借助网络安全集成,您可以将网络安全设备虚拟机(包括运行数据包检查和防火墙软件的虚拟机)集成到 VPC 网络中,而无需更改 VPC 网络中的路由。
Network Security Integration 使用通用网络虚拟化封装 (GENEVE) 协议。GENEVE 会根据您创建的防火墙规则,将原始数据包和元数据从一个或多个 VPC 网络传递到网络安全设备虚拟机。如需了解详情,请参阅了解 GENEVE 格式。
集成类型
网络安全集成提供了两种集成网络安全设备虚拟机的方法:
带内:此选项会将数据包路由到网络设备虚拟机以供检查,网络设备虚拟机将决定是允许还是阻止数据包。借助带内检测,网络设备可以在流量到达目的地之前阻止任何已识别的威胁。如需了解详情,请参阅带内集成概览。
带外:此选项会将数据包的副本路由到网络设备虚拟机以进行分析,而不会影响原始流量。如需了解详情,请参阅带外集成概览。
服务提供方和服务使用方
从宏观层面来看,网络安全集成使用提供方-使用方模型来检查和监控流量数据。在此模型中:
- 提供方具有可提供流量检查和监控的网络设备虚拟机。
- 使用方使用提供方的服务来保护或监控其自有服务的网络流量。
例如,假设某网络安全公司的设备为金融服务组织提供自定义网络分析,以供其在 Google Cloud上运行的应用使用。在此场景中,网络安全公司是提供方,金融服务组织是使用方。
图 1 显示了网络安全集成服务的高级部署架构,其中使用方和提供方位于同一组织中。
在上图中,生产方-使用方模型将网络划分为两个:服务提供方网络和服务使用方网络。
- 服务提供方网络包含一组可伸缩的网络设备,用于检查流量。
- 服务使用方网络包含 Google Cloud 个虚拟机。使用方网络使用全球网络防火墙政策或分层防火墙政策中的规则(用于带内集成)向提供方网络发送流量。
根据配置,网络安全集成会拦截或镜像来自一个或多个使用方网络的流量。然后,它会使用 GENEVE 封装流量,并将其发送到生产者的网络设备以进行检查。
服务提供方网络
提供方 VPC 网络包含一个或多个区域性网络设备部署,这些设备会检查或镜像使用方网络流量。每个区域部署都包含一个内部直通式网络负载平衡器,其后端虚拟机是您管理的网络设备。
可用区级部署会分组到一个部署组中,每个使用方 VPC 网络中的端点组都会引用该部署组。
服务使用方网络
使用方 VPC 网络包含在虚拟机 (VM) 实例上运行的 Google Cloud 工作负载。每个使用方 VPC 网络都通过端点组引用提供方的数据包检查或分析服务。
每个使用方 VPC 网络都使用全球网络防火墙政策或分层防火墙政策(用于带内集成)中的规则来控制由提供方的设备检查或镜像的流量。这些防火墙规则使用
apply_security_profile_group操作。您可以根据需要使规则尽可能具体,以实现安全目标,并通过使用 多个属性(例如 IP 地址或 IP 范围)和安全标记来匹配流量。