סקירה כללית על Network Security Integration

Network Security Integration מאפשר לכם לשלב מכונות וירטואליות של מכשירי אבטחת רשת, כולל מכונות וירטואליות שמריצות בדיקת חבילות ותוכנת חומת אש, ברשת VPC בלי לשנות את המסלולים ברשת ה-VPC.

Network Security Integration משתמשת בפרוטוקול Generic Network Virtualization Encapsulation‏ (GENEVE). ‫GENEVE מעביר מנות מקוריות ומטא-נתונים למכונות וירטואליות של מכשירי אבטחת רשת מאחת או יותר מרשתות ה-VPC שלכם, על סמך כללי חומת האש שאתם יוצרים. מידע נוסף זמין במאמר בנושא הסבר על פורמט GENEVE.

סוגי שילובים

Network Security Integration מציע שתי דרכים לשילוב מכשירי אבטחת רשת במכונות וירטואליות:

  • In-band: האפשרות הזו מעבירה חבילות נתונים למכונות וירטואליות של מכשירי רשת לבדיקה, והמכונה הווירטואלית של מכשיר הרשת מחליטה אם לאשר או לחסום את חבילות הנתונים. בשיטה הזו, מכשירי רשת יכולים לחסום איומים שזוהו לפני שהתעבורה מגיעה ליעד שלה. מידע נוסף זמין במאמר סקירה כללית על שילוב בתוך פס התדרים.

  • Out-of-band: האפשרות הזו מעבירה עותק של חבילות למכונות וירטואליות של מכשירי רשת לצורך ניתוח, בלי להשפיע על זרימת התנועה המקורית. מידע נוסף מופיע במאמר סקירה כללית על אינטגרציה מחוץ לפס.

בעלי שירותים מנוהלים וצרכנים של שירותים

באופן כללי, Network Security Integration משתמש במודל של יצרן-צרכן לבדיקת נתונים ולמעקב אחרי נתוני תנועה. במודל הזה:

  • ליצרן יש מכונות וירטואליות של מכשירי רשת שמספקות בדיקה וניטור של תעבורת נתונים.
  • הצרכן משתמש בשירותים של היצרן כדי לאבטח את תעבורת הרשת של השירותים שלו או לעקוב אחריה.

לדוגמה, נניח שחברה לאבטחת רשת מספקת מכשירי חשמל לניתוח רשת מותאם אישית לארגון שירותים פיננסיים עבור האפליקציות שלו שפועלות ב- Google Cloud. בתרחיש הזה, חברת אבטחת הרשת היא הספק, והארגון שמספק שירותים פיננסיים הוא הצרכן.

איור 1 מציג את ארכיטקטורת הפריסה ברמה גבוהה של שירותי Network Security Integration, שבה גם הצרכן וגם היצרן נמצאים באותו ארגון.

ארכיטקטורת פריסה ברמה גבוהה של שירותי Network Security Integration.
איור 1. ארכיטקטורת פריסה ברמה גבוהה של שירותי Network Security Integration (לחצו כדי להגדיל).

בתרשים הקודם, המודל של בעלי שירותים מנוהלים וצרכנים של שירותים מחלק את הרשת לשתי רשתות: רשת של בעלי שירותים מנוהלים ורשת של צרכנים של שירותים.

  • רשת של בעלים של שירות מנוהל מכילה קבוצה של מכשירי רשת ניתנים להרחבה שבודקים את תעבורת הנתונים.
  • רשת של צרכן שירות מכילה מכונות וירטואליות. Google Cloud רשת הצרכן משתמשת בכללים במדיניות גלובלית של חומת אש ברשת, או במדיניות היררכית של חומת אש לשילוב בתוך פס התדרים, כדי לשלוח תעבורה לרשת היצרן.

בהתאם להגדרה, Network Security Integration מיירט את תעבורת הנתונים מרשת צרכנית אחת או יותר או משכפל אותה. התנועה מוצפנת באמצעות GENEVE ונשלחת למכשירי הרשת של היצרן לבדיקה.

רשת של בעלים של שירות מנוהל

  • רשת VPC של ספק מכילה פריסה אזורית אחת או יותר של מכשירי רשת שבודקים או משכפלים את תעבורת הנתונים ברשת של הצרכן. כל פריסה אזורית מורכבת ממאזן עומסי רשת פנימי להעברת סיגנל ללא שינוי, שהמכונות הווירטואליות שלו בקצה העורפי הן מכשירי רשת שאתם מנהלים.

  • פריסות אזוריות מקובצות בקבוצת פריסה אחת, שמופנית על ידי קבוצת נקודות קצה בכל רשת VPC של צרכן.

רשת צרכני השירות

  • רשת VPC של צרכן מכילה עומסי עבודה שפועלים על מכונות וירטואליות (VM). Google Cloud כל רשת VPC של צרכן מפנה לשירותי בדיקה או ניתוח של חבילות של בעלים באמצעות קבוצת נקודות קצה.

  • כל רשת VPC של צרכן משתמשת בכללים במדיניות חומת אש גלובלית או במדיניות חומת אש היררכית לשילוב בתוך הפס, כדי לשלוט בתעבורה שנבדקת או משוכפלת על ידי מכשירי היצרן. כללי חומת האש האלה משתמשים בפעולה apply_security_profile_group. אפשר להגדיר את הכללים כך שיהיו ספציפיים ככל שצריך כדי להשיג את יעדי האבטחה. כדי להתאים את התנועה, אפשר להשתמש בכמה מאפיינים כמו כתובות IP או טווחי כתובות IP, ותגי אבטחה.

המאמרים הבאים