Descripción general de la integración fuera de banda

Para analizar el tráfico de red de tus cargas de trabajo a gran escala, puedes usar la Duplicación de paquetes, un servicio de integración de seguridad de red fuera de banda. La duplicación de paquetes te permite supervisar el tráfico de red con dispositivos virtuales de terceros.

La duplicación de paquetes clona el tráfico de red según los criterios de filtrado especificados en las reglas de duplicación de la política de firewall. Luego, este tráfico duplicado se envía a tus implementaciones de dispositivos virtuales de terceros para la inspección profunda de paquetes.

La duplicación de paquetes captura todos los datos de paquetes, incluidas las cargas útiles y los encabezados de IP. Puedes analizar el tráfico de red duplicado para supervisar el rendimiento de tu red y tus aplicaciones, y detectar amenazas en tu red.

La duplicación de paquetes es un servicio zonal que admite implementaciones regionales. Sin embargo, se te cobra por el tráfico entre zonas si el consumidor y el productor de tu implementación de duplicación están en zonas diferentes. Para mejorar la confiabilidad de tu implementación de duplicación, te recomendamos que crees una implementación de productor independiente en la misma zona que tu fuente de duplicación. De esta manera, puedes minimizar los cargos por tráfico interzonal y mejorar la confiabilidad general de tu configuración de duplicación.

Beneficios de usar la integración fuera de banda

La integración fuera de banda proporciona los siguientes beneficios:

  • Capacidades de correlación de tráfico detalladas: Con las capacidades de correlación de tráfico detalladas, puedes especificar reglas de duplicación como parte de tu política de firewall. Esto te permite usar la política de firewall de red global cuando defines reglas de duplicación. Estas reglas te permiten duplicar tráfico específico según varios criterios, incluidas las direcciones IP de origen o destino, los protocolos y los rangos de puertos de destino. Para obtener más información sobre las reglas de duplicación, consulta Reglas de duplicación.

  • Filtros negativos: Puedes usar la acción DO_NOT_MIRROR en tus reglas de duplicación para definir filtros negativos. Esto te permite ignorar el tráfico específico dentro de las reglas de duplicación.

  • Encapsulamiento de Geneve: El tráfico duplicado se encapsula con Geneve. Esto te ayuda a conservar los paquetes originales cuando se entregan a los dispositivos de terceros para su inspección. Para obtener más información, consulta Información sobre el formato GENEVE.

    Además del paquete original, la encapsulación de Geneve también incluye información sobre la fuente de duplicación. Agrega un identificador de red de nube privada virtual (VPC) único a cada paquete redireccionado al grupo de extremos de duplicación para la inspección profunda de paquetes. Si tienes varias redes de VPC con rangos de direcciones IP superpuestos, este identificador de red ayuda a garantizar que cada paquete redireccionado esté asociado de forma correcta con su red de VPC.

  • Duplicación de recopiladores como servicio: Puedes centralizar la administración operativa de tus dispositivos de terceros y ofrecerlos como servicio a diferentes equipos de aplicaciones de tu organización. Esta implementación centralizada del dispositivo puede estar en un proyecto o una organización diferentes, según cómo se organicen tus equipos.

Modelo de implementación de la integración fuera de banda

La integración fuera de banda se basa en el modelo de productor y consumidor, en el que el consumidor utiliza los servicios que ofrece el productor.

En la Figura 1, se muestra la arquitectura de implementación de alto nivel del servicio de integración fuera de banda.

Arquitectura de implementación de alto nivel del servicio de integración fuera de banda.
Figura 1. Arquitectura de implementación de alto nivel del servicio de integración fuera de banda (haz clic para ampliar).

Componentes del productor

Una red de VPC del productor contiene un conjunto de instancias de recopilador con balanceo de cargas que pueden recibir paquetes encapsulados en Geneve de una red del consumidor. Las instancias del grupo se denominan instancias de recopilador.

Cuando especificas las instancias de colector, ingresas el nombre de una regla de reenvío que está asociada con el balanceador de cargas de red de transferencia interno. Google Cloud luego reenvía el tráfico duplicado a las instancias de colector. Un balanceador de cargas interno para la duplicación de paquetes es similar a otros balanceadores de cargas internos, excepto que la regla de reenvío debe configurarse para la duplicación de paquetes. Todo el tráfico no duplicado que se envía al balanceador de cargas se descarta.

Grupos de implementación de duplicación y duplicación de implementaciones

La implementación de duplicación es un recurso zonal que apunta a la regla de reenvío de un balanceador de cargas de red de transferencia interno que actúa como frontend para las instancias de recopilador. Estas implementaciones de duplicación se agrupan aún más en grupos de implementaciones de duplicación en diferentes ubicaciones dentro de un proyecto para facilitar el consumo y la administración.

Un grupo de extremos de duplicación en la red del consumidor envía el tráfico duplicado a su grupo de implementación de duplicación correspondiente. Luego, el grupo de implementación de duplicación envía el tráfico a la implementación de duplicación en la misma zona que la fuente de duplicación para su inspección.

Para obtener más información sobre los grupos de implementación y las implementaciones, consulta la Descripción general de los grupos de implementación de duplicación y la Descripción general de las implementaciones de duplicación.

Componentes para el consumidor

Las fuentes duplicadas son instancias de máquina virtual (VM) de Compute Engine que puedes seleccionar con parámetros de destino, fuente y destino en las reglas de duplicación. Puedes especificar uno o más tipos de fuentes; si una instancia coincide con al menos uno de ellos, se duplica.

La duplicación de paquetes recopila el tráfico de la interfaz de red de una instancia en la red en la que se aplica la política de duplicación de paquetes. En los casos en que una instancia tiene varias interfaces de red, las otras interfaces no se duplican, a menos que se haya configurado otra política para hacerlo.

En las siguientes secciones, se describen los componentes de una red de consumidor.

Grupos de extremos de duplicación

Un grupo de extremos de duplicación es un recurso a nivel del proyecto del lado del consumidor que corresponde directamente a un grupo de implementación de duplicación del productor. Puedes asociar las redes de VPC individuales a un grupo de extremos de duplicación para habilitar la duplicación del tráfico.

Te recomendamos que crees un grupo de extremos de duplicación en un proyecto que sea propiedad de tu administrador de seguridad. Para crear las asociaciones del grupo de extremos de duplicación, el administrador de seguridad debe proporcionar el rol de administrador de extremos de duplicación (roles/networksecurity.mirroringAdmin) y el rol de administrador de red de extremos de duplicación (roles/networksecurity.mirroringEndpointNetworkAdmin) a este proyecto o al administrador de red.

Para obtener más información sobre los grupos de extremos de duplicación, consulta la descripción general de los grupos de extremos de duplicación.

Asociación del grupo de extremos de duplicación

La asociación del grupo de extremos de duplicación especifica la red de VPC del consumidor cuyo tráfico se debe duplicar y transferir al grupo de implementación del productor para su inspección.

Los grupos de extremos de duplicación envían el tráfico duplicado al grupo de implementación correspondiente en la red del productor. Sin embargo, para especificar la red de VPC del consumidor cuyo tráfico duplicado debe inspeccionarse, debes crear una asociación entre la red de VPC y el grupo de extremos de duplicación.

Después de crear una asociación de grupo de extremos de duplicación, las reglas de duplicación de la política de firewall determinan qué paquetes se duplicarán desde la red de VPC asociada. Si no se crea la asociación del grupo de extremos de duplicación, se ignoran las reglas de duplicación y los paquetes no se envían al grupo de implementación para su inspección.

Para obtener más información sobre la asociación de grupos de extremos, consulta Crea y administra asociaciones de grupos de extremos de duplicación.

Políticas y reglas de firewall

En una red de VPC del consumidor, usas políticas de firewall de red para seleccionar el tráfico que deseas duplicar y, luego, inspeccionar. Las políticas de firewall contienen las siguientes reglas:

  • Reglas de política de firewall: Permiten o rechazan la entrada o salida de paquetes de datos hacia y desde las VMs del consumidor. Una regla de política de firewall puede tener una de las siguientes acciones:

    • ALLOW: Permite el tráfico y detiene la evaluación de otras reglas de política de firewall de menor prioridad.
    • DENY: No permite el tráfico y detiene la evaluación de otras reglas de política de firewall de menor prioridad.
    • GOTO_NEXT: Continúa el proceso de evaluación de reglas.

Para obtener más información sobre las reglas de política de firewall, consulta la Descripción general de las reglas de política de firewall.

  • Reglas de duplicación: Determinan si se duplican los paquetes de datos de entrada o salida. Una regla de duplicación puede tener una de las siguientes acciones:

    • MIRROR: Permite la duplicación del flujo de tráfico y detiene la evaluación de otras reglas de duplicación de menor prioridad.
    • DO_NOT_MIRROR: No permite la duplicación del flujo de tráfico y detiene la evaluación de otras reglas de duplicación de menor prioridad. Usas la acción DO_NOT_MIRROR para filtrar de forma detallada los flujos de tráfico que no necesitan duplicación.

    • GOTO_NEXT: Acción que puedes usar para delegar la evaluación de la conexión a niveles inferiores. La regla de duplicación permite el procesamiento de reglas posteriores si se cumple una de las siguientes condiciones:

      • Si esa acción es goto_next, la evaluación continúa con la siguiente regla. Por lo tanto, varias reglas de goto_next no afectan el comportamiento de las demás.
      • Si el tráfico entrante no coincide con ninguna regla existente, el sistema establece de forma predeterminada una acción de goto_next. Esto significa que el nivel de política actual no encontró una acción relevante, por lo que la evaluación continúa en el siguiente nivel inferior.

Orden de evaluación de políticas y reglas para las reglas de duplicación

Puedes agregar reglas de duplicación a la política de firewall de red global. Al igual que las reglas de política de firewall, las reglas de duplicación se evalúan en orden descendente de prioridad, y el cero (0) tiene la prioridad más alta. Cada regla de duplicación dentro de una política de firewall debe tener una prioridad única. Si un flujo de tráfico coincide con una regla de duplicación, la integración fuera de banda duplica el paquete y omite la evaluación de cualquier regla de duplicación de menor prioridad.

Cuando se configuran reglas de duplicación en una política de firewall, el orden en el que se evalúan las reglas se basa en la dirección del tráfico que ingresa a una VM o sale de ella.

  • En el caso de entrada, el tráfico se evalúa primero según el orden de evaluación de las reglas de la política de firewall.

    • Si las reglas de firewall permiten el tráfico de entrada, este se evalúa en función de las reglas de duplicación. Según la acción de las reglas de duplicación, el tráfico se duplica o no.
    • Si las reglas de firewall no permiten el tráfico de entrada, este no se evalúa en función de las reglas de duplicación, y los paquetes de tráfico bloqueados por las reglas de firewall se descartan y no se duplican.

  • En el caso de salida, primero se evalúa el tráfico en función de las reglas de duplicación. Según la acción especificada para las reglas de duplicación, el tráfico se duplica o no, y, luego, se evalúa según el orden de evaluación de las reglas de política de firewall de salida.

Perfiles de seguridad y grupos de perfiles de seguridad

Las reglas de duplicación hacen referencia a los perfiles de seguridad dentro de los grupos de perfiles de seguridad para implementar la inspección profunda de paquetes del tráfico duplicado. El tráfico que coincide con una regla de duplicación se duplica en el grupo de extremos de duplicación al que hace referencia el perfil de seguridad de la regla de duplicación. Debes crear un grupo de perfiles de seguridad que contenga un perfil de seguridad personalizado que apunte a tu grupo de extremos de duplicación para la inspección de terceros. Cuando creas tu regla de duplicación, asocias el grupo de perfiles de seguridad con la regla usando la marca --security-profile-group. Tanto los perfiles de seguridad como los grupos de perfiles de seguridad son recursos a nivel de la organización.

Para obtener más información sobre los perfiles de seguridad y los grupos de perfiles de seguridad, consulta Descripción general de los perfiles de seguridad y Descripción general de los grupos de perfiles de seguridad.

Cómo funciona la integración fuera de banda

La integración fuera de banda usa la tecnología de duplicación de paquetes para copiar los datos de tráfico de la red de VPC del consumidor y enviarlos a la red de VPC del productor a través de un grupo de extremos de duplicación. La Duplicación de paquetes procesa el tráfico en la siguiente secuencia:

  1. Se aplica una política de firewall de red al tráfico hacia y desde la VM en la red.
  2. Se duplica el tráfico que coincide con la regla de duplicación dentro de la política, y los paquetes duplicados se encapsulan con Geneve, lo que preserva los paquetes originales.
  3. Según el perfil de seguridad del grupo de perfiles de seguridad especificado en la política de firewall de red, el tráfico duplicado se envía a un grupo de extremos de duplicación.
  4. El grupo de extremos de duplicación transporta de forma segura los paquetes a la implementación de duplicación correspondiente dentro del grupo de implementación de duplicación de destino para la inspección profunda de paquetes.
  5. El balanceador de cargas de transferencia interno del grupo de implementación de duplicación del productor distribuye los flujos de paquetes entre los dispositivos virtuales de terceros que se configuraron como backends del balanceador de cargas.
  6. Los dispositivos virtuales de terceros de backend procesan los paquetes para realizar una inspección profunda de paquetes.

Especificaciones

En las siguientes secciones, se abarcan las especificaciones de la integración fuera de banda.

Especificaciones generales:

  • Todos los protocolos de capa 4 son compatibles con la Duplicación de paquetes.
  • Puedes crear un permiso de IAM en el lado del productor para controlar qué consumidor puede conectarse al grupo de implementación del productor.
  • Te recomendamos que tengas proyectos de productores y consumidores en la misma organización. Sin embargo, también puedes tenerlos en diferentes organizaciones.
  • No configures tu productor y consumidor en la misma red de VPC, ya que esto provoca un bucle de duplicación.
  • Debes configurar reglas de política de firewall en la red de VPC del productor para permitir paquetes encapsulados en Geneve (UDP:6081) desde el grupo de implementación de duplicación. Además, debes configurar las reglas de la política de firewall para que también permitan los sondeos de verificación de estado del balanceador de cargas de red de transferencia interno. Para obtener más información, consulta Usa reglas y políticas de firewall de red global.
  • La integración fuera de banda admite la duplicación entre zonas. Puedes configurar la duplicación entre zonas o en la misma zona eligiendo la zona del backend del balanceador de cargas interno en el lado del productor.
  • Las reglas de duplicación, similares a las reglas de firewall, se basan en sesiones. Una regla de duplicación especifica la sesión que se debe duplicar según el iniciador de la sesión. En el caso de una sesión duplicada, se duplican todos los paquetes del tráfico entrante y saliente.
  • Un balanceador de cargas interno para la duplicación de paquetes es similar a otros balanceadores de cargas internos, excepto que la regla de reenvío debe configurarse para la duplicación de paquetes especificando la marca --is_mirroring_collector. Todo el tráfico no duplicado que se envía al balanceador de cargas se descarta. Si deseas obtener más información para configurar balanceadores de cargas de red de transferencia internos para la duplicación de paquetes, consulta Crea un balanceador de cargas para la duplicación de paquetes.

Duplicación de tráfico

  • La duplicación de paquetes recopila datos de tráfico solo de la interfaz de red de una VM que está adjunta a una red de VPC en la que se aplica la política de firewall de red que contiene las reglas de duplicación. En los casos en los que una instancia tiene varias interfaces de red, debes configurar políticas de firewall de red independientes para cada interfaz de red.
  • La duplicación de tráfico consume ancho de banda en la instancia duplicada. Por ejemplo, si una instancia duplicada experimenta 1 Gbps de tráfico de entrada y 1 Gbps de tráfico de salida, el tráfico total en las instancias es de 1 Gbps de entrada y de 3 Gbps de salida (1 Gbps de tráfico de salida normal y 2 Gbps de tráfico de salida duplicado). Para limitar el tráfico que se recopila, puedes usar filtros.
  • Para duplicar el tráfico que pasa entre los Pods del mismo nodo de Google Kubernetes Engine, debes habilitar la visibilidad dentro de los nodos en el clúster.

Filtros

  • Puedes usar reglas de duplicación para filtrar el tráfico de las instancias duplicadas tanto para el tráfico IPv4 como para el IPv6.
  • Las reglas de duplicación pueden reducir el volumen del tráfico duplicado, lo que puede ayudarte a limitar el consumo de ancho de banda duplicando solo el tráfico requerido.
  • Puedes configurar reglas de duplicación para recopilar tráfico en función del protocolo, los rangos de enrutamiento entre dominios sin clases (CIDR) (IPv4, IPv6 o ambos), la dirección del tráfico (solo de entrada, solo de salida o ambos) o una combinación.

Registro de reglas de firewall

En el registro de reglas de firewall, no se registran los paquetes duplicados. Si una VM del productor está en una subred que tiene habilitado el registro de reglas de firewall, se registra el tráfico que se envía directamente a la VM del productor, incluido el tráfico de las VMs duplicadas. Por lo tanto, si la dirección IPv4 o IPv6 de destino original coincide con la dirección IPv4 o IPv6 de la VM de productor, se registra el flujo. Para obtener más información sobre el registro de reglas de firewall, consulta Usa el registro de reglas de firewall.

Casos de uso

En las siguientes secciones, se describen situaciones del mundo real en las que se demuestran los casos en los que puedes usar la duplicación de paquetes.

Seguridad empresarial

Los equipos de seguridad y de ingeniería de red deben asegurarse de detectar todas las anomalías y amenazas que pueden indicar intrusiones y un incumplimiento de las normas de seguridad. Duplican todo el tráfico a fin de realizar una inspección exhaustiva de los flujos sospechosos. Dado que los ataques pueden abarcar varios paquetes, los equipos de seguridad deben ser capaces de obtener todos los paquetes de cada flujo.

Por ejemplo, en las siguientes herramientas de seguridad, se requiere que captures varios paquetes:

  • Las herramientas del sistema de detección de intrusiones (IDS) requieren que varios paquetes de un solo flujo coincidan con una firma para que las herramientas puedan detectar amenazas persistentes.

  • Los motores de inspección profunda de paquetes inspeccionan las cargas útiles del paquete a fin de detectar anomalías en el protocolo.

  • Las intrusiones en la red para el cumplimiento de la PCI y otros casos de uso relacionados con las normas requieren que la mayoría de los paquetes se examinen. La duplicación de paquetes proporciona una solución para capturar diferentes vectores de ataque, como una comunicación poco frecuente o un intento de comunicación que falló.

Supervisión del rendimiento de las aplicaciones

Los ingenieros de red pueden usar el tráfico duplicado para solucionar los problemas de rendimiento que informan los equipos de aplicaciones y bases de datos. Para comprobar si hay problemas de red, los ingenieros de red pueden ver lo que pasa por el cable, en lugar de depender de los registros de las aplicaciones.

Por ejemplo, los ingenieros de red pueden usar los datos de la duplicación de paquetes para realizar las siguientes tareas:

  • Analizar protocolos y comportamientos a fin de encontrar y solucionar problemas, como la pérdida de paquetes o los restablecimientos de TCP

  • Analizar (en tiempo real) los patrones de tráfico desde un escritorio remoto, VoIP y otras aplicaciones interactivas. Los ingenieros de red pueden buscar problemas que afecten la experiencia del usuario de la aplicación, como múltiples reenvíos de paquetes o una cantidad de reconexiones mayor que la esperada

Auditorías de seguridad

Puedes recopilar y conservar pruebas relacionadas con la red para cualquier auditoría si es necesario.

Comparación de la duplicación de paquetes de la VPC y la duplicación de paquetes de integración de seguridad de red

En la siguiente tabla, se resumen las diferencias entre la duplicación de paquetes de VPC y la duplicación de paquetes de la integración de seguridad de red.

Atributo Duplicación de paquetes de la VPC Integración de seguridad de redes: Duplicación de paquetes
Encapsulamiento Los paquetes se duplican sin encapsulación. Los paquetes se encapsulan con Geneve.
Semántica de las reglas de duplicación Las reglas de duplicación se evalúan por paquete. Una política de duplicación de paquetes de la VPC puede especificar que solo se duplique un lado de una sesión. La duplicación se basa en la sesión. Además, en las reglas de duplicación, puedes especificar una de las dos opciones: mirror o do-not-mirror. Estas opciones te permiten elegir el tráfico que deseas duplicar o no duplicar.
Filtros de reglas de duplicación Las reglas de duplicación admiten el filtrado por direcciones IP y protocolos de origen (src) y destino (dst). Es igual que la duplicación de paquetes de VPC, pero se agregan rangos de puertos de destino.
Compatibilidad con electrodomésticos de terceros
Compatible con las políticas de firewall jerárquicas
Compatible con las políticas de firewall de red regionales
Compatible con las políticas de firewall de red globales

Interoperabilidad de la duplicación de paquetes de la integración de seguridad de redes y de VPC

A nivel de la carga de trabajo, la duplicación de paquetes de la integración de la seguridad de red tiene prioridad sobre la duplicación de paquetes de VPC. Si una carga de trabajo tiene una configuración de duplicación de paquetes de integración de seguridad de red, el plano de datos ignora cualquier configuración existente de duplicación de paquetes de VPC. Esto se aplica incluso cuando la configuración de duplicación de paquetes de la integración de seguridad de red se aplica de forma implícita a la carga de trabajo.

Por ejemplo, la política de duplicación de paquetes de VPC preexistente está configurada para duplicar el tráfico HTTP y el tráfico ICMP. Cuando el cliente crea una configuración de duplicación de paquetes de integración de seguridad de red con una regla de duplicación para duplicar HTTP, esta regla se habilita en una política de firewall de red global y se asocia con el proyecto. Como resultado, la configuración de duplicación de paquetes de la integración de seguridad de la red tiene prioridad sobre la política de duplicación de paquetes de la VPC, y se producen los siguientes cambios durante el procesamiento de paquetes:

  • El tráfico HTTP se duplica según la configuración de duplicación de paquetes de la integración de seguridad de la red. Esto significa que todo el tráfico HTTP se envía al destino especificado para una inspección profunda de paquetes.
  • El plano de datos ignora todos los parámetros de configuración de la Duplicación de paquetes de VPC para todas las cargas de trabajo. Esto significa que se finaliza la duplicación del tráfico de ICMP configurada en la política de Duplicación de paquetes de VPC y ya no se duplica el tráfico de ICMP.

Este cambio en el comportamiento puede tener implicaciones significativas en tu red. Por ejemplo, si dependes de la duplicación de tráfico ICMP para solucionar problemas de red, ya no podrás hacerlo después de que se aplique la configuración de duplicación de paquetes de la integración de seguridad de red.

Limitaciones

  • El único tipo de balanceador de cargas interno compatible con la implementación del productor es un balanceador de cargas de red de transferencia interno con un backend de grupo de instancias. Esto significa que la configuración del backend del grupo de extremos de red (NEG) no se admite para la implementación del productor.

  • Cuando los paquetes de red coinciden con alguna regla de duplicación, Compute Engine procesa los paquetes originales y los duplicados a una velocidad más lenta. La tasa de procesamiento de paquetes depende del tipo de máquina, el tamaño del paquete y el uso de CPU, y es aproximadamente similar a las tasas de salida fuera de una red de VPC. Si necesitas velocidad de procesamiento y de red completa para el tráfico duplicado, comunícate con el equipo de asistencia para analizar soluciones alternativas.

  • No se recomienda habilitar la duplicación para las familias de máquinas de 3ª generación y versiones posteriores, ya que la velocidad de la ruta más lenta anula los beneficios de la red de alto ancho de banda.

  • Las políticas de firewall de red regionales no admiten la duplicación de paquetes.

  • Cada regla de reenvío del balanceador de cargas interno solo se puede asociar con una sola implementación de duplicación. La implementación de la duplicación debe estar en el mismo proyecto que un balanceador de cargas interno, y la zona de la implementación de la duplicación debe estar ubicada dentro de la región de un balanceador de cargas interno.

  • Las reglas de duplicación no admiten etiquetas seguras de origen.

  • Una VPC puede asociarse, como máximo, con una asociación de grupo de extremos de duplicación.

  • El tráfico que coincide con una regla de firewall con la acción apply_security_profile_group no se duplica. Las reglas de firewall con esta acción anulan la configuración de duplicación.

¿Qué sigue?