGs) o grupos de instancias no gestionados, en función de tus requisitos de gestión o de asistencia del proveedor.
Aprovisiona las interfaces de red de la siguiente manera:
nic0en la red de VPC externa para enrutar el tráfico a la fuente pública.nic1para las operaciones de gestión, si el proveedor del dispositivo lo requiere.nic2en la red de VPC interna para la comunicación interna con los recursos de VMware Engine.
Si implementas las interfaces de red en redes de VPC independientes, podrás asegurar la segregación de zonas de seguridad a nivel de interfaz para las conexiones públicas y on-premise.
Configura VMware Engine:
- Crea una nube privada de VMware Engine.
- Crea un segmento de red para las VMs de VMware Engine.
Usa el acceso a servicios privados para configurar el intercambio de tráfico entre redes de VPC y conectar la red de VPC interna a la red de VPC que gestiona VMware Engine.
Si necesitas conectividad híbrida a tu red on-premise, usa Cloud VPN o Cloud Interconnect.
Puedes ampliar la arquitectura de la figura 2 para los siguientes casos prácticos:
| Caso práctico | Productos y servicios utilizados |
|---|---|
| NGFW para cargas de trabajo de VMware Engine orientadas al público |
|
| NGFW, mitigación de DDoS, descarga de SSL y red de distribución de contenido (CDN) para cargas de trabajo de VMware Engine orientadas al público |
|
| NGFW para la comunicación privada entre cargas de trabajo de VMware Engine y centros de datos on-premise u otros proveedores de la nube |
|
| Puntos de salida centralizados a Internet para cargas de trabajo de VMware Engine |
|
En las siguientes secciones se describen estos casos prácticos y se ofrece una descripción general de las tareas de configuración para implementarlos.
NGFW para cargas de trabajo orientadas al público
Este caso práctico tiene los siguientes requisitos:
- Una arquitectura híbrida que consta de instancias de VMware Engine y Compute Engine, con un balanceador de carga de nivel 4 como frontend común.
- Protección de cargas de trabajo públicas de VMware Engine mediante una solución IPS/IDS, NGFW, DPI o NAT.
- Más direcciones IP públicas de las que admite el servicio de direcciones IP públicas de VMware Engine.
En el siguiente diagrama se muestran los recursos necesarios para aprovisionar un NGFW para tus cargas de trabajo de VMware Engine orientadas al público:
En la figura 3 se muestran las tareas que debes completar para configurar los recursos de esta arquitectura. A continuación, se describe cada tarea y se incluye un enlace a un documento con más información e instrucciones detalladas.
Aprovisiona un balanceador de carga de red con paso a través externo en la red de VPC externa como punto de entrada de acceso público para las cargas de trabajo de VMware Engine.
- Crea varias reglas de reenvío para admitir varias cargas de trabajo de VMware Engine.
- Configure cada regla de reenvío con una dirección IP única y un número de puerto TCP o UDP.
- Configura las aplicaciones de red como backends del balanceador de carga.
Configura los dispositivos de red para que realicen la traducción de direcciones de red de destino (DNAT) de la dirección IP pública de la regla de reenvío a las direcciones IP internas de las máquinas virtuales que alojan las aplicaciones públicas en VMware Engine.
- Los dispositivos de red deben realizar la NAT de origen (SNAT) para el tráfico de la interfaz
nic2con el fin de asegurar una ruta de retorno simétrica. - Los dispositivos de red también deben enrutar el tráfico destinado a las redes de VMware Engine a través de la interfaz
nic2a la pasarela de la subred (la primera dirección IP de la subred). - Para que las comprobaciones de estado se realicen correctamente, los dispositivos de red deben usar interfaces secundarias o de bucle de retorno para responder a las direcciones IP de las reglas de reenvío.
- Los dispositivos de red deben realizar la NAT de origen (SNAT) para el tráfico de la interfaz
Configura la tabla de rutas de la red de VPC interna para reenviar el tráfico de VMware Engine al emparejamiento entre redes de VPC como siguiente salto.
En esta configuración, las VMs de VMware Engine usan el servicio de pasarela de Internet de VMware Engine para salir a recursos de Internet. Sin embargo, el tráfico de entrada lo gestionan los dispositivos de red para las direcciones IP públicas asignadas a las VMs.
NGFW, mitigación de DDoS, descarga de SSL y CDN
Este caso práctico tiene los siguientes requisitos:
- Una arquitectura híbrida que consta de instancias de VMware Engine y Compute Engine, con un balanceador de carga de nivel 7 como frontend común y una asignación de URLs para enrutar el tráfico al backend adecuado.
- Protección de cargas de trabajo públicas de VMware Engine mediante una solución IPS/IDS, NGFW, DPI o NAT.
- Mitigación de ataques DDoS de las capas 3 a 7 para cargas de trabajo públicas de VMware Engine mediante Google Cloud Armor.
- Cancelación de SSL mediante certificados SSL gestionados por Google o políticas de SSL para controlar las versiones y los cifrados de SSL que se usan en las conexiones HTTPS o SSL a cargas de trabajo de VMware Engine orientadas al público.
- Distribución de red acelerada para cargas de trabajo de VMware Engine mediante Cloud CDN para servir contenido desde ubicaciones cercanas a los usuarios.
En el siguiente diagrama se muestran los recursos necesarios para aprovisionar la función NGFW, la mitigación de DDoS, la descarga de SSL y la CDN para tus cargas de trabajo de VMware Engine públicas:
En la figura 4 se muestran las tareas que debes completar para configurar los recursos de esta arquitectura. A continuación, se describe cada tarea y se incluye un enlace a un documento con más información e instrucciones detalladas.
Aprovisiona un balanceador de carga de aplicaciones externo global en la red de VPC externa como punto de entrada público para las cargas de trabajo de VMware Engine.
- Crea varias reglas de reenvío para admitir varias cargas de trabajo de VMware Engine.
- Configure cada regla de reenvío con una dirección IP pública única y configúrela para que escuche el tráfico HTTP(S).
- Configura las aplicaciones de red como backends del balanceador de carga.
Además, puedes hacer lo siguiente:
- Para proteger los dispositivos de red, configura políticas de seguridad de Cloud Armor en el balanceador de carga.
- Para admitir el enrutamiento, las comprobaciones de estado y las direcciones IP anycast de los dispositivos de red que actúan como back-ends de la CDN, configura Cloud CDN en los grupos de instancias gestionados que alojan los dispositivos de red.
- Para enrutar las solicitudes a diferentes backends, configura la asignación de URLs en el balanceador de carga. Por ejemplo, enruta las solicitudes a
/apia las máquinas virtuales de Compute Engine, las solicitudes a/imagesa un segmento de Cloud Storage y las solicitudes a/appa través de los dispositivos de red a tus máquinas virtuales de VMware Engine.
Configura cada dispositivo de red para que realice la traducción de direcciones de red de destino (DNAT) de la dirección IP interna de su interfaz
nic0a las direcciones IP internas de las máquinas virtuales que alojan las aplicaciones públicas en VMware Engine.- Los dispositivos de red deben realizar SNAT para el tráfico de origen de la interfaz
nic2(dirección IP interna) para asegurar una ruta de retorno simétrica. - Además, los dispositivos de red deben enrutar el tráfico destinado a las redes de VMware Engine a través de la interfaz
nic2a la pasarela de la subred (la primera dirección IP de la subred).
El paso de DNAT es necesario porque el balanceador de carga es un servicio basado en proxy que se implementa en un servicio de Google Front End (GFE). En función de la ubicación de tus clientes, varias GFEs pueden iniciar conexiones HTTP(S) a las direcciones IP internas de los dispositivos de la red de backend. Los paquetes de los GFEs tienen direcciones IP de origen del mismo intervalo que se usa para las sondas de comprobación de estado (35.191.0.0/16 y 130.211.0.0/22), no las direcciones IP del cliente original. El balanceador de carga añade las direcciones IP de los clientes mediante el encabezado
X-Forwarded-For.Para que las comprobaciones del estado se realicen correctamente, configura los dispositivos de red para que respondan a la dirección IP de la regla de reenvío mediante interfaces secundarias o de bucle invertido.
- Los dispositivos de red deben realizar SNAT para el tráfico de origen de la interfaz
Configura la tabla de rutas de la red de VPC interna para reenviar el tráfico de VMware Engine al emparejamiento entre redes de VPC.
En esta configuración, las VMs de VMware Engine usan el servicio de pasarela de Internet de VMware Engine para salir a Internet. Sin embargo, el tráfico de entrada lo gestionan los dispositivos de red de las direcciones IP públicas de las VMs.
NGFW para la conectividad privada
Este caso práctico tiene los siguientes requisitos:
- Una arquitectura híbrida que consta de instancias de VMware Engine y Compute Engine, con un balanceador de carga de nivel 4 como frontend común.
- Protección de tus cargas de trabajo privadas de VMware Engine mediante una solución IPS/IDS, NGFW, DPI o NAT.
- Cloud Interconnect o Cloud VPN para la conectividad con la red on-premise.
En el siguiente diagrama se muestran los recursos necesarios para aprovisionar un NGFW para la conectividad privada entre tus cargas de trabajo de VMware Engine y las redes on‐premise u otros proveedores de servicios en la nube:
En la figura 5 se muestran las tareas que debes completar para configurar los recursos de esta arquitectura. A continuación, se describe cada tarea y se incluye un enlace a un documento con más información e instrucciones detalladas.
Aprovisiona un balanceador de carga de red de paso a través interno en la red de VPC externa, con una sola regla de reenvío para monitorizar todo el tráfico. Configura las aplicaciones de red como backends del balanceador de carga.
Configura la tabla de rutas de la red de VPC externa para que apunte a la regla de reenvío como siguiente salto del tráfico destinado a las redes de VMware Engine.
Configure los dispositivos de red de la siguiente manera:
- Dirige el tráfico destinado a las redes de VMware Engine a través de la interfaz
nic2a la pasarela de la subred (la primera dirección IP de la subred). - Para que las comprobaciones del estado se realicen correctamente, configura los dispositivos de red para que respondan a la dirección IP de la regla de reenvío mediante interfaces secundarias o de bucle invertido.
- Para que las comprobaciones del estado de los balanceadores de carga internos se realicen correctamente, configura varios dominios de enrutamiento virtual para asegurar que el enrutamiento sea adecuado. Este paso es necesario para permitir que la interfaz
nic2devuelva el tráfico de comprobación de estado que procede de los intervalos públicos (35.191.0.0/16 y 130.211.0.0/22), mientras que la ruta predeterminada de los dispositivos de red apunta a la interfaznic0. Para obtener más información sobre los intervalos de IP de las comprobaciones del estado de los balanceadores de carga, consulta Intervalos de IP de sondeo y reglas de cortafuegos.
- Dirige el tráfico destinado a las redes de VMware Engine a través de la interfaz
Configura la tabla de rutas de la red de VPC interna para reenviar el tráfico de VMware Engine al emparejamiento entre redes de VPC como siguiente salto.
Para el tráfico devuelto o el tráfico que se inicia desde VMware Engine a redes remotas, configura el balanceador de carga de red interno de tipo pasarela como el siguiente salto que se anuncia a través del emparejamiento entre redes de VPC a la red de VPC de acceso a servicios privados.
Salida centralizada a Internet
Este caso práctico tiene los siguientes requisitos:
- Filtrado de URLs, registro y control del tráfico centralizados para la salida a Internet.
- Protección personalizada de cargas de trabajo de VMware Engine mediante dispositivos de red de Cloud Marketplace.
En el siguiente diagrama se muestran los recursos necesarios para aprovisionar puntos de salida centralizados desde cargas de trabajo de VMware Engine a Internet:
En la figura 6 se muestran las tareas que debe completar para configurar los recursos de esta arquitectura. A continuación, se describe cada tarea y se incluye un enlace a un documento con más información e instrucciones detalladas.
Aprovisiona un balanceador de carga de red con paso a través interno en la red de VPC interna como punto de entrada de salida para las cargas de trabajo de VMware Engine.
- Crea una sola regla de reenvío para monitorizar todo el tráfico.
- Configura las aplicaciones de red como backends del balanceador de carga.
Configura los dispositivos de red para que realicen la SNAT del tráfico desde sus direcciones IP públicas (
nic0). Para que las comprobaciones de estado se realicen correctamente, los dispositivos de red deben responder a la dirección IP de la regla de reenvío mediante interfaces secundarias o de bucle invertido.Configura la red de VPC interna para que anuncie una ruta predeterminada a través del emparejamiento entre redes de VPC a la red de VPC de acceso a servicios privados, con la regla de reenvío del balanceador de carga interno como siguiente salto.
Para permitir que el tráfico salga a través de los dispositivos de red en lugar de la pasarela de Internet, sigue el mismo proceso que para habilitar el enrutamiento del tráfico de Internet a través de una conexión local.
Siguientes pasos
- Más información sobre VMware Engine
- Consulta las prácticas recomendadas para diseñar redes de VPC.
- Consulta información sobre las redes de VMware Engine.
- Consulta información sobre Cloud Load Balancing.
- Explora Cloud Marketplace.