Integrasi Keamanan Jaringan memungkinkan Anda mengintegrasikan VM appliance keamanan jaringan, termasuk VM yang menjalankan software firewall dan inspeksi paket, ke dalam jaringan VPC tanpa mengubah rute di jaringan VPC.
Integrasi Keamanan Jaringan menggunakan protokol Generic Network Virtualization Encapsulation (GENEVE). GENEVE mengirimkan paket dan metadata asli ke VM appliance keamanan jaringan dari satu atau beberapa jaringan VPC Anda berdasarkan aturan firewall yang Anda buat. Untuk mengetahui informasi selengkapnya, lihat Memahami format GENEVE.
Jenis integrasi
Network Security Integration menawarkan dua cara untuk mengintegrasikan VM appliance keamanan jaringan:
Dalam band: opsi ini merutekan paket ke VM perlengkapan jaringan untuk diperiksa, tempat VM perlengkapan jaringan memutuskan apakah akan mengizinkan atau memblokir paket. Dengan in-band, perangkat jaringan dapat memblokir setiap ancaman yang teridentifikasi sebelum lalu lintas mencapai tujuannya. Untuk mengetahui informasi selengkapnya, lihat Ringkasan integrasi dalam band.
Out-of-band: opsi ini merutekan salinan paket ke VM appliance jaringan untuk dianalisis, tanpa memengaruhi alur traffic asli. Untuk informasi selengkapnya, lihat Ringkasan integrasi di luar band.
Produsen dan konsumen layanan
Secara umum, Integrasi Keamanan Jaringan menggunakan model produsen-konsumen untuk pemeriksaan data dan pemantauan data traffic. Dalam model ini:
- Produsen memiliki VM appliance jaringan yang menyediakan pemeriksaan dan pemantauan traffic.
- Konsumen menggunakan layanan produsen untuk mengamankan atau memantau traffic jaringan layanannya sendiri.
Misalnya, bayangkan skenario saat perangkat perusahaan keamanan jaringan menyediakan analisis jaringan kustom untuk organisasi jasa keuangan bagi aplikasi mereka yang berjalan di Google Cloud. Dalam skenario ini, perusahaan keamanan jaringan adalah produsen, dan organisasi jasa keuangan adalah konsumen.
Gambar 1 menunjukkan arsitektur deployment tingkat tinggi layanan Integrasi Keamanan Jaringan tempat konsumen dan produsen berada dalam organisasi yang sama.
Pada diagram sebelumnya, model produsen-konsumen membagi jaringan menjadi dua: jaringan produsen layanan dan jaringan konsumen layanan.
- Jaringan produsen layanan berisi serangkaian perangkat jaringan yang dapat diskalakan yang memeriksa traffic.
- Jaringan konsumen layanan berisi VM Google Cloud . Jaringan konsumen menggunakan aturan dalam kebijakan firewall jaringan global, atau kebijakan firewall hierarkis untuk integrasi dalam band, guna mengirim traffic ke jaringan produsen.
Bergantung pada konfigurasinya, Integrasi Keamanan Jaringan mencegat atau mencerminkan traffic dari satu atau beberapa jaringan konsumen. Kemudian, traffic dienkapsulasi dengan GENEVE dan dikirim ke peralatan jaringan produsen untuk diperiksa.
Jaringan produsen layanan
Jaringan VPC produsen berisi satu atau beberapa deployment zonal peralatan jaringan yang memeriksa atau mencerminkan traffic jaringan konsumen. Setiap deployment zonal terdiri dari Load Balancer Jaringan passthrough internal yang VM backend-nya adalah appliance jaringan yang Anda kelola.
Deployment zonal dikelompokkan ke dalam satu grup deployment yang direferensikan oleh grup endpoint di setiap jaringan VPC konsumen.
Jaringan konsumen layanan
Jaringan VPC konsumen berisi Google Cloud workload yang berjalan di instance virtual machine (VM). Setiap jaringan VPC konsumen mereferensikan layanan analisis atau inspeksi paket produsen dengan grup endpoint.
Setiap jaringan VPC konsumen menggunakan aturan dalam kebijakan firewall jaringan global, atau kebijakan firewall hierarkis untuk integrasi dalam band, guna mengontrol traffic yang diperiksa atau di-mirror oleh appliance produsen. Aturan firewall ini menggunakan tindakan
apply_security_profile_group. Anda dapat membuat aturan yang spesifik sesuai kebutuhan untuk mencapai tujuan keamanan Anda, mencocokkan traffic dengan menggunakan beberapa atribut seperti alamat IP atau rentang IP, dan tag aman.