Descripción general de la integración de seguridad de redes

La Integración de seguridad de red te permite integrar VMs de dispositivos de seguridad de red, incluidas las VMs que ejecutan software de inspección de paquetes y firewall, en una red de VPC sin cambiar las rutas en la red de VPC.

La integración de seguridad de red usa el protocolo de encapsulación de virtualización de red genérico (GENEVE). GENEVE entrega paquetes y metadatos originales a las VMs de dispositivos de seguridad de red desde una o más de tus redes de VPC según las reglas de firewall que crees. Para obtener más información, consulta Información sobre el formato GENEVE.

Tipos de integraciones

La integración de la seguridad de red ofrece dos formas de integrar VMs de dispositivos de seguridad de red:

  • Dentro de la banda: Esta opción enruta los paquetes a las VMs de dispositivos de red para su inspección, en la que una VM de dispositivo de red decide si permite o bloquea los paquetes. Con la comunicación dentro de la banda, los dispositivos de red pueden bloquear cualquier amenaza identificada antes de que el tráfico llegue a su destino. Para obtener más información, consulta la descripción general de la integración dentro de la banda.

  • Fuera de banda: Esta opción enruta una copia de los paquetes a las VMs de dispositivos de red para su análisis, sin afectar el flujo de tráfico original. Para obtener más información, consulta Descripción general de la integración fuera de banda.

Productores y consumidores de servicios

A un nivel general, la integración de la seguridad de red usa un modelo de productor-consumidor para la inspección de datos y la supervisión de los datos de tráfico. En este modelo, se incluyen los siguientes elementos:

  • El productor tiene VMs de dispositivos de red que proporcionan inspección y supervisión del tráfico.
  • El consumidor usa los servicios del productor para proteger o supervisar el tráfico de red de sus propios servicios.

Por ejemplo, imagina una situación en la que los dispositivos de una empresa de seguridad de redes proporcionan análisis de redes personalizados a una organización de servicios financieros para sus aplicaciones que se ejecutan en Google Cloud. En este caso, la empresa de seguridad de redes es el productor y la organización de servicios financieros es el consumidor.

En la figura 1, se muestra la arquitectura de implementación de alto nivel de los servicios de integración de seguridad de red, en la que tanto el consumidor como el productor se encuentran en la misma organización.

Arquitectura de implementación de alto nivel de los servicios de integración de seguridad de red.
Figura 1. Arquitectura de implementación de alto nivel de los servicios de integración de seguridad de red (haz clic para ampliar).

En el diagrama anterior, el modelo de productor y consumidor divide la red en dos: una red de productor de servicios y una red de consumidor de servicios.

  • Una red de productor de servicios contiene un conjunto de dispositivos de red escalables que inspeccionan el tráfico.
  • Una red de consumidor de servicios contiene VMs. Google Cloud La red del consumidor usa reglas en una política de firewall de red global o una política de firewall jerárquica para la integración dentro de la banda para enviar tráfico a la red del productor.

Según la configuración, la Integración de seguridad de red intercepta o duplica el tráfico de una o más redes del consumidor. Luego, encapsula el tráfico con GENEVE y lo envía a los dispositivos de red del productor para su inspección.

Red de productores de servicios

  • Una red de VPC del productor contiene una o más implementaciones zonales de dispositivos de red que inspeccionan o duplican el tráfico de red del consumidor. Cada implementación zonal consta de un balanceador de cargas de red de transferencia interno cuyas VMs de backend son dispositivos de red que tú administras.

  • Las implementaciones zonales se agrupan en un solo grupo de implementación al que hace referencia un grupo de extremos en cada red de VPC del consumidor.

Red del consumidor de servicios

  • Una red de VPC del consumidor contiene Google Cloud cargas de trabajo que se ejecutan en instancias de máquina virtual (VM). Cada red de VPC del consumidor hace referencia a los servicios de análisis o inspección de paquetes de un productor con un grupo de extremos.

  • Cada red de VPC del consumidor usa reglas en una política de firewall de red global o una política de firewall jerárquica para la integración dentro de la banda, con el objetivo de controlar el tráfico que inspeccionan o duplican los dispositivos del productor. Estas reglas de firewall usan la acción apply_security_profile_group. Puedes hacer que las reglas sean tan específicas como sea necesario para alcanzar tus objetivos de seguridad, y hacer coincidir el tráfico con varios atributos, como direcciones IP o rangos de IP, y etiquetas seguras.

¿Qué sigue?