L'intégration de la sécurité réseau vous permet d'intégrer des VM d'appliance de sécurité réseau, y compris des VM exécutant un logiciel d'inspection des paquets et de pare-feu, dans un réseau VPC sans modifier les routes dans le réseau VPC.
Network Security Integration utilise le protocole GENEVE (Generic Network Virtualization Encapsulation). GENEVE fournit les paquets et les métadonnées d'origine aux VM des appliances de sécurité réseau à partir d'un ou de plusieurs de vos réseaux VPC en fonction des règles de pare-feu que vous créez. Pour en savoir plus, consultez Comprendre le format GENEVE.
Types d'intégrations
L'intégration de la sécurité réseau propose deux façons d'intégrer les VM des appliances de sécurité réseau :
Dans la bande : cette option achemine les paquets vers les VM d'appliance réseau pour inspection, où une VM d'appliance réseau décide d'autoriser ou de bloquer les paquets. Avec la méthode In-Band, les appliances réseau peuvent bloquer toute menace identifiée avant que le trafic n'atteigne sa destination. Pour en savoir plus, consultez la présentation de l'intégration dans la bande.
Hors bande : cette option achemine une copie des paquets vers les VM des appliances réseau pour analyse, sans affecter le flux de trafic d'origine. Pour en savoir plus, consultez Présentation de l'intégration hors bande.
Producteurs et consommateurs de services
De manière générale, l'intégration de la sécurité réseau utilise un modèle producteur-consommateur pour l'inspection des données et la surveillance des données de trafic. Dans ce modèle :
- Le producteur dispose de VM d'appliance réseau qui permettent d'inspecter et de surveiller le trafic.
- Le consommateur utilise les services du producteur pour sécuriser ou surveiller le trafic réseau de ses propres services.
Par exemple, imaginons un scénario dans lequel les appliances d'une entreprise de sécurité réseau fournissent des analyses réseau personnalisées à une organisation de services financiers pour ses applications exécutées sur Google Cloud. Dans ce scénario, l'entreprise de sécurité réseau est le producteur et l'organisation de services financiers est le consommateur.
La figure 1 illustre l'architecture de déploiement de haut niveau des services d'intégration de la sécurité réseau, où le consommateur et le producteur appartiennent à la même organisation.
Dans le diagramme précédent, le modèle producteur-consommateur divise le réseau en deux : un réseau de producteurs de services et un réseau de consommateurs de services.
- Un réseau de producteurs de services contient un ensemble d'appliances réseau évolutives qui inspectent le trafic.
- Un réseau consommateur de services contient des VM Google Cloud . Le réseau consommateur utilise des règles dans une stratégie de pare-feu réseau globale ou une stratégie de pare-feu hiérarchique pour l'intégration intrabande afin d'envoyer du trafic au réseau producteur.
En fonction de la configuration, l'intégration de la sécurité réseau intercepte ou met en miroir le trafic d'un ou de plusieurs réseaux consommateurs. Il encapsule ensuite le trafic avec GENEVE et l'envoie aux appliances réseau du producteur pour inspection.
Réseau de producteurs de services
Un réseau VPC producteur contient un ou plusieurs déploiements zonaux d'appliances réseau qui inspectent ou mettent en miroir le trafic réseau consommateur. Chaque déploiement zonal se compose d'un équilibreur de charge réseau passthrough interne dont les VM de backend sont des appliances réseau que vous gérez.
Les déploiements zonaux sont regroupés dans un seul groupe de déploiement référencé par un groupe de points de terminaison dans chaque réseau VPC consommateur.
Réseau du consommateur de services
Un réseau VPC consommateur contient des charges de travail Google Cloud qui s'exécutent sur des instances de machines virtuelles (VM). Chaque réseau VPC de consommateur fait référence aux services d'inspection ou d'analyse des paquets d'un producteur avec un groupe de points de terminaison.
Chaque réseau VPC consommateur utilise des règles dans une stratégie de pare-feu réseau mondiale ou une stratégie de pare-feu hiérarchique pour l'intégration intrabande afin de contrôler le trafic inspecté ou mis en miroir par les appliances du producteur. Ces règles de pare-feu utilisent l'action
apply_security_profile_group. Vous pouvez rendre les règles aussi spécifiques que nécessaire pour atteindre vos objectifs de sécurité, en faisant correspondre le trafic à l'aide de plusieurs attributs tels que les adresses ou plages d'adresses IP, et les tags sécurisés.
Étapes suivantes
- Présentation de l'intégration hors bande
- Présentation de l'intégration dans la bande
- Comprendre le format GENEVE