Mit der Netzwerksicherheitsintegration können Sie VMs für Netzwerksicherheitsgeräte, einschließlich VMs mit Paketprüfungs- und Firewallsoftware, in ein VPC-Netzwerk einbinden, ohne Routen im VPC-Netzwerk zu ändern.
Bei der Netzwerksicherheits-Integration wird das GENEVE-Protokoll (Generic Network Virtualization Encapsulation) verwendet. GENEVE stellt Originalpakete und Metadaten an VMs für Netzwerkgeräte zur Sicherheitsüberprüfung aus einem oder mehreren Ihrer VPC-Netzwerke basierend auf von Ihnen erstellten Firewallregeln bereit. Weitere Informationen finden Sie unter GENEVE-Format verstehen.
Arten von Integrationen
Die Netzwerksicherheitsintegration bietet zwei Möglichkeiten zum Einbinden von VMs für Netzwerksicherheits-Appliances:
In-Band: Bei dieser Option werden Pakete zur Überprüfung an Netzwerk-Appliance-VMs weitergeleitet. Dort wird entschieden, ob die Pakete zugelassen oder blockiert werden sollen. Mit In-Band können Netzwerkgeräte alle identifizierten Bedrohungen blockieren, bevor der Traffic sein Ziel erreicht. Weitere Informationen finden Sie unter In-Band-Integration – Übersicht.
Out-of-Band: Bei dieser Option wird eine Kopie der Pakete zur Analyse an VMs für Netzwerkgeräte weitergeleitet, ohne den ursprünglichen Trafficfluss zu beeinträchtigen. Weitere Informationen finden Sie unter Out-of-Band-Integration – Übersicht.
Dienstersteller und ‑nutzer
Die Netzwerksicherheitsintegration verwendet ein Producer-Consumer-Modell für die Datenprüfung und die Überwachung von Traffic-Daten. In diesem Modell:
- Der Ersteller hat Netzwerk-Appliance-VMs, die die Prüfung und Überwachung des Traffics ermöglichen.
- Der Nutzer verwendet die Dienste des Erstellers, um den Netzwerk-Traffic seiner eigenen Dienste zu sichern oder zu überwachen.
Stellen Sie sich beispielsweise ein Szenario vor, in dem die Geräte eines Unternehmens für Netzwerksicherheit benutzerdefinierte Netzwerkanalysen für ein Finanzdienstleistungsunternehmen für seine Anwendungen bereitstellen, die auf Google Cloudausgeführt werden. In diesem Szenario ist das Unternehmen für Netzwerksicherheit der Ersteller und das Finanzdienstleistungsunternehmen der Nutzer.
Abbildung 1 zeigt die allgemeine Bereitstellungsarchitektur der Network Security Integration-Dienste, bei der sich sowohl der Consumer als auch der Producer in derselben Organisation befinden.
Im vorherigen Diagramm wird das Netzwerk im Produzent-Nutzer-Modell in zwei Teile unterteilt: ein Dienstersteller-Netzwerk und ein Dienstnutzer-Netzwerk.
- Ein Netzwerk des Diensterstellers enthält eine Reihe von skalierbaren Netzwerkgeräten, die den Traffic prüfen.
- Ein Dienstnutzer-Netzwerk enthält Google Cloud VMs. Das Nutzernetzwerk verwendet Regeln in einer globalen Netzwerk-Firewallrichtlinie oder einer hierarchischen Firewallrichtlinie für die In-Band-Integration, um Traffic an das Erstellernetzwerk zu senden.
Je nach Konfiguration fängt die Netzwerksicherheitsintegration den Traffic von einem oder mehreren Nutzernetzwerken ab oder spiegelt ihn. Anschließend wird der Traffic mit GENEVE gekapselt und zur Prüfung an die Netzwerkgeräte des Diensterstellers gesendet.
Netzwerk des Diensterstellers
Ein Ersteller-VPC-Netzwerk enthält eine oder mehrere zonale Bereitstellungen von Netzwerk-Appliances, die den Netzwerk-Traffic des Nutzers prüfen oder spiegeln. Jede zonale Bereitstellung besteht aus einem internen Passthrough-Network-Load-Balancer, dessen Backend-VMs von Ihnen verwaltete Netzwerkgeräte sind.
Zonale Bereitstellungen werden in einer einzelnen Bereitstellungsgruppe zusammengefasst, auf die in jedem VPC-Netzwerk des Nutzers über eine Endpunktgruppe verwiesen wird.
Netzwerk des Dienstnutzers
Ein Consumer-VPC-Netzwerk enthält Google Cloud Arbeitslasten, die auf VM-Instanzen ausgeführt werden. Jedes VPC-Netzwerk des Nutzers verweist mit einer Endpunktgruppe auf die Dienste zur Paketprüfung oder -analyse eines Erstellers.
In jedem Nutzer-VPC-Netzwerk werden Regeln in einer globalen Netzwerk-Firewallrichtlinie oder einer hierarchischen Firewallrichtlinie für die In-Band-Integration verwendet, um den Traffic zu steuern, der von den Appliances des Diensterstellers geprüft oder gespiegelt wird. Diese Firewallregeln verwenden die Aktion
apply_security_profile_group. Sie können die Regeln so spezifisch wie nötig gestalten, um Ihre Sicherheitsziele zu erreichen. Dazu können Sie Traffic mithilfe mehrerer Attribute wie IP-Adressen oder IP-Bereiche und sicherer Tags abgleichen.