Nell'ambito della strategia di difesa in profondità della tua organizzazione, potresti avere criteri di sicurezza che richiedono l'utilizzo di appliance di rete centralizzate per il rilevamento e il blocco in linea di attività di rete sospette. Questo documento ti aiuta a progettare le seguenti funzionalità avanzate di protezione della rete per i carichi di lavoro di Google Cloud VMware Engine:
- Mitigazione degli attacchi distributed denial of service (DDoS)
- Offload SSL
- Firewall di nuova generazione (NGFW)
- Sistema di prevenzione delle intrusioni (IPS) e Intrusion Detection System (IDS)
- Ispezione approfondita dei pacchetti (DPI)
Le architetture descritte in questo documento utilizzano Cloud Load Balancing e appliance di rete di Google Cloud Marketplace. Cloud Marketplace offre appliance di rete pronte per la produzione e supportate dai fornitori dei partner di sicurezza Google Cloud per le esigenze IT aziendali.
Le indicazioni contenute in questo documento sono destinate agli architetti della sicurezza e agli amministratori di rete che progettano, eseguono il provisioning e gestiscono la connettività di rete per i carichi di lavoro VMware Engine. Il documento presuppone che tu abbia familiarità con Virtual Private Cloud (VPC), VMware vSphere, VMware NSX, Network Address Translation (NAT) e Cloud Load Balancing.
Architettura
Il seguente diagramma mostra un'architettura per la connettività di rete ai carichi di lavoro VMware Engine dalle reti on-premise e da internet. Più avanti in questo documento, questa architettura viene estesa per soddisfare i requisiti di casi d'uso specifici.
La Figura 1 mostra i seguenti componenti principali dell'architettura:
- Cloud privato VMware Engine: uno stack VMware isolato costituito da macchine virtuali (VM), spazio di archiviazione, infrastruttura di rete e un VMware vCenter Server. VMware NSX-T fornisce funzionalità di rete e sicurezza come la microsegmentazione e i criteri firewall. Le VM VMware Engine utilizzano indirizzi IP provenienti dai segmenti di rete che crei nel tuo cloud privato.
- Servizio di indirizzi IP pubblici: fornisce indirizzi IP esterni alle VM VMware Engine per consentire l'accesso in entrata da internet. Il gateway internet fornisce l'accesso in uscita per impostazione predefinita per le VM VMware Engine.
- Rete VPC tenant VMware Engine: una rete VPC dedicata e gestita da Google utilizzata con ogni cloud privato VMware Engine per consentire la comunicazione con i serviziGoogle Cloud .
Reti VPC del cliente:
- Rete VPC del cliente 1 (esterna): una rete VPC che ospita l'interfaccia pubblica dell'appliance di rete e del bilanciatore del carico.
- Rete VPC cliente 2 (interna): una rete VPC che ospita l'interfaccia interna dell'appliance di rete ed è in peering con la rete VPC tenant VMware Engine utilizzando il modello di accesso privato ai servizi.
Accesso privato ai servizi: un modello di accesso privato che utilizza il peering di rete VPC per abilitare la connettività tra i servizi gestiti da Google e le tue reti VPC.
Apparecchiature di rete: software di rete che scegli da Cloud Marketplace ed esegui il deployment sulle istanze Compute Engine.
Cloud Load Balancing: un servizio gestito da Google che puoi utilizzare per gestire il traffico verso workload distribuiti ad alta disponibilità in Google Cloud. Puoi scegliere un tipo di bilanciatore del carico adatto al tuo protocollo di traffico e ai requisiti di accesso. Le architetture descritte in questo documento non utilizzano i bilanciatori del carico NSX-T integrati.
Note sulla configurazione
Il seguente diagramma mostra le risorse necessarie per fornire la connettività di rete per i carichi di lavoro VMware Engine:
La Figura 2 mostra le attività che devi completare per configurare le risorse in questa architettura. Di seguito è riportata una descrizione di ogni attività, incluso un link a un documento che fornisce ulteriori informazioni e istruzioni dettagliate.
Crea le reti VPC esterne e interne e le subnet seguendo le istruzioni riportate in Creazione di una rete VPC in modalità personalizzata.
- Per ogni subnet, scegli un intervallo di indirizzi IP univoco nelle reti VPC.
- La rete VPC di gestione mostrata nel diagramma dell'architettura è facoltativa. Se necessario, puoi utilizzarlo per ospitare le interfacce NIC di gestione per le appliance di rete.
Esegui il deployment delle appliance di rete richieste da Cloud Marketplace.
Per l'alta disponibilità delle appliance di rete, esegui il deployment di ogni appliance in una coppia di VM distribuite in due zone.
Puoi eseguire il deployment degli appliance di rete in gruppi di istanze. I gruppi di istanze possono essere gruppi di istanze gestite (MIG) o non gestite, a seconda dei requisiti di gestione o di assistenza del fornitore.
Esegui il provisioning delle interfacce di rete come segue:
nic0nella rete VPC esterna per instradare il traffico verso l'origine pubblica.nic1per le operazioni di gestione, se richiesto dal fornitore dell'appliance.nic2nella rete VPC interna per la comunicazione interna con le risorse VMware Engine.
Il deployment delle interfacce di rete in reti VPC separate consente di garantire la separazione delle zone di sicurezza a livello di interfaccia per le connessioni pubbliche e on-premise.
Configura VMware Engine:
- Crea un cloud privato VMware Engine.
- Crea un segmento di rete per le VM VMware Engine.
Utilizza l'accesso privato ai servizi per configurare il peering di rete VPC e connettere la rete VPC interna alla rete VPC gestita da VMware Engine.
Se hai bisogno di una connettività ibrida alla tua rete on-premise, utilizza Cloud VPN o Cloud Interconnect.
Puoi estendere l'architettura nella figura 2 per i seguenti casi d'uso:
| Caso d'uso | Prodotti e servizi utilizzati |
|---|---|
| NGFW per carichi di lavoro VMware Engine esposti al pubblico |
|
| NGFW, mitigazione DDoS, offload SSL e Content Delivery Network (CDN) per i carichi di lavoro VMware Engine rivolti al pubblico |
|
| NGFW per la comunicazione privata tra i carichi di lavoro VMware Engine e i data center on-premise o altri cloud provider |
|
| Punti di uscita centralizzati a internet per i carichi di lavoro VMware Engine |
|
Le sezioni seguenti descrivono questi casi d'uso e forniscono una panoramica delle attività di configurazione per implementare i casi d'uso.
NGFW per i carichi di lavoro rivolti al pubblico
Questo caso d'uso presenta i seguenti requisiti:
- Un'architettura ibrida costituita da istanze VMware Engine e Compute Engine, con un bilanciatore del carico L4 come frontend comune.
- Protezione dei carichi di lavoro pubblici di VMware Engine utilizzando una soluzione IPS/IDS, NGFW, DPI o NAT.
- Più indirizzi IP pubblici di quelli supportati dal servizio di indirizzi IP pubblici di VMware Engine.
Il seguente diagramma mostra le risorse necessarie per eseguire il provisioning di un NGFW per i carichi di lavoro VMware Engine rivolti al pubblico:
La figura 3 mostra le attività che devi completare per configurare le risorse in questa architettura. Di seguito è riportata una descrizione di ogni attività, incluso un link a un documento che fornisce ulteriori informazioni e istruzioni dettagliate.
Esegui il provisioning di un bilanciatore del carico di rete passthrough esterno nella rete VPC esterna come punto di ingresso pubblico per i carichi di lavoro VMware Engine.
- Crea più regole di inoltro per supportare più carichi di lavoro VMware Engine.
- Configura ogni regola di forwarding con un indirizzo IP univoco e un numero di porta TCP o UDP.
- Configura le appliance di rete come backend per il bilanciatore del carico.
Configura le appliance di rete per eseguire la NAT di destinazione (DNAT) per l'indirizzo IP pubblico della regola di forwarding agli indirizzi IP interni delle VM che ospitano le applicazioni rivolte al pubblico in VMware Engine.
- Gli appliance di rete devono eseguire la NAT (Source Network Address Translation) per il traffico dall'interfaccia
nic2per garantire un percorso di ritorno simmetrico. - Le appliance di rete devono anche instradare il traffico destinato alle reti VMware Engine tramite l'interfaccia
nic2al gateway della subnet (il primo indirizzo IP della subnet). - Affinché i controlli di integrità vengano superati, gli appliance di rete devono utilizzare interfacce secondarie o di loopback per rispondere agli indirizzi IP delle regole di forwarding.
- Gli appliance di rete devono eseguire la NAT (Source Network Address Translation) per il traffico dall'interfaccia
Configura la tabella di routing della rete VPC interna per inoltrare il traffico VMware Engine al peering di rete VPC come hop successivo.
In questa configurazione, le VM VMware Engine utilizzano il servizio di gateway internet di VMware Engine per l'uscita verso le risorse internet. Tuttavia, l'ingresso è gestito dagli appliance di rete per gli indirizzi IP pubblici mappati alle VM.
NGFW, mitigazione degli attacchi DDoS, offload SSL e CDN
Questo caso d'uso presenta i seguenti requisiti:
- Un'architettura ibrida composta da istanze VMware Engine e Compute Engine, con un bilanciatore del carico L7 come frontend comune e mappatura URL per indirizzare il traffico al backend appropriato.
- Protezione dei carichi di lavoro pubblici di VMware Engine utilizzando una soluzione IPS/IDS, NGFW, DPI o NAT.
- Mitigazione degli attacchi DDoS di livello 3-7 per i carichi di lavoro VMware Engine pubblici utilizzando Google Cloud Armor.
- Terminazione SSL utilizzando certificati SSL gestiti da Google, o norme SSL per controllare le versioni e le cifrature SSL utilizzate per le connessioni HTTPS o SSL ai carichi di lavoro VMware Engine esposti al pubblico.
- Distribuzione di rete accelerata per i carichi di lavoro VMware Engine utilizzando Cloud CDN per distribuire i contenuti da località vicine agli utenti.
Il seguente diagramma mostra le risorse necessarie per il provisioning della funzionalità NGFW, della mitigazione DDoS, dell'offload SSL e della CDN per i carichi di lavoro VMware Engine esposti al pubblico:
La figura 4 mostra le attività che devi completare per configurare le risorse in questa architettura. Di seguito è riportata una descrizione di ogni attività, incluso un link a un documento che fornisce ulteriori informazioni e istruzioni dettagliate.
Esegui il provisioning di un bilanciatore del carico delle applicazioni esterno globale nella rete VPC esterna come punto di ingresso pubblico per i carichi di lavoro VMware Engine.
- Crea più regole di inoltro per supportare più carichi di lavoro VMware Engine.
- Configura ogni regola di forwarding con un indirizzo IP pubblico univoco e impostala in modo che ascolti il traffico HTTP(S).
- Configura le appliance di rete come backend per il bilanciatore del carico.
Inoltre, puoi:
- Per proteggere le appliance di rete, configura le policy di sicurezza di Cloud Armor sul bilanciatore del carico.
- Per supportare il routing, il controllo di integrità e l'indirizzo IP anycast per le appliance di rete che fungono da backend CDN, configura Cloud CDN per i gruppi di istanze gestite che ospitano le appliance di rete.
- Per instradare le richieste a backend diversi, configura il mapping URL sul bilanciatore del carico. Ad esempio, indirizza le richieste a
/apialle VM di Compute Engine, le richieste a/imagesa un bucket Cloud Storage e le richieste a/apptramite le appliance di rete alle tue VM VMware Engine.
Configura ogni appliance di rete per eseguire la NAT di destinazione (DNAT) per l'indirizzo IP interno della relativa interfaccia
nic0agli indirizzi IP interni delle VM che ospitano le applicazioni rivolte al pubblico in VMware Engine.- Le appliance di rete devono eseguire SNAT per il traffico di origine
dall'interfaccia
nic2(indirizzo IP interno) per garantire un percorso di ritorno simmetrico. - Inoltre, le appliance di rete devono instradare il traffico destinato alle reti VMware Engine tramite l'interfaccia
nic2al gateway della subnet (il primo indirizzo IP della subnet).
Il passaggio DNAT è necessario perché il bilanciatore del carico è un servizio basato su proxy implementato su un servizio Google Front End (GFE). A seconda della posizione dei tuoi client, più GFE possono avviare connessioni HTTP(S) agli indirizzi IP interni delle appliance di rete di backend. I pacchetti dei GFE hanno indirizzi IP di origine dello stesso intervallo utilizzato per i probe di controllo di integrità (35.191.0.0/16 e 130.211.0.0/22), non gli indirizzi IP client originali. Il bilanciatore del carico aggiunge gli indirizzi IP client utilizzando l'intestazione
X-Forwarded-For.Affinché i controlli di integrità vengano superati, configura gli appliance di rete in modo che rispondano all'indirizzo IP della regola di forwarding utilizzando interfacce secondarie o di loopback.
- Le appliance di rete devono eseguire SNAT per il traffico di origine
dall'interfaccia
Configura la tabella di routing della rete VPC interna per inoltrare il traffico VMware Engine al peering di rete VPC.
In questa configurazione, le VM VMware Engine utilizzano il servizio gateway internet di VMware Engine per l'uscita a internet. Tuttavia, l'ingresso è gestito dalle appliance di rete per gli indirizzi IP pubblici delle VM.
NGFW per la connettività privata
Questo caso d'uso presenta i seguenti requisiti:
- Un'architettura ibrida costituita da istanze VMware Engine e Compute Engine, con un bilanciatore del carico L4 come frontend comune.
- Protezione dei carichi di lavoro VMware Engine privati utilizzando una soluzione IPS/IDS, NGFW, DPI o NAT.
- Cloud Interconnect o Cloud VPN per la connettività con la rete on-premise.
Il seguente diagramma mostra le risorse necessarie per eseguire il provisioning di un NGFW per la connettività privata tra i tuoi workload VMware Engine e le reti on-premise o altri provider cloud:
La figura 5 mostra le attività che devi completare per configurare le risorse in questa architettura. Di seguito è riportata una descrizione di ogni attività, incluso un link a un documento che fornisce ulteriori informazioni e istruzioni dettagliate.
Esegui il provisioning di un bilanciatore del carico di rete passthrough interno nella rete VPC esterna, con una singola regola di forwarding per ascoltare tutto il traffico. Configura le appliance di rete come backend per il bilanciatore del carico.
Configura la tabella di routing della rete VPC esterna in modo che punti alla regola di forwarding come hop successivo per il traffico destinato alle reti VMware Engine.
Configura gli appliance di rete nel seguente modo:
- Instrada il traffico destinato alle reti VMware Engine tramite
l'interfaccia
nic2al gateway della subnet (il primo indirizzo IP della subnet). - Affinché i controlli di integrità vengano superati, configura gli appliance di rete in modo che rispondano all'indirizzo IP della regola di forwarding utilizzando interfacce secondarie o di loopback.
- Affinché i controlli di integrità vengano superati per i bilanciatori del carico interni, configura
più domini di routing virtuali per garantire il routing corretto. Questo passaggio è
necessario per consentire all'interfaccia
nic2di restituire il traffico di controllo di integrità proveniente dagli intervalli pubblici (35.191.0.0/16 e 130.211.0.0/22), mentre la route predefinita delle appliance di rete punta all'interfaccianic0. Per ulteriori informazioni sugli intervalli IP per i controlli di integrità del bilanciatore del carico, consulta Intervalli IP dei probe e regole firewall.
- Instrada il traffico destinato alle reti VMware Engine tramite
l'interfaccia
Configura la tabella di routing della rete VPC interna per inoltrare il traffico VMware Engine al peering di rete VPC come hop successivo.
Per il traffico restituito o per il traffico avviato da VMware Engine a reti remote, configura il bilanciatore del carico di rete passthrough interno come hop successivo pubblicizzato tramite il peering di rete VPC alla rete VPC di accesso ai servizi privati.
Traffico in uscita centralizzato verso internet
Questo caso d'uso presenta i seguenti requisiti:
- Filtro URL, logging e applicazione del traffico centralizzati per l'uscita da internet.
- Protezione personalizzata per i carichi di lavoro di VMware Engine utilizzando appliance di rete da Cloud Marketplace.
Il seguente diagramma mostra le risorse necessarie per il provisioning dei punti di uscita centralizzati dai carichi di lavoro VMware Engine a internet:
La Figura 6 mostra le attività che devi completare per configurare le risorse in questa architettura. Di seguito è riportata una descrizione di ogni attività, incluso un link a un documento che fornisce ulteriori informazioni e istruzioni dettagliate.
Esegui il provisioning di un bilanciatore del carico di rete passthrough interno nella rete VPC interna come punto di ingresso di uscita per i carichi di lavoro VMware Engine.
- Crea una singola regola di forwarding per ascoltare tutto il traffico.
- Configura le appliance di rete come backend per il bilanciatore del carico.
Configura le appliance di rete per eseguire SNAT del traffico dai relativi indirizzi IP pubblici (
nic0). Affinché i controlli di integrità vengano superati, le appliance di rete devono rispondere all'indirizzo IP della regola di forwarding utilizzando interfacce secondarie o di loopback.Configura la rete VPC interna per annunciare una route predefinita tramite il peering di rete VPC alla rete VPC di accesso ai servizi privati, con la regola di forwarding del bilanciatore del carico interno come hop successivo.
Per consentire al traffico di uscire tramite gli appliance di rete anziché il gateway internet, utilizza la stessa procedura che useresti per attivare il routing del traffico internet tramite una connessione on-premise.
Passaggi successivi
- Scopri di più su VMware Engine.
- Esamina le best practice per la progettazione della rete VPC.
- Scopri di più sul networking VMware Engine.
- Scopri di più su Cloud Load Balancing.
- Esplora Cloud Marketplace.