L'integrazione in banda di Network Security Integration ti consente di inserire i tuoi dispositivi di sicurezza di rete, come firewall o sistemi di rilevamento delle intrusioni, direttamente nel percorso del traffico di rete per l'ispezione. Puoi utilizzare questi dispositivi di rete per ispezionare il traffico alla ricerca di eventuali minacce identificate prima che il traffico raggiunga la sua destinazione.
L'integrazione della sicurezza di rete offre un'integrazione in banda utilizzando le tecnologie Cloud Next Generation Firewall e Packet Intercept, fornendo un approccio incentrato sui servizi alle pipeline di elaborazione dei pacchetti. L'intercettazione dei pacchetti è una funzionalità Google Cloud che consente di inserire dispositivi di rete nel percorso del traffico di rete senza modificare le policy di routing esistenti.
L'elaborazione dei pacchetti avviene prima che i pacchetti in uscita vengano instradati e dopo che i pacchetti instradati in entrata vengono ricevuti. L'integrazione in banda utilizza l'incapsulamento Generic Network Virtualization Encapsulation (GENEVE) per trasportare in modo sicuro i pacchetti tra le macchine virtuali (VM) di invio o ricezione e le VM di elaborazione dei pacchetti (le appliance di rete).
Vantaggi dell'integrazione in banda
L'integrazione in banda offre i seguenti vantaggi:
- Scalabilità: esegue il deployment di VM di elaborazione dei pacchetti che fungono da firewall, sistemi di rilevamento delle intrusioni o appliance di rete basati su VM. Puoi scalare le VM di elaborazione dei pacchetti per soddisfare le tue esigenze.
- Encapsulamento Geneve: conserva il pacchetto originale, inclusi gli indirizzi IP di origine e di destinazione, durante il trasporto tra una VM di invio o ricezione e le VM di elaborazione dei pacchetti per l'ispezione. Per maggiori informazioni su GENEVE, consulta RFC GENEVE.
- Tecnologia Cloud NGFW: configura l'ispezione dei pacchetti utilizzando regole in entrata o in uscita nelle policy firewall gerarchiche o nelle policy firewall di rete globali con l'azione
apply_security_profile_group. In questo modo viene rimossa la dipendenza dalle route in una rete VPC. Per saperne di più, consulta Come funziona l'integrazione in banda.
Modello di producer e consumer
L'integrazione in banda utilizza un modello produttore-consumatore con la seguente configurazione:
- I produttori di servizi forniscono un insieme scalabile di VM di ispezione dei pacchetti.
- I consumer di servizi utilizzano le regole firewall nelle policy firewall gerarchiche o nelle policy firewall di rete globali per specificare il traffico da ispezionare.
Producer di servizi
Un producer di servizi offre servizi di ispezione dei pacchetti tramite VM. Le VM possono essere appliance di rete o istanze che eseguono una soluzione software personalizzata. Il produttore è responsabile della configurazione, dello scaling e della manutenzione delle VM.
Un producer di servizi esegue il deployment e gestisce i bilanciatori del carico di rete passthrough interni che utilizzano le VM di backend per i servizi di ispezione dei pacchetti. Il produttore mette a disposizione i servizi di ispezione dei pacchetti ai consumatori tramite implementazioni di intercettazione zonale, raggruppate in gruppi di implementazione di intercettazione globale. Per saperne di più, consulta Configurare i servizi di produzione.
Un producer di servizi utilizza i seguenti componenti chiave per offrire servizi di ispezione dei pacchetti:
Istanze VM: ospita un'appliance di rete o una soluzione software personalizzata. Il produttore è responsabile della configurazione, dello scaling e della manutenzione delle VM. Il produttore può utilizzare gruppi di istanze gestite o non gestite di zona per ospitare le VM di ispezione dei pacchetti.
Bilanciatore del carico di rete passthrough interno: distribuisce il traffico alle VM di ispezione dei pacchetti di backend. La regola di forwarding del bilanciatore del carico funge da punto di ingresso per il traffico che deve essere ispezionato.
Intercetta il deployment: una risorsa di zona che fa riferimento alla regola di forwarding del bilanciatore del carico di rete passthrough interno. Il deployment di intercettazione rappresenta l'offerta del servizio di ispezione del producer per la zona.
Gruppo di deployment di intercettazione: una risorsa globale che contiene più deployment di intercettazione a livello di zona.
Consumatore servizi
Un consumer di servizi utilizza i servizi di ispezione dei pacchetti offerti da un producer di servizi.
In ogni zona di una rete VPC, un consumer di servizi può scegliere i servizi di ispezione dei pacchetti offerti da un producer o configurare un endpoint firewall da utilizzare con Cloud Next Generation Firewall Enterprise. Gli endpoint firewall e i servizi di ispezione dei pacchetti che utilizzano l'integrazione in banda si escludono a vicenda. Per saperne di più, consulta Configurare i servizi consumer.
Un consumer di servizi utilizza i seguenti componenti chiave per inviare traffico ai servizi di ispezione dei pacchetti di un produttore:
Gruppo di endpoint di intercettazione: una risorsa globale per progetto che fa riferimento al gruppo di deployment di intercettazione del producer di servizi.
Il gruppo di endpoint di intercettazione esprime l'intenzione del consumer di utilizzare i servizi di ispezione dei pacchetti offerti da un gruppo di deployment di intercettazione di un producer di servizi in una o più zone della rete VPC del consumer.
Associazione di gruppi di endpoint di intercettazione: una risorsa globale per progetto che collega logicamente un gruppo di endpoint di intercettazione a una o più reti VPC consumer.
Regole firewall: regole dei criteri firewall gerarchici o dei criteri firewall di rete globali che indirizzano il traffico alle VM di ispezione dei pacchetti.
Profilo di sicurezza: una risorsa globale per organizzazione che fa riferimento a un gruppo di endpoint di intercettazione.
Gruppo di profili di sicurezza: una risorsa globale per organizzazione che fa riferimento a un profilo di sicurezza. Le regole di un criterio firewall fanno riferimento al gruppo di profili di sicurezza e utilizzano l'azione
apply_security_profile_groupper inviare pacchetti a un servizio di ispezione dei pacchetti del produttore.
Le regole firewall di intercettazione sono stateful. Quando una nuova sessione corrisponde a una regola, tutti i pacchetti in entrata e in uscita successivi associati a quella sessione vengono intercettati e incapsulati con il gruppo di profili di sicurezza appropriato nell'intestazione GENEVE.
Modello di deployment dell'integrazione in banda
L'integrazione in banda si basa su un modello producer-consumer.
La figura 1 mostra l'architettura di deployment di alto livello del servizio di integrazione in banda.
Il diagramma mostra la seguente configurazione produttore-consumatore:
producer-project1è un progetto di producer di servizi che contiene una rete VPC,producer-vpc. La rete è configurata con la seguente configurazione:- Il producer di servizi fornisce servizi di ispezione dei pacchetti nelle zone
us-west1-aeus-west1-b. - Ogni zona ha un insieme di VM di ispezione dei pacchetti, un bilanciatore del carico di rete passthrough interno e un deployment di intercettazione.
- I servizi di ispezione dei pacchetti del producer di servizi sono raggruppati in un unico gruppo di deployment di intercettazione.
- Il producer di servizi fornisce servizi di ispezione dei pacchetti nelle zone
consumer-project1è un progetto consumer di servizi che contiene due reti VPC,consumer-vpc1econsumer-vpc2. Entrambe le reti sono configurate per utilizzare il servizio di intercettazione dei pacchetti del produttore con la seguente configurazione:L'ordine di valutazione dei criteri firewall e delle regole di ogni rete è impostato su
BEFORE_CLASSIC_FIREWALL.Ogni rete ha la propria associazione di gruppi di endpoint di intercettazione che fa riferimento a un gruppo di endpoint di intercettazione comune. Nel diagramma, il gruppo di endpoint di intercettazione comune si trova nel progetto consumer
consumer-project2. Il gruppo di endpoint di intercettazione esprime l'intenzione del consumer di utilizzare il gruppo di deployment di intercettazione del producer.Nell'organizzazione del consumatore, il cliente ha creato un gruppo di profili di sicurezza contenente un profilo di sicurezza. Il profilo di sicurezza fa riferimento allo stesso gruppo di endpoint di intercettazione associato alle reti VPC
consumer-vpc1econsumer-vpc2.Per indirizzare i pacchetti ai servizi di ispezione dei pacchetti del produttore, il consumer utilizza regole in entrata o in uscita in una policy firewall.
Come funziona l'integrazione in banda
Nell'integrazione in banda, un pacchetto nel traffico di un consumatore viene intercettato quando
corrisponde a una regola firewall che utilizza l'azione apply_security_profile_group.
I pacchetti che corrispondono alla regola firewall vengono inviati al bilanciatore del carico di rete passthrough interno nella rete VPC del producer di servizi.
Requisiti per l'ispezione dei pacchetti
Affinché una regola firewall intercetti correttamente il traffico dei consumatori, devono essere soddisfatte le seguenti condizioni:
- La regola firewall che utilizza l'azione
apply_security_profile_groupdeve appartenere a una policy firewall gerarchica o a una policy firewall di rete globale associata a una rete VPC consumer. - L'associazione di gruppi di endpoint di intercettazione del consumer deve associare la rete VPC del consumer al gruppo di endpoint di intercettazione corretto.
Il gruppo di profili di sicurezza della regola firewall deve contenere il profilo di sicurezza che fa riferimento al gruppo di endpoint di intercettazione corretto.
I pacchetti non vengono intercettati se il gruppo di endpoint di intercettazione a cui fa riferimento il profilo di sicurezza della regola firewall non corrisponde al gruppo di endpoint di intercettazione associato alla rete VPC.
Flusso di pacchetti
Quando un pacchetto corrisponde a una regola firewall che soddisfa i requisiti per l'ispezione dei pacchetti, Google Cloud elabora il pacchetto nel seguente modo:
Intercetta il pacchetto nella zona della rete VPC consumer.
Google Cloud intercetta i pacchetti in base alla direzione del traffico:
Traffico in uscita (pacchetti inviati da una VM): i pacchetti che corrispondono a una regola firewall in uscita per l'ispezione dei pacchetti vengono intercettati prima dell'instradamento.
Se a una VM è assegnato un indirizzo IPv4 esterno alla sua NIC o se una NIC VM utilizza un gateway Cloud NAT, Google Cloud modifica l'indirizzo IPv4 di origine del pacchetto dopo l'elaborazione delle regole firewall di uscita e l'ispezione dei pacchetti, ma prima di instradare il pacchetto in uscita.
Traffico in entrata (pacchetti ricevuti da una VM): i pacchetti che corrispondono a una regola firewall in entrata per l'ispezione dei pacchetti vengono intercettati dopo l'instradamento del pacchetto.
Se a una VM è assegnato un indirizzo IPv4 esterno alla sua NIC o se una NIC VM utilizza un gateway Cloud NAT,Google Cloud modifica l'indirizzo IPv4 di destinazione del pacchetto dopo aver ricevuto il pacchetto in entrata instradato, ma prima di elaborare le regole firewall in entrata e l'ispezione dei pacchetti.
Incapsula il pacchetto.
Durante la fase di elaborazione del firewall, il pacchetto in uscita o in entrata originale viene incapsulato utilizzando il protocollo GENEVE. Questa incapsulamento conserva gli indirizzi IP di origine e di destinazione del pacchetto originale all'interno del payload del pacchetto GENEVE.
Invia il pacchetto incapsulato al producer di servizi.
Il pacchetto incapsulato viene inviato a una VM di backend di un bilanciatore del carico di rete passthrough interno nella rete VPC del producer di servizi. Il bilanciatore del carico specifico viene selezionato in base alla zona della VM il cui traffico è stato intercettato e alla configurazione del gruppo di deployment di intercettazione a cui faceva riferimento il gruppo di endpoint di intercettazione.
Elabora il pacchetto.
Le VM di backend del produttore ricevono i pacchetti incapsulati GENEVE sulla porta
UDP6081. Ogni VM di elaborazione dei pacchetti dispone di un software che comprende come estrarre il pacchetto originale dal pacchetto GENEVE.Il software di ispezione sulle VM estrae il pacchetto originale, lo ispeziona e, se il traffico è consentito, lo reincapsula utilizzando GENEVE senza alterare gli indirizzi IP, i protocolli e le porte del pacchetto originale.
Restituisci il pacchetto.
La VM di elaborazione dei pacchetti invia il pacchetto ricapsulato alla rete consumer utilizzando il ritorno diretto del server (DSR). In questo processo, il traffico di risposta va direttamente dall'appliance di rete al client, bypassando il bilanciatore del carico per migliorare l'efficienza. Per saperne di più, consulta Come funzionano i bilanciatori del carico di rete passthrough interni.
Limitazioni
- Quando i pacchetti di rete corrispondono a una regola di intercettazione, Compute Engine li elabora a una velocità inferiore. La velocità di elaborazione dei pacchetti dipende dal tipo di macchina, dalle dimensioni dei pacchetti e dall'utilizzo della CPU ed è simile alle velocità di uscita verso destinazioni esterne a una rete VPC.
- Le policy firewall di rete regionali non supportano l'intercettazione dei pacchetti.
- I deployment di intercettazione del produttore non supportano le istanze con NIC dinamiche come backend.
Le sessioni TCP intercettate devono iniziare con un pacchetto SYN, consentendo all'appliance di intercettazione di osservare l'intera sessione. Per le connessioni sconosciute, l'appliance elimina tutti i pacchetti non SYN prima dell'intercettazione.
Un pacchetto SYN è il primo pacchetto che avvia una nuova connessione TCP. Un pacchetto non SYN è qualsiasi altro pacchetto all'interno della connessione. Se i tuoi pattern di traffico includono iniziatori non SYN o routing suddiviso, contatta l'assistenza cloud per ricevere consigli.