Visão geral da integração na banda

A integração na banda da segurança de rede permite inserir seus próprios dispositivos de segurança de rede, como firewalls ou sistemas de detecção de intrusões, diretamente no caminho do tráfego de rede para inspeção. É possível usar esses dispositivos de rede para inspecionar o tráfego em busca de ameaças identificadas antes que ele chegue ao destino.

A integração de segurança de rede oferece integração na banda usando o Cloud Next Generation Firewall e tecnologias de interceptação de pacotes, fornecendo uma abordagem centrada em serviços para pipelines de processamento de pacotes. A interceptação de pacotes é um recurso do Google Cloud que permite inserir dispositivos de rede no caminho do tráfego de rede sem modificar as políticas de roteamento atuais.

O processamento de pacotes ocorre antes do roteamento dos pacotes de saída e depois do recebimento dos pacotes de entrada roteados. A integração no mesmo canal usa o encapsulamento de virtualização de rede genérica (GENEVE) para transportar pacotes com segurança entre as máquinas virtuais (VMs) de envio ou recebimento e as VMs de processamento de pacotes (seus dispositivos de rede).

Benefícios da integração na banda

A integração no canal oferece os seguintes benefícios:

• Escalonabilidade: implanta VMs de processamento de pacotes que funcionam como firewalls, sistemas de detecção de intrusões ou dispositivos de rede baseados em VM. É possível escalonar as VMs de processamento de pacotes para atender às suas necessidades.
• Encapsulamento Geneve: preserva o pacote original, incluindo os endereços IP de origem e destino, à medida que ele é transportado entre uma VM de envio ou recebimento e as VMs de processamento de pacotes para inspeção. Para mais informações sobre o GENEVE, consulte a RFC do GENEVE (em inglês).
• Tecnologia do Cloud NGFW: configura a inspeção de pacotes usando regras de entrada ou saída em políticas hierárquicas de firewall ou políticas globais de firewall de rede com a ação apply_security_profile_group. Isso remove a dependência de rotas em uma rede VPC. Para mais informações, consulte Como funciona a integração no canal.

Modelo de produtor e consumidor

A integração no mesmo canal usa um modelo produtor-consumidor com a seguinte configuração:

• Os produtores de serviços oferecem um conjunto escalonável de VMs de inspeção de pacotes.
• Os consumidores de serviços usam regras de firewall em políticas hierárquicas de firewall ou políticas de firewall de rede globais para especificar qual tráfego inspecionar.

Produtor de serviço

Um produtor de serviços oferece serviços de inspeção de pacotes por meio de VMs. As VMs podem ser dispositivos de rede ou instâncias que executam uma solução de software personalizada. O produtor é responsável por configurar, escalonar e manter as VMs.

Um produtor de serviços implanta e gerencia balanceadores de carga de rede de passagem interna que usam VMs de back-end para serviços de inspeção de pacotes. O produtor disponibiliza os serviços de inspeção de pacotes para os consumidores por meio de implantações de interceptação zonal, que são agrupadas em grupos de implantação de interceptação global. Para mais informações, consulte Configurar serviços de produtor.

Um produtor de serviços usa os seguintes componentes principais para oferecer serviços de inspeção de pacotes:

• Instâncias de VM: hospedam um dispositivo de rede ou uma solução de software personalizada. O produtor é responsável por configurar, escalonar e manter as VMs. O produtor pode usar grupos de instâncias não gerenciadas ou gerenciadas por zona para hospedar as VMs de inspeção de pacotes.

• Balanceador de carga de rede de passagem interna: distribui o tráfego para VMs de inspeção de pacotes de back-end. A regra de encaminhamento do balanceador de carga atua como o ponto de entrada para o tráfego que precisa de inspeção.

• Intercept deployment: um recurso zonal que faz referência à regra de encaminhamento do balanceador de carga de rede de passagem interna. A implantação de interceptação representa o serviço de inspeção do produtor para a zona.

• Grupo de implantação de interceptação: um recurso global que contém várias implantações de interceptação zonais.

Consumidor de serviço

Um consumidor de serviços usa os serviços de inspeção de pacotes oferecidos por um produtor de serviços.

Em cada zona de uma rede VPC, um consumidor de serviços pode escolher os serviços de inspeção de pacotes oferecidos por um produtor ou configurar um endpoint de firewall para usar com o Cloud Next Generation Firewall Enterprise. Os endpoints de firewall e os serviços de inspeção de pacotes que usam a integração no canal são mutuamente exclusivos. Para mais informações, consulte Configurar serviços de consumo.

Um consumidor de serviços usa os seguintes componentes principais para enviar tráfego aos serviços de inspeção de pacotes de um produtor:

• Grupo de endpoints de interceptação: um recurso global por projeto que faz referência ao grupo de implantação de interceptação do produtor de serviços.

  O grupo de endpoints de interceptação expressa a intenção do consumidor de usar serviços de inspeção de pacotes oferecidos por um grupo de implantação de interceptação de um produtor de serviços em uma ou mais zonas da rede VPC do consumidor.

• Associação de grupo de endpoints de interceptação: um recurso global por projeto que conecta logicamente um grupo de endpoints de interceptação a uma ou mais redes VPC do consumidor.

• Regras de firewall: regras de política hierárquica de firewall ou de política global de firewall de rede que direcionam o tráfego para VMs de inspeção de pacotes.

• Perfil de segurança: um recurso global por organização que faz referência a um grupo de endpoints de interceptação.

• Grupo de perfis de segurança: um recurso global por organização que faz referência a um perfil de segurança. As regras em uma política de firewall fazem referência ao grupo de perfis de segurança e usam a ação apply_security_profile_group para enviar pacotes ao serviço de inspeção de pacotes de um produtor.

As regras de firewall de interceptação têm estado. Quando uma nova sessão corresponde a uma regra, todos os pacotes de entrada e saída subsequentes associados a essa sessão são interceptados e encapsulados com o grupo de perfis de segurança apropriado no cabeçalho GENEVE.

Modelo de implantação de integração na banda

A integração no mesmo canal é baseada em um modelo produtor-consumidor.

A Figura 1 mostra a arquitetura de implantação de alto nível do serviço de integração no mesmo canal.

O diagrama mostra a seguinte configuração de produtor-consumidor:

• O producer-project1 é um projeto de produtor de serviços que contém uma rede VPC, producer-vpc. A rede é configurada com a seguinte configuração:

  • O produtor de serviços oferece serviços de inspeção de pacotes nas zonas us-west1-a e us-west1-b.
  • Cada zona tem um conjunto de VMs de inspeção de pacotes, um balanceador de carga de rede de passagem interna e uma implantação de interceptação.
  • Os serviços de inspeção de pacotes do produtor de serviços são agrupados em um único grupo de implantação de interceptação.

• O consumer-project1 é um projeto consumidor de serviços que contém duas redes VPC, consumer-vpc1 e consumer-vpc2. As duas redes estão configuradas para usar o serviço de interceptação de pacotes do produtor com a seguinte configuração:

  • A ordem de avaliação de regras e políticas de firewall de cada rede é definida como BEFORE_CLASSIC_FIREWALL.

  • Cada rede tem sua própria associação de grupo de endpoints de interceptação que faz referência a um grupo de endpoints de interceptação comum. No diagrama, o grupo de endpoints de interceptação comum está no projeto consumidor consumer-project2. O grupo de endpoints de interceptação expressa a intenção do consumidor de usar o grupo de implantação de interceptação do produtor.

  • Na organização do consumidor, o cliente criou um grupo de perfis de segurança com um perfil de segurança. O perfil de segurança faz referência ao mesmo grupo de endpoints de interceptação associado às redes VPC consumer-vpc1 e consumer-vpc2.

  • Para direcionar pacotes aos serviços de inspeção de pacotes do produtor, o consumidor usa regras de entrada ou saída em uma política de firewall.

Como funciona a integração na banda

Na integração em banda, um pacote no tráfego de um consumidor é interceptado quando ele corresponde a uma regra de firewall que usa a ação apply_security_profile_group. Os pacotes que correspondem à regra de firewall são enviados ao balanceador de carga de rede de passagem interna na rede VPC do produtor de serviços.

Requisitos para inspeção de pacotes

Para que uma regra de firewall intercepte o tráfego do consumidor, as seguintes condições precisam ser atendidas:

• A regra de firewall que usa a ação apply_security_profile_group precisa pertencer a uma política hierárquica de firewall ou a uma política de firewall de rede global associada a uma rede VPC do consumidor.
• A associação de grupo de endpoints de interceptação do consumidor precisa associar a rede VPC do consumidor ao grupo de endpoints de interceptação correto.

• O grupo de perfis de segurança da regra de firewall precisa conter o perfil de segurança que faz referência ao grupo de endpoints de interceptação correto.

  Os pacotes não são interceptados se o grupo de endpoints de interceptação referenciado pelo perfil de segurança da regra de firewall não corresponder ao grupo de endpoints de interceptação associado à rede VPC.

Fluxo de pacotes

Quando um pacote corresponde a uma regra de firewall que atende aos requisitos para inspeção de pacotes, Google Cloud processa o pacote da seguinte maneira:

1. Interceptar o pacote na zona da rede VPC do consumidor.

   OGoogle Cloud intercepta pacotes com base na direção do tráfego:

   • Tráfego de saída (pacotes enviados de uma VM): os pacotes que correspondem a uma regra de firewall de saída para inspeção de pacotes são interceptados antes do encaminhamento.

     Se uma VM tiver um endereço IPv4 externo atribuído à placa de rede ou se uma placa de rede de VM usar um gateway do Cloud NAT, Google Cloud mudará o endereço IPv4 de origem do pacote após processar as regras de firewall de saída e a inspeção de pacotes, mas antes de rotear o pacote de saída.

   • Tráfego de entrada (pacotes recebidos por uma VM): os pacotes que correspondem a uma regra de firewall de entrada para inspeção de pacotes são interceptados depois que o pacote é encaminhado.

     Se uma VM tiver um endereço IPv4 externo atribuído à placa de rede ou se uma placa de rede da VM usar um gateway do Cloud NAT, oGoogle Cloud vai mudar o endereço IPv4 de destino do pacote depois de receber o pacote de entrada roteado, mas antes de processar as regras de firewall de entrada e a inspeção de pacotes.

2. Encapsule o pacote.

   Durante a etapa de processamento do firewall, o pacote de saída ou entrada original é encapsulado usando o protocolo GENEVE. Esse encapsulamento preserva os endereços IP de origem e destino do pacote original no payload do pacote GENEVE.

3. Envie o pacote encapsulado ao produtor de serviços.

   O pacote encapsulado é enviado para uma VM de back-end de um balanceador de carga de rede de passagem interna na rede VPC do produtor de serviços. O balanceador de carga específico é selecionado com base na zona da VM cujo tráfego foi interceptado e na configuração do grupo de implantação de interceptação referenciado pelo grupo de endpoints de interceptação.

4. Processe o pacote.

   As VMs de back-end do produtor recebem os pacotes encapsulados do GENEVE na porta UDP 6081. Cada VM de processamento de pacotes tem um software que entende como extrair o pacote original do pacote GENEVE.

   O software de inspeção nas VMs extrai o pacote original, inspeciona-o e, se o tráfego for permitido, reencapsula-o usando o GENEVE sem alterar os endereços IP, protocolos e portas do pacote original.

5. Retorne o pacote.

   A VM de processamento de pacotes envia o pacote reencapsulado de volta à rede do consumidor usando o retorno direto do servidor (DSR). Nesse processo, o tráfego de resposta vai diretamente do dispositivo de rede para o cliente, ignorando o balanceador de carga para melhorar a eficiência. Para mais informações, consulte Como funcionam os balanceadores de carga de rede de passagem interna.

Limitações

• Quando os pacotes de rede correspondem a uma regra de interceptação, o Compute Engine processa os pacotes a uma taxa mais lenta. A taxa de processamento de pacotes depende do tipo de máquina, do tamanho do pacote e da utilização da CPU, sendo semelhante às taxas de saída para destinos fora de uma rede VPC.
• As políticas de firewall da rede regional não são compatíveis com a interceptação de pacotes.
• As implantações de interceptação do produtor não são compatíveis com instâncias com NICs dinâmicas como back-ends.

• As sessões TCP interceptadas precisam começar com um pacote SYN, permitindo que o dispositivo de interceptação observe a sessão completa. Para conexões desconhecidas, o appliance descarta todos os pacotes não SYN antes da interceptação.

  Um pacote SYN é o primeiro pacote que inicia uma nova conexão TCP. Um pacote não SYN é qualquer outro pacote dentro dessa conexão. Se seus padrões de tráfego incluírem iniciadores não SYN ou roteamento dividido, entre em contato com o suporte do Cloud para receber orientações.

A seguir

• Configurar serviços de produtor
• Configurar serviços ao consumidor