L'intégration de la sécurité réseau en bande vous permet d'insérer vos propres appliances de sécurité réseau, telles que des pare-feu ou des systèmes de détection des intrusions, directement dans le chemin du trafic réseau pour l'inspection. Vous pouvez utiliser ces appliances réseau pour inspecter le trafic et détecter les menaces identifiées avant qu'il n'atteigne sa destination.
L'intégration de la sécurité réseau offre une intégration intrabande à l'aide des technologies Cloud Next Generation Firewall et d'interception de paquets, ce qui permet une approche axée sur les services pour les pipelines de traitement des paquets. L'interception des paquets est une fonctionnalité Google Cloud qui vous permet d'insérer des appliances réseau dans le chemin du trafic réseau sans modifier les règles de routage existantes.
Le traitement des paquets a lieu avant le routage des paquets sortants et après la réception des paquets entrants routés. L'intégration intrabande utilise l'encapsulation GENEVE (Generic Network Virtualization Encapsulation) pour transporter de manière sécurisée les paquets entre les machines virtuelles (VM) d'envoi ou de réception, et les VM de traitement des paquets (vos appliances réseau).
Avantages de l'intégration en bande
L'intégration dans la bande offre les avantages suivants :
- Scalabilité : déploie des VM de traitement de paquets qui fonctionnent comme des pare-feu, des systèmes de détection d'intrusion ou des appliances réseau basés sur des VM. Vous pouvez adapter les VM de traitement des paquets à vos besoins.
- Encapsulation Geneve : préserve le paquet d'origine, y compris ses adresses IP source et de destination, lors du transport du paquet entre une VM d'envoi ou de réception et les VM de traitement des paquets pour inspection. Pour en savoir plus sur GENEVE, consultez la RFC GENEVE.
- Technologie Cloud NGFW : configure l'inspection des paquets à l'aide de règles d'entrée ou de sortie dans des stratégies de pare-feu hiérarchiques ou des stratégies de pare-feu réseau globales avec l'action
apply_security_profile_group. Cela supprime la dépendance aux routes dans un réseau VPC. Pour en savoir plus, consultez Fonctionnement de l'intégration dans la bande.
Modèle producteur-consommateur
L'intégration dans la bande utilise un modèle producteur-consommateur avec la configuration suivante :
- Les producteurs de services fournissent un ensemble évolutif de VM d'inspection des paquets.
- Les consommateurs de services utilisent des règles de pare-feu dans des stratégies de pare-feu hiérarchiques ou des stratégies de pare-feu réseau mondiales pour spécifier le trafic à inspecter.
Producteur de services
Un producteur de services propose des services d'inspection des paquets via des VM. Les VM peuvent être des appliances réseau ou des instances exécutant une solution logicielle personnalisée. Le producteur est responsable de la configuration, de la mise à l'échelle et de la maintenance des VM.
Un producteur de services déploie et gère des équilibreurs de charge réseau passthrough internes qui utilisent des VM de backend pour les services d'inspection des paquets. Le producteur met les services d'inspection des paquets à la disposition des consommateurs par le biais de déploiements d'interception zonaux, qui sont regroupés dans des groupes de déploiement d'interception mondiaux. Pour en savoir plus, consultez Configurer les services de producteur.
Un producteur de services utilise les composants clés suivants pour proposer des services d'inspection des paquets :
Instances de VM : hébergent un dispositif réseau ou une solution logicielle personnalisée. Le producteur est responsable de la configuration, du scaling et de la maintenance des VM. Le producteur peut utiliser des groupes d'instances non gérés zonaux ou des groupes d'instances gérés zonaux pour héberger les VM d'inspection des paquets.
Équilibreur de charge réseau passthrough interne : distribue le trafic aux VM d'inspection des paquets de backend. La règle de transfert de l'équilibreur de charge sert de point d'entrée pour le trafic à inspecter.
Déploiement d'interception : ressource zonale qui fait référence à la règle de transfert de l'équilibreur de charge réseau passthrough interne. Le déploiement d'interception représente l'offre de service d'inspection du producteur pour la zone.
Groupe de déploiement d'interception : ressource globale contenant plusieurs déploiements d'interception zonaux.
Client de service
Un consommateur de services utilise les services d'inspection de paquets proposés par un producteur de services.
Dans chaque zone d'un réseau VPC, un consommateur de services peut choisir d'utiliser les services d'inspection des paquets proposés par un producteur ou configurer un point de terminaison de pare-feu à utiliser avec Cloud Next Generation Firewall Enterprise. Les points de terminaison de pare-feu et les services d'inspection des paquets utilisant l'intégration dans la bande s'excluent mutuellement. Pour en savoir plus, consultez Configurer les services consommateurs.
Un consommateur de services utilise les composants clés suivants pour envoyer du trafic aux services d'inspection des paquets d'un producteur :
Groupe de points de terminaison d'interception : ressource globale par projet qui fait référence au groupe de déploiement d'interception du producteur de services.
Le groupe de points de terminaison d'interception exprime l'intention du consommateur d'utiliser les services d'inspection des paquets proposés par le groupe de déploiement d'interception d'un producteur de services, dans une ou plusieurs zones du réseau VPC du consommateur.
Association de groupe de points de terminaison d'interception : ressource globale par projet qui associe logiquement un groupe de points de terminaison d'interception à un ou plusieurs réseaux VPC du consommateur.
Règles de pare-feu : règles de stratégie de pare-feu hiérarchiques ou de stratégie de pare-feu réseau au niveau mondial qui redirigent le trafic vers des VM d'inspection des paquets.
Profil de sécurité : ressource globale par organisation qui fait référence à un groupe de points de terminaison d'interception.
Groupe de profils de sécurité : ressource globale par organisation qui référence un profil de sécurité. Les règles d'une stratégie de pare-feu font référence au groupe de profils de sécurité et utilisent l'action
apply_security_profile_grouppour envoyer les paquets au service d'inspection des paquets d'un producteur.
Les règles de pare-feu d'interception sont avec état. Lorsqu'une nouvelle session correspond à une règle, tous les paquets entrants et sortants associés à cette session sont interceptés et encapsulés avec le groupe de profils de sécurité approprié dans l'en-tête GENEVE.
Modèle de déploiement de l'intégration en bande
L'intégration dans la bande est basée sur un modèle producteur-consommateur.
La figure 1 présente l'architecture de déploiement de haut niveau du service d'intégration dans la bande.
Le schéma illustre la configuration producteur-consommateur suivante :
producer-project1est un projet de producteur de services qui contient un réseau VPC,producer-vpc. Le réseau est configuré comme suit :- Le producteur de services fournit des services d'inspection des paquets dans les zones
us-west1-aetus-west1-b. - Chaque zone comporte un ensemble de VM d'inspection des paquets, un équilibreur de charge réseau passthrough interne et un déploiement d'interception.
- Les services d'inspection de paquets du producteur de services sont regroupés dans un seul groupe de déploiement d'interception.
- Le producteur de services fournit des services d'inspection des paquets dans les zones
consumer-project1est un projet client de service qui contient deux réseaux VPC,consumer-vpc1etconsumer-vpc2. Les deux réseaux sont configurés pour utiliser le service d'interception de paquets du producteur avec la configuration suivante :L'ordre d'évaluation des règles et des stratégies de pare-feu de chaque réseau est défini sur
BEFORE_CLASSIC_FIREWALL.Chaque réseau possède sa propre association de groupe de points de terminaison d'interception qui fait référence à un groupe de points de terminaison d'interception commun. Dans le diagramme, le groupe de points de terminaison d'interception commun se trouve dans le projet client
consumer-project2. Le groupe de points de terminaison d'interception exprime l'intention du consommateur d'utiliser le groupe de déploiement d'interception du producteur.Dans l'organisation du consommateur, le client a créé un groupe de profils de sécurité contenant un profil de sécurité. Le profil de sécurité fait référence au même groupe de points de terminaison d'interception que celui associé aux réseaux VPC
consumer-vpc1etconsumer-vpc2.Pour rediriger les paquets vers les services d'inspection de paquets du producteur, le consommateur utilise des règles d'entrée ou de sortie dans une règle de pare-feu.
Fonctionnement de l'intégration en bande
Dans l'intégration intrabande, un paquet du trafic d'un consommateur est intercepté lorsqu'il correspond à une règle de pare-feu qui utilise l'action apply_security_profile_group.
Les paquets correspondant à la règle de pare-feu sont envoyés à l'équilibreur de charge réseau passthrough interne du réseau VPC du producteur de services.
Exigences relatives à l'inspection des paquets
Pour qu'une règle de pare-feu intercepte correctement le trafic des consommateurs, les conditions suivantes doivent être remplies :
- La règle de pare-feu qui utilise l'action
apply_security_profile_groupdoit appartenir à une stratégie de pare-feu hiérarchique ou à une stratégie de pare-feu réseau mondiale associée à un réseau VPC consommateur. - L'association de groupe de points de terminaison d'interception du consommateur doit associer le réseau VPC du consommateur au groupe de points de terminaison d'interception approprié.
Le groupe de profils de sécurité de la règle de pare-feu doit contenir le profil de sécurité qui fait référence au groupe de points de terminaison d'interception approprié.
Les paquets ne sont pas interceptés si le groupe de points de terminaison d'interception référencé par le profil de sécurité de la règle de pare-feu ne correspond pas au groupe de points de terminaison d'interception associé au réseau VPC.
Flux de paquets
Lorsqu'un paquet correspond à une règle de pare-feu qui répond aux exigences d'inspection des paquets, Google Cloudle paquet est traité comme suit :
Interceptez le paquet dans la zone du réseau VPC du client.
Google Cloud intercepte les paquets en fonction du sens du trafic :
Trafic de sortie (paquets envoyés depuis une VM) : les paquets qui correspondent à une règle de pare-feu de sortie pour l'inspection des paquets sont interceptés avant leur routage.
Si une adresse IPv4 externe est attribuée à la carte d'interface réseau d'une VM ou si la carte d'interface réseau d'une VM utilise une passerelle Cloud NAT, Google Cloud modifie l'adresse IPv4 source du paquet après le traitement des règles de pare-feu de sortie et l'inspection des paquets, mais avant le routage du paquet sortant.
Trafic entrant (paquets reçus par une VM) : les paquets qui correspondent à une règle de pare-feu d'entrée pour l'inspection des paquets sont interceptés après le routage du paquet.
Si une VM possède une adresse IPv4 externe attribuée à sa carte d'interface réseau ou si une carte d'interface réseau de VM utilise une passerelle Cloud NAT,Google Cloud modifie l'adresse IPv4 de destination du paquet après avoir reçu le paquet entrant acheminé, mais avant le traitement des règles de pare-feu d'entrée et l'inspection des paquets.
Encapsulez le paquet.
Lors de l'étape de traitement du pare-feu, le paquet d'entrée ou de sortie d'origine est encapsulé à l'aide du protocole GENEVE. Cette encapsulation préserve les adresses IP source et de destination du paquet d'origine dans la charge utile du paquet GENEVE.
Envoyez le paquet encapsulé au producteur de services.
Le paquet encapsulé est envoyé à une VM de backend d'un équilibreur de charge réseau passthrough interne dans le réseau VPC du producteur de services. L'équilibreur de charge spécifique est sélectionné en fonction de la zone de la VM dont le trafic a été intercepté et de la configuration du groupe de déploiement d'interception référencé par le groupe de points de terminaison d'interception.
Traitez le paquet.
Les VM de backend du producteur reçoivent les paquets encapsulés GENEVE sur le port
6081.UDPChaque VM de traitement des paquets dispose d'un logiciel qui sait comment extraire le paquet d'origine du paquet GENEVE.Le logiciel d'inspection sur les VM extrait le paquet d'origine, l'inspecte et, si le trafic est autorisé, le réencapsule à l'aide de GENEVE sans modifier les adresses IP, les protocoles ni les ports du paquet d'origine.
Retournez le paquet.
La VM de traitement des paquets renvoie le paquet réencapsulé au réseau consommateur à l'aide du retour direct du serveur (DSR, Direct Server Return). Dans ce processus, le trafic de réponse passe directement de l'appliance réseau au client, en contournant l'équilibreur de charge pour améliorer l'efficacité. Pour en savoir plus, consultez Fonctionnement des équilibreurs de charge réseau passthrough internes.
Limites
- Lorsque des paquets réseau correspondent à une règle d'interception, Compute Engine les traite à un rythme plus lent. Le taux de traitement des paquets dépend du type de machine, de la taille des paquets et de l'utilisation du processeur. Il est semblable aux taux de sortie vers des destinations en dehors d'un réseau VPC.
- Les stratégies de pare-feu réseau régionales ne sont pas compatibles avec l'interception de paquets.
- Les déploiements d'interception de producteurs ne sont pas compatibles avec les instances comportant des cartes d'interface réseau dynamiques comme backends.
Les sessions TCP interceptées doivent commencer par un paquet SYN, ce qui permet à l'appliance d'interception d'observer la session complète. Pour les connexions inconnues, l'appliance supprime tous les paquets non-SYN avant l'interception.
Un paquet SYN est le tout premier paquet qui initie une nouvelle connexion TCP. Un paquet non SYN est tout autre paquet au sein de cette connexion. Si vos schémas de trafic incluent des initiateurs non SYN ou un routage fractionné, contactez l'assistance Cloud pour obtenir des conseils.