La integración en banda de la integración de seguridad de red te permite insertar tus propios dispositivos de seguridad de red, como firewalls o sistemas de detección de intrusiones, directamente en la ruta de tráfico de red para su inspección. Puedes usar estos dispositivos de red para inspeccionar el tráfico en busca de amenazas identificadas antes de que el tráfico llegue a su destino.
La integración de seguridad de red ofrece integración en banda con las tecnologías de Cloud Next Generation Firewall y de interceptación de paquetes, lo que proporciona un enfoque centrado en el servicio para las canalizaciones de procesamiento de paquetes. La interceptación de paquetes es una Google Cloud capacidad que te permite insertar dispositivos de red en la ruta del tráfico de red sin modificar ninguna política de enrutamiento existente.
El procesamiento de paquetes ocurre antes de que se enruten los paquetes salientes y después de que se reciben los paquetes entrantes enrutados. La integración dentro de la banda usa la encapsulación de encapsulación de virtualización de red genérica (GENEVE) para transportar paquetes de forma segura entre las máquinas virtuales (VM) de envío o recepción, y las VMs de procesamiento de paquetes (tus dispositivos de red).
Beneficios de la integración en banda
La integración dentro de la banda proporciona los siguientes beneficios:
- Escalabilidad: Implementa VMs de procesamiento de paquetes que funcionan como firewalls basados en VM, sistemas de detección de intrusiones o dispositivos de red. Puedes ajustar la escala de las VMs de procesamiento de paquetes para satisfacer tus necesidades.
- Encapsulación de Geneve: Conserva el paquete original, incluidas sus direcciones IP de origen y destino, a medida que el paquete se transporta entre una VM de envío o recepción, y las VMs de procesamiento de paquetes para su inspección. Para obtener más información sobre GENEVE, consulta el RFC de GENEVE.
- Tecnología de Cloud NGFW: Configura la inspección de paquetes con reglas de entrada o salida en políticas de firewall jerárquicas o políticas de firewall de red globales con la acción
apply_security_profile_group. Esto quita la dependencia de las rutas en una red de VPC. Para obtener más información, consulta Cómo funciona la integración dentro de la banda.
Modelo de productor y consumidor
La integración dentro de la banda usa un modelo de productor-consumidor con la siguiente configuración:
- Los productores de servicios proporcionan un conjunto escalable de VMs de inspección de paquetes.
- Los consumidores de servicios usan reglas de firewall en políticas de firewall jerárquicas o políticas de firewall de red globales para especificar qué tráfico inspeccionar.
Productor de servicios
Un productor de servicios ofrece servicios de inspección de paquetes a través de VMs. Las VMs pueden ser dispositivos de red o instancias que ejecutan una solución de software personalizada. El productor es responsable de configurar, escalar y mantener las VMs.
Un productor de servicios implementa y administra balanceadores de cargas de red de transferencia internos que usan VMs de backend para servicios de inspección de paquetes. El productor pone los servicios de inspección de paquetes a disposición de los consumidores a través de implementaciones de interceptación zonales, que se agrupan en grupos de implementación de interceptación globales. Para obtener más información, consulta Cómo configurar servicios de productores.
Un productor de servicios usa los siguientes componentes clave para ofrecer servicios de inspección de paquetes:
Instancias de VM: Alojan un dispositivo de red o una solución de software personalizada. El productor es responsable de configurar, escalar y mantener las VMs. El productor puede usar grupos de instancias administrados zonales o no administrados zonales para alojar las VMs de inspección de paquetes.
Balanceador de cargas de red de transferencia interno: Distribuye el tráfico a las VMs de backend para la inspección de paquetes. La regla de reenvío del balanceador de cargas actúa como punto de entrada para el tráfico que necesita inspección.
Intercept deployment: Es un recurso zonal que hace referencia a la regla de reenvío del balanceador de cargas de red de transferencia interno. La implementación de intercepción representa la oferta de servicio de inspección del productor para la zona.
Grupo de interceptación de implementación: Es un recurso global que contiene varias implementaciones de interceptación zonales.
Consumidor de servicios
Un consumidor de servicios usa los servicios de inspección de paquetes que ofrece un productor de servicios.
En cada zona de una red de VPC, un consumidor de servicios puede elegir los servicios de inspección de paquetes que ofrece un productor o configurar un endpoint de firewall para usar con Cloud Next Generation Firewall Enterprise. Los extremos de firewall y los servicios de inspección de paquetes que usan la integración dentro de la banda son mutuamente excluyentes. Para obtener más información, consulta Cómo configurar servicios de consumidor.
Un consumidor de servicios usa los siguientes componentes clave para enviar tráfico a los servicios de inspección de paquetes de un productor:
Grupo de extremos de intercepción: Es un recurso global por proyecto que hace referencia al grupo de implementación de intercepción del productor de servicios.
El grupo de extremos de interceptación expresa la intención del consumidor de usar los servicios de inspección de paquetes que ofrece un grupo de implementación de interceptación de un productor de servicios, en una o más zonas de la red de VPC del consumidor.
Asociación de grupo de extremos de interceptación: Es un recurso global por proyecto que conecta de forma lógica un grupo de extremos de interceptación a una o más redes de VPC del consumidor.
Reglas de firewall: Son reglas de políticas de firewall jerárquicas o de políticas de firewall de red globales que dirigen el tráfico a las VMs de inspección de paquetes.
Perfil de seguridad: Es un recurso global por organización que hace referencia a un grupo de extremos de interceptación.
Grupo de perfiles de seguridad: Es un recurso global por organización que hace referencia a un perfil de seguridad. Las reglas de una política de firewall hacen referencia al grupo de perfiles de seguridad y usan la acción
apply_security_profile_grouppara enviar paquetes al servicio de inspección de paquetes de un productor.
Las reglas de firewall de interceptación son con estado. Cuando una sesión nueva coincide con una regla, todos los paquetes de entrada y salida posteriores asociados a esa sesión se interceptan y encapsulan con el grupo de perfiles de seguridad adecuado en el encabezado de GENEVE.
Modelo de implementación de la integración en banda
La integración dentro de la banda se basa en un modelo de productor y consumidor.
En la figura 1, se muestra la arquitectura de implementación de alto nivel del servicio de integración dentro de la banda.
En el diagrama, se muestra la siguiente configuración de productor y consumidor:
producer-project1es un proyecto del productor de servicios que contiene una red de VPC,producer-vpc. La red se configura con los siguientes parámetros:- El productor de servicios proporciona servicios de inspección de paquetes en las zonas
us-west1-ayus-west1-b. - Cada zona tiene un conjunto de VMs de inspección de paquetes, un balanceador de cargas de red de transferencia interno y una implementación de interceptación.
- Los servicios de inspección de paquetes del productor de servicios se agrupan en un solo grupo de implementación de interceptación.
- El productor de servicios proporciona servicios de inspección de paquetes en las zonas
consumer-project1es un proyecto de consumidor de servicios que contiene dos redes de VPC,consumer-vpc1yconsumer-vpc2. Ambas redes están configuradas para usar el servicio de interceptación de paquetes del productor con la siguiente configuración:El orden de evaluación de políticas y reglas de firewall de cada red se establece en
BEFORE_CLASSIC_FIREWALL.Cada red tiene su propia asociación de grupo de extremos de interceptación que hace referencia a un grupo de extremos de interceptación común. En el diagrama, el grupo de extremos de interceptación común se encuentra en el proyecto del consumidor
consumer-project2. El grupo de extremos de intercepción expresa la intención del consumidor de usar el grupo de implementación de intercepción del productor.En la organización del consumidor, el cliente creó un grupo de perfiles de seguridad que contiene un perfil de seguridad. El perfil de seguridad hace referencia al mismo grupo de extremos de interceptación que está asociado con las redes de VPC
consumer-vpc1yconsumer-vpc2.Para dirigir los paquetes a los servicios de inspección de paquetes del productor, el consumidor usa reglas de entrada o salida en una política de firewall.
Cómo funciona la integración en banda
En la integración dentro de la banda, se intercepta un paquete en el tráfico de un consumidor cuando coincide con una regla de firewall que usa la acción apply_security_profile_group.
Los paquetes que coinciden con la regla de firewall se envían al balanceador de cargas de red de transferencia interno en la red de VPC del productor de servicios.
Requisitos para la inspección de paquetes
Para que una regla de firewall intercepte correctamente el tráfico de los consumidores, se deben cumplir las siguientes condiciones:
- La regla de firewall que usa la acción
apply_security_profile_groupdebe pertenecer a una política de firewall jerárquica o a una política de firewall de red global asociada a una red de VPC del consumidor. - La asociación del grupo de extremos de intercepción del consumidor debe asociar la red de VPC del consumidor con el grupo de extremos de intercepción correcto.
El grupo de perfiles de seguridad de la regla de firewall debe contener el perfil de seguridad que hace referencia al grupo de extremos de interceptación correcto.
Los paquetes no se interceptan si el grupo de extremos de interceptación al que hace referencia el perfil de seguridad de la regla de firewall no coincide con el grupo de extremos de interceptación asociado a la red de VPC.
Flujo de paquetes
Cuando un paquete coincide con una regla de firewall que cumple con los requisitos para la inspección de paquetes, Google Cloudprocesa el paquete de la siguiente manera:
Intercepta el paquete en la zona de la red de VPC del consumidor.
Google Cloud intercepta paquetes según la dirección del tráfico:
Tráfico de salida (paquetes enviados desde una VM): Los paquetes que coinciden con una regla de firewall de salida para la inspección de paquetes se interceptan antes de que se enruten.
Si una VM tiene una dirección IPv4 externa asignada a su NIC o si una NIC de VM usa una puerta de enlace de Cloud NAT, Google Cloud cambia la dirección IPv4 de origen del paquete después de procesar las reglas de firewall de salida y la inspección de paquetes, pero antes de enrutar el paquete saliente.
Tráfico de entrada (paquetes recibidos por una VM): Los paquetes que coinciden con una regla de firewall de entrada para la inspección de paquetes se interceptan después de que se enruta el paquete.
Si una VM tiene una dirección IPv4 externa asignada a su NIC o si la NIC de una VM usa una puerta de enlace de Cloud NAT,Google Cloud cambia la dirección IPv4 de destino del paquete después de recibir el paquete entrante enrutado, pero antes de procesar las reglas de firewall de entrada y la inspección de paquetes.
Encapsula el paquete.
Durante la etapa de procesamiento del firewall, el paquete original de entrada o salida se encapsula con el protocolo GENEVE. Esta encapsulación conserva las direcciones IP de origen y destino del paquete original dentro de la carga útil del paquete GENEVE.
Envía el paquete encapsulado al productor de servicios.
El paquete encapsulado se envía a una VM de backend de un balanceador de cargas de red de transferencia interno en la red de VPC del productor de servicios. El balanceador de cargas específico se selecciona en función de la zona de la VM cuyo tráfico se interceptó y la configuración del grupo de implementación de interceptación al que se hizo referencia en el grupo de extremos de interceptación.
Procesa el paquete.
Las VMs de backend del productor reciben los paquetes encapsulados de GENEVE en el puerto
UDP6081. Cada VM de procesamiento de paquetes tiene software que comprende cómo extraer el paquete original del paquete GENEVE.El software de inspección de las VMs extrae el paquete original, lo inspecciona y, si se permite el tráfico, lo vuelve a encapsular con GENEVE sin alterar las direcciones IP, los protocolos ni los puertos del paquete original.
Devuelve el paquete.
La VM de procesamiento de paquetes envía el paquete reencapsulado de vuelta a la red del consumidor a través del retorno directo del servidor (DSR). En este proceso, el tráfico de respuesta va directamente del dispositivo de red al cliente, lo que omite el balanceador de cargas para mejorar la eficiencia. Para obtener más información, consulta Cómo funcionan los balanceadores de cargas de red de transferencia internos.
Limitaciones
- Cuando los paquetes de red coinciden con alguna regla de intercepción, Compute Engine los procesa a una velocidad más lenta. La velocidad de procesamiento de paquetes depende del tipo de máquina, el tamaño del paquete y el uso de CPU, y es similar a las velocidades de salida a destinos fuera de una red de VPC.
- Las políticas de firewall de red regionales no admiten la interceptación de paquetes.
- Las implementaciones de interceptores de productores no admiten instancias con NIC dinámicas como back-ends.
Las sesiones de TCP interceptadas deben comenzar con un paquete SYN, lo que permite que el dispositivo de interceptación observe la sesión completa. En el caso de las conexiones desconocidas, el dispositivo descarta cualquier paquete que no sea SYN antes de la interceptación.
Un paquete SYN es el primer paquete que inicia una nueva conexión TCP. Un paquete que no es SYN es cualquier otro paquete dentro de esa conexión. Si tus patrones de tráfico incluyen iniciadores que no son SYN o enrutamiento dividido, comunícate con el equipo de asistencia al cliente de Cloud para obtener asesoramiento.