Panoramica dell'integrazione della sicurezza di rete

L'integrazione della sicurezza di rete consente di integrare le VM delle appliance di sicurezza di rete, incluse le VM che eseguono software di ispezione dei pacchetti e firewall, in una rete VPC senza modificare le route nella rete VPC.

Network Security Integration utilizza il protocollo Generic Network Virtualization Encapsulation (GENEVE). GENEVE invia pacchetti e metadati originali alle VM appliance di sicurezza di rete da una o più reti VPC in base alle regole firewall che crei. Per saperne di più, vedi Informazioni sul formato GENEVE.

Tipi di integrazioni

L'integrazione della sicurezza di rete offre due modi per integrare le VM dell'appliance di sicurezza di rete:

  • In-band: questa opzione indirizza i pacchetti alle VM appliance di rete per l'ispezione, dove una VM appliance di rete decide se consentire o bloccare i pacchetti. Con l'in-band, gli appliance di rete possono bloccare qualsiasi minaccia identificata prima che il traffico raggiunga la sua destinazione. Per ulteriori informazioni, vedi Panoramica dell'integrazione in banda.

  • Fuori banda: questa opzione indirizza una copia dei pacchetti alle VM dell'appliance di rete per l'analisi, senza influire sul flusso di traffico originale. Per ulteriori informazioni, consulta la panoramica dell'integrazione out-of-band.

Producer e consumer di servizi

A livello generale, l'integrazione della sicurezza di rete utilizza un modello produttore-consumatore per l'ispezione dei dati e il monitoraggio dei dati sul traffico. In questo modello:

  • Il producer dispone di VM appliance di rete che forniscono ispezione e monitoraggio del traffico.
  • Il consumer utilizza i servizi del producer per proteggere o monitorare il traffico di rete dei propri servizi.

Ad esempio, immagina uno scenario in cui gli appliance di un'azienda di sicurezza di rete forniscono analisi di rete personalizzate a un'organizzazione di servizi finanziari per le applicazioni in esecuzione su Google Cloud. In questo scenario, la società di sicurezza di rete è il produttore e l'organizzazione di servizi finanziari è il consumatore.

La Figura 1 mostra l'architettura di deployment di alto livello dei servizi di integrazione della sicurezza di rete in cui sia il consumatore che il produttore si trovano nella stessa organizzazione.

Architettura di deployment di alto livello dei servizi di integrazione della sicurezza di rete.
Figura 1. Architettura di deployment di alto livello dei servizi di integrazione della sicurezza di rete (fai clic per ingrandire).

Nel diagramma precedente, il modello producer-consumer divide la rete in due parti: una rete producer di servizi e una rete consumer di servizi.

  • Una rete di producer di servizi contiene un insieme di appliance di rete scalabili che ispezionano il traffico.
  • Una rete consumer di servizi contiene VM Google Cloud . La rete consumer utilizza regole in una policy del firewall di rete globale o in una policy del firewall gerarchica per l'integrazione in banda per inviare il traffico alla rete del produttore.

A seconda della configurazione, l'integrazione della sicurezza di rete intercetta o duplica il traffico da una o più reti consumer. Poi incapsula il traffico con GENEVE e lo invia agli appliance di rete del produttore per l'ispezione.

Rete del producer di servizi

  • Una rete VPC producer contiene uno o più deployment zonali di appliance di rete che ispezionano o duplicano il traffico di rete consumer. Ogni deployment zonale è costituito da un bilanciatore del carico di rete passthrough interno le cui VM di backend sono appliance di rete che gestisci.

  • I deployment zonali sono raggruppati in un unico gruppo di deployment a cui fa riferimento un gruppo di endpoint in ogni rete VPC consumer.

Rete consumer del servizio

  • Una rete VPC consumer contiene Google Cloud carichi di lavoro che vengono eseguiti su istanze di macchine virtuali (VM). Ogni rete VPC consumer fa riferimento ai servizi di analisi o ispezione dei pacchetti di un producer con un gruppo di endpoint.

  • Ogni rete VPC consumer utilizza regole in una policy del firewall di rete globale o in una policy del firewall gerarchica per l'integrazione in banda per controllare il traffico ispezionato o sottoposto a mirroring dalle appliance del producer. Queste regole firewall utilizzano l'azione apply_security_profile_group. Puoi rendere le regole specifiche quanto necessario per raggiungere i tuoi obiettivi di sicurezza, corrispondendo al traffico utilizzando più attributi, ad esempio indirizzi IP o intervalli IP e tag sicuri.

Passaggi successivi