透過網路安全整合功能,您可以將網路安全設備 VM (包括執行封包檢查和防火牆軟體的 VM) 整合至虛擬私有雲網路,不必變更虛擬私有雲網路中的路徑。
網路安全整合服務使用通用網路虛擬化封裝 (GENEVE) 通訊協定。GENEVE 會根據您建立的防火牆規則,將原始封包和中繼資料從一或多個虛擬私有雲網路傳送至網路安全設備 VM。詳情請參閱「瞭解 GENEVE 格式」。
整合類型
網路安全整合提供兩種整合網路安全裝置 VM 的方式:
頻內:這個選項會將封包轉送至網路設備 VM 進行檢查,由網路設備 VM 決定是否允許或封鎖封包。使用頻內方法時,網路裝置可以在流量抵達目的地前,封鎖任何已識別的威脅。詳情請參閱「頻內整合總覽」。
頻外:這個選項會將封包副本傳送至網路設備 VM 進行分析,不會影響原始流量。詳情請參閱「頻外整合總覽」。
服務生產者和消費者
概略來說,網路安全整合功能會使用生產者/消費者模型,檢查資料並監控流量資料。在這個模型中:
- 生產者有網路設備 VM,可提供流量檢查和監控功能。
- 消費者會使用生產端的服務,確保或監控自家服務的網路流量。
舉例來說,假設網路安全公司的設備為金融服務機構提供自訂網路分析,以供在 Google Cloud上執行的應用程式使用。在本情境中,網路安全公司是「生產端」,金融服務機構則是「消費端」。
圖 1 顯示網路安全整合服務的高階部署架構,其中消費端和生產端位於同一機構。
在上一個圖表中,生產者-消費者模型將網路劃分為兩部分:服務生產者網路和服務消費者網路。
- 服務供應商網路包含一組可擴充的網路設備,用於檢查流量。
- 服務用戶網路包含 Google Cloud 虛擬機器。消費者網路會使用全域網路防火牆政策或階層式防火牆政策 (適用於頻內整合) 中的規則,將流量傳送至生產者網路。
視設定而定,網路安全整合功能會攔截或鏡像處理一或多個公用網路的流量。然後以 GENEVE 封裝流量,並傳送至生產者的網路設備進行檢查。
服務供應商網路
供應商虛擬私有雲網路包含一或多個區域部署的網路設備,用於檢查或鏡像處理用戶網路流量。每個可用區部署作業都包含一個內部直通式網路負載平衡器,其後端 VM 是您管理的網路設備。
區域部署作業會分組為單一部署群組,每個用戶 VPC 網路中的端點群組都會參照該群組。
服務用戶網路
用戶端虛擬私有雲網路包含在虛擬機器 (VM) 執行個體上執行的 Google Cloud 工作負載。每個消費者 VPC 網路都會透過端點群組,參照生產者的封包檢查或分析服務。
每個消費者虛擬私有雲網路都會使用全域網路防火牆政策或階層式防火牆政策 (適用於頻內整合),控管供應商設備檢查或鏡像處理的流量。這些防火牆規則使用
apply_security_profile_group動作。您可以視需要設定盡可能具體的規則,以達成安全目標,並使用 多個屬性 (例如 IP 位址或 IP 範圍,以及安全標記) 比對流量。