Visão geral da integração da segurança de rede

Com a integração de segurança de rede, é possível integrar VMs de appliance de segurança de rede, incluindo VMs que executam software de inspeção de pacotes e firewall, a uma rede VPC sem mudar as rotas na rede VPC.

A integração de segurança de rede usa o protocolo de encapsulamento de virtualização de rede genérico (GENEVE, na sigla em inglês). O GENEVE entrega pacotes e metadados originais para VMs de dispositivos de segurança de rede de uma ou mais redes VPC com base nas regras de firewall criadas. Para mais informações, consulte Entender o formato GENEVE.

Tipos de integrações

A integração da segurança de rede oferece duas maneiras de integrar VMs de appliance de segurança de rede:

  • Na banda: essa opção encaminha pacotes para VMs de dispositivo de rede para inspeção, em que uma VM de dispositivo de rede decide se permite ou bloqueia os pacotes. Com a banda interna, os dispositivos de rede podem bloquear ameaças identificadas antes que o tráfego chegue ao destino. Para mais informações, consulte Visão geral da integração na banda.

  • Fora de banda: essa opção encaminha uma cópia dos pacotes para VMs de appliance de rede para análise, sem afetar o fluxo de tráfego original. Para mais informações, consulte Visão geral da integração fora da banda.

Produtores e consumidores de serviços

Em um nível geral, a integração da segurança de rede usa um modelo produtor-consumidor para inspeção de dados e monitoramento de dados de tráfego. Neste modelo:

  • O produtor tem VMs de dispositivo de rede que oferecem inspeção e monitoramento de tráfego.
  • O consumidor usa os serviços do produtor para proteger ou monitorar o tráfego de rede dos próprios serviços.

Por exemplo, imagine um cenário em que os dispositivos de uma empresa de segurança de rede fornecem análises de rede personalizadas a uma organização de serviços financeiros para os aplicativos dela em execução no Google Cloud. Nesse cenário, a empresa de segurança de rede é o produtor, e a organização de serviços financeiros é o consumidor.

A Figura 1 mostra a arquitetura de implantação de alto nível dos serviços de integração de segurança de rede, em que o consumidor e o produtor estão na mesma organização.

Arquitetura de implantação de alto nível dos serviços de integração da segurança de rede.
Figura 1. Arquitetura de implantação de alto nível dos serviços de integração de segurança de rede (clique para ampliar).

No diagrama anterior, o modelo produtor-consumidor divide a rede em duas: uma rede de produtor de serviços e uma rede de consumidores de serviços.

  • Uma rede de produtor de serviços contém um conjunto de dispositivos de rede escalonáveis que inspecionam o tráfego.
  • Uma rede de consumidor de serviços contém Google Cloud VMs. A rede consumidora usa regras em uma política de firewall de rede global ou hierárquica para integração em banda, enviando tráfego para a rede produtora.

Dependendo da configuração, a integração da segurança de rede intercepta ou espelha o tráfego de uma ou mais redes de consumidores. Em seguida, ele encapsula o tráfego com GENEVE e o envia para os dispositivos de rede do produtor para inspeção.

Rede do produtor de serviços

  • Uma rede VPC produtora contém uma ou mais implantações zonais de dispositivos de rede que inspecionam ou espelham o tráfego da rede do consumidor. Cada implantação zonal consiste em um balanceador de carga de rede de passagem interna cujas VMs de back-end são dispositivos de rede gerenciados por você.

  • As implantações zonais são agrupadas em um único grupo de implantação referenciado por um grupo de endpoints em cada rede VPC do consumidor.

Rede do consumidor de serviços

  • Uma rede VPC de consumidor contém Google Cloud cargas de trabalho que são executadas em instâncias de máquina virtual (VM). Cada rede VPC do consumidor faz referência aos serviços de inspeção ou análise de pacotes de um produtor com um grupo de endpoints.

  • Cada rede VPC do consumidor usa regras em uma política de firewall de rede global ou hierárquica para integração no mesmo canal, controlando o tráfego inspecionado ou espelhado pelos dispositivos do produtor. Essas regras de firewall usam a ação apply_security_profile_group. É possível tornar as regras tão específicas quanto necessário para alcançar suas metas de segurança, correspondendo ao tráfego usando vários atributos, como endereços IP ou intervalos de IP e tags seguras.

A seguir