Para analisar o tráfego de rede das suas cargas de trabalho em grande escala, use o espelhamento de pacotes, um serviço de integração de segurança de rede fora da banda. Com o espelhamento de pacotes, é possível monitorar o tráfego de rede usando dispositivos virtuais de terceiros.
O espelhamento de pacotes clona o tráfego de rede com base nos critérios de filtragem especificados nas regras de espelhamento da política de firewall. Em seguida, esse tráfego espelhado é enviado às implantações de dispositivos virtuais de terceiros para inspeção profunda de pacotes.
O espelhamento de pacotes captura todos os dados de pacote, incluindo payloads e cabeçalhos de IP. É possível analisar o tráfego de rede espelhado para monitorar a performance da rede e dos aplicativos e detectar ameaças.
O espelhamento de pacotes é um serviço zonal que oferece suporte a implantações regionais. No entanto, você recebe cobranças pelo tráfego entre zonas se o consumidor e o produtor da sua implantação de espelhamento estiverem em zonas diferentes. Para aumentar a confiabilidade da implantação de espelhamento, recomendamos criar uma implantação de produtor separada na mesma zona da origem de espelhamento. Assim, você pode minimizar as cobranças de tráfego entre zonas e melhorar a confiabilidade geral da sua configuração de espelhamento.
Benefícios de usar a integração fora da banda
A integração fora da banda oferece os seguintes benefícios:
Recursos de correspondência de tráfego granular: com esses recursos, é possível especificar regras de espelhamento como parte da política de firewall. Isso permite usar a política global de firewall de rede ao definir regras de espelhamento. Com elas, é possível espelhar tráfego específico com base em vários critérios, incluindo endereços IP de origem ou destino, protocolos e intervalos de portas de destino. Para mais informações sobre regras de espelhamento, consulte Regras de espelhamento.
Filtros negativos: use a ação
DO_NOT_MIRRORnas regras de espelhamento para definir filtros negativos. Isso permite ignorar tráfego específico nas regras de espelhamento.Encapsulamento Geneve: o tráfego espelhado é encapsulado usando Geneve. Isso ajuda você a preservar os pacotes originais quando eles são entregues aos dispositivos de terceiros para inspeção. Para mais informações, consulte Entender o formato GENEVE.
Além do pacote original, o encapsulamento geneve também inclui informações sobre a origem do espelhamento. Ele adiciona um identificador exclusivo de rede de nuvem privada virtual (VPC) a cada pacote redirecionado para o grupo de endpoints de espelhamento para inspeção detalhada de pacotes. Se você tiver várias redes VPC com intervalos de endereços IP sobrepostos, esse identificador de rede ajudará a garantir que cada pacote redirecionado esteja corretamente associado à respectiva rede VPC.
Coletor de espelhamento como serviço: você pode centralizar o gerenciamento operacional dos seus dispositivos de terceiros e oferecê-los como um serviço para diferentes equipes de aplicativos na sua organização. Essa implantação centralizada de appliance pode estar em um projeto ou organização diferente, dependendo da forma como suas equipes estão organizadas.
Modelo de implantação de integração fora da banda
A integração fora da banda se baseia no modelo produtor-consumidor, em que o consumidor consome os serviços oferecidos pelo produtor.
A Figura 1 mostra a arquitetura de implantação de alto nível do serviço de integração fora da banda.
Componentes do produtor
Uma rede VPC do produtor contém um conjunto de instâncias de coleta com balanceamento de carga que podem receber pacotes encapsulados em Geneve de uma rede do consumidor. As instâncias no grupo de instâncias são chamadas de instâncias de coletor.
Ao especificar as instâncias do coletor, você insere o nome de uma regra de encaminhamento associada ao balanceador de carga de rede de passagem interna.Em seguida, o Google Cloudencaminha o tráfego espelhado para as instâncias do coletor. Um balanceador de carga interno para o espelhamento de pacotes é semelhante a outros balanceadores de carga internos, exceto pela necessidade de que a regra de encaminhamento seja configurada para espelhamento de pacote. Qualquer tráfego não espelhado enviado ao balanceador de carga é descartado.
Grupos e implantações de espelhamento
A implantação de espelhamento é um recurso zonal que aponta para a regra de encaminhamento de um balanceador de carga de rede de passagem interna que atua como o front-end das instâncias do coletor. Essas implantações de espelhamento são agrupadas em grupos de implantação de espelhamento em diferentes locais de um projeto para facilitar o consumo e o gerenciamento.
Um grupo de endpoints de espelhamento na rede do consumidor envia tráfego espelhado para o grupo de implantação de espelhamento correspondente. O grupo de implantação de espelhamento envia o tráfego para a implantação de espelhamento na mesma zona que a origem de espelhamento para inspeção.
Para mais informações sobre grupos e implantações de espelhamento, consulte Visão geral dos grupos de implantação de espelhamento e Visão geral das implantações de espelhamento.
Componentes do consumidor
As origens espelhadas são instâncias de máquina virtual (VM) do Compute Engine que podem ser selecionadas usando parâmetros de destino, origem e destino em regras de espelhamento. É possível especificar um ou mais tipos de origem. Se uma instância corresponder a ao menos uma delas, ela será espelhada.
O espelhamento de pacotes coleta o tráfego da interface de rede de uma instância na rede a que se aplica a política de espelhamento de pacotes. Quando uma instância tem várias interfaces de rede, as outras não são espelhadas, a menos que outra política tenha sido configurada para isso.
As seções a seguir abordam os componentes de uma rede de consumidores.
Grupos de endpoints de espelhamento
Um grupo de endpoints de espelhamento é um recurso no nível do projeto no lado do consumidor que corresponde diretamente a um grupo de implantação de espelhamento do produtor. É possível associar as redes VPC individuais a um grupo de endpoints de espelhamento para ativar o espelhamento de tráfego.
Recomendamos que você crie um grupo de endpoints de espelhamento em um projeto de propriedade do administrador de segurança. Para criar as associações de grupo de endpoints de espelhamento, o administrador de segurança precisa fornecer o papel de administrador do endpoint de espelhamento (roles/networksecurity.mirroringAdmin) e o papel de administrador de rede do endpoint de espelhamento (roles/networksecurity.mirroringEndpointNetworkAdmin) a esse projeto ou ao administrador de rede.
Para mais informações sobre grupos de endpoints de espelhamento, consulte Visão geral do grupo de endpoints de espelhamento.
Associação do grupo de endpoints de espelhamento
A associação de grupo de endpoints de espelhamento especifica a rede VPC do consumidor cujo tráfego precisa ser espelhado e transferido para o grupo de implantação do produtor para inspeção.
Os grupos de endpoints de espelhamento enviam o tráfego espelhado para o grupo de implantação correspondente na rede do produtor. No entanto, para especificar a rede VPC do consumidor cujo tráfego espelhado precisa ser inspecionado, você cria uma associação entre a rede VPC e o grupo de endpoints de espelhamento.
Depois de criar uma associação de grupo de endpoints de espelhamento, as regras de espelhamento da política de firewall determinam quais pacotes espelhar da rede VPC associada. Se a associação do grupo de endpoints de espelhamento não for criada, as regras de espelhamento serão ignoradas e os pacotes não serão enviados ao grupo de implantação para inspeção.
Para mais informações sobre a associação de grupos de endpoints, consulte Criar e gerenciar associações de grupos de endpoints de espelhamento.
Políticas e regras de firewall
Em uma rede VPC do consumidor, use políticas de firewall de rede para selecionar o tráfego que você quer espelhar e inspecionar. As políticas de firewall contêm as seguintes regras:
Regras de política de firewall: permitem ou negam a entrada ou saída de pacotes de dados para e das VMs do consumidor. Uma regra de política de firewall pode ter uma das seguintes ações:
ALLOW: permite o tráfego e interrompe a avaliação de outras regras de política de firewall de prioridade mais baixa.DENY: não permite o tráfego e interrompe a avaliação de outras regras de política de firewall de prioridade mais baixa.GOTO_NEXT: continua o processo de avaliação de regras.
Para mais informações sobre regras da política de firewall, consulte Visão geral das regras da política de firewall.
Regras de espelhamento: determina se os pacotes de dados de entrada ou saída são espelhados. Uma regra de espelhamento pode ter uma das seguintes ações:
MIRROR: permite o espelhamento do fluxo de tráfego e interrompe a avaliação de outras regras de espelhamento de prioridade mais baixa.DO_NOT_MIRROR: não permite o espelhamento do fluxo de tráfego e interrompe a avaliação de outras regras de espelhamento de prioridade mais baixa. Use a açãoDO_NOT_MIRRORpara filtrar de maneira granular fluxos de tráfego que não precisam de espelhamento.GOTO_NEXT: ação que pode ser usada para delegar a avaliação de conexão a níveis mais baixos. A regra de espelhamento permite o processamento de regras subsequentes se uma das seguintes condições for atendida:- Se essa ação for
goto_next, a avaliação vai para a próxima regra. Consequentemente, várias regrasgoto_nextnão afetam o comportamento umas das outras. - Se o tráfego de entrada não corresponder a nenhuma regra, o sistema
vai usar uma ação
goto_nextpadrão. Isso significa que o nível atual da política não encontrou uma ação relevante, então a avaliação prossegue para o próximo nível mais baixo.
- Se essa ação for
Ordem de avaliação de políticas e regras para regras de espelhamento
É possível adicionar regras de espelhamento à política global de firewall de rede. Assim como as regras de política de firewall, as regras de espelhamento são avaliadas em ordem decrescente de prioridade, sendo zero (0) a prioridade mais alta. Cada regra de espelhamento em uma política de firewall precisa ter uma prioridade exclusiva. Se um fluxo de tráfego corresponder a uma regra de espelhamento, a integração fora da banda vai espelhar o pacote e ignorar a avaliação de regras de espelhamento de prioridade mais baixa.
Quando as regras de espelhamento são configuradas em uma política de firewall, a ordem em que elas são avaliadas se baseia na direção do tráfego de entrada ou saída de uma VM.
No caso de entrada, o tráfego é avaliado primeiro com base na ordem de avaliação das regras da política de firewall.
- Se as regras de firewall permitirem o tráfego de entrada, ele será avaliado em relação às regras de espelhamento. Com base na ação das regras de espelhamento, o tráfego é espelhado ou não.
- Se as regras de firewall não permitirem o tráfego de entrada, ele não será avaliado em relação às regras de espelhamento, e os pacotes de tráfego bloqueados por regras de firewall serão descartados e não serão espelhados.
No caso de saída, o tráfego é avaliado primeiro em relação às regras de espelhamento. Com base na ação especificada para regras de espelhamento, o tráfego é espelhado ou não e, em seguida, avaliado de acordo com a ordem de avaliação da regra da política de firewall de saída.
Perfis de segurança e grupos de perfis de segurança
As regras de espelhamento fazem referência aos perfis de segurança nos grupos de perfis de segurança para implementar a inspeção profunda de pacotes do tráfego espelhado. O tráfego que corresponde a uma regra de espelhamento é espelhado para o grupo de endpoints de espelhamento referenciado pelo perfil de segurança da regra de espelhamento.
Você precisa criar um grupo de perfis de segurança com um perfil personalizado
que aponte para seu grupo de endpoints de espelhamento para inspeção
de terceiros. Ao criar a regra de espelhamento, associe
o grupo de perfis de segurança a ela usando a flag --security-profile-group. Os perfis e grupos de perfis de segurança são recursos no nível da organização.
Para mais informações sobre perfis e grupos de perfis de segurança, consulte Visão geral dos perfis de segurança e Visão geral dos grupos de perfis de segurança.
Como funciona a integração fora da banda
A integração fora da banda usa a tecnologia de espelhamento de pacotes para copiar os dados de tráfego da rede VPC do consumidor e enviá-los para a rede VPC do produtor por um grupo de endpoints de espelhamento. O Espelhamento de pacotes processa o tráfego na seguinte sequência:
- Uma política de firewall de rede é aplicada ao tráfego de e para a VM na rede.
- O tráfego que corresponde à regra de espelhamento na política é espelhado, e os pacotes espelhados são encapsulados usando Geneve, preservando os pacotes originais.
- Com base no perfil de segurança do grupo especificado na política de firewall de rede, o tráfego espelhado é enviado a um grupo de endpoints de espelhamento.
- O grupo de endpoints de espelhamento transporta os pacotes com segurança para a implantação de espelhamento correspondente no grupo de implantação de espelhamento de destino para inspeção profunda de pacotes.
- O balanceador de carga de passagem interna do grupo de implantação de espelhamento do produtor distribui os fluxos de pacotes pelos dispositivos virtuais de terceiros configurados como back-ends do balanceador de carga.
- Os dispositivos virtuais de terceiros de back-end processam os pacotes para realizar a inspeção profunda de pacotes.
Especificações
As seções a seguir abordam as especificações da integração fora da banda.
Especificações gerais
- Todos os protocolos da camada 4 são compatíveis com o espelhamento de pacotes.
- É possível criar uma permissão do IAM no lado do produtor para controlar qual consumidor pode se conectar ao grupo de implantação do produtor.
- Recomendamos que você tenha projetos de produtor e consumidor na mesma organização. No entanto, você também pode ter contas em organizações diferentes.
- Não configure o produtor e o consumidor na mesma rede VPC, porque isso causa um loop de espelhamento.
- É necessário configurar regras de política de firewall na rede VPC do produtor para permitir pacotes encapsulados em Geneve (UDP:6081) do grupo de implantação de espelhamento. Além disso, configure as regras da política de firewall para permitir também sondagens de verificação de integridade do balanceador de carga de rede de passagem interno. Para mais informações, consulte Usar políticas e regras de firewall de rede global.
- A integração fora da banda oferece suporte ao espelhamento entre zonas. É possível configurar o espelhamento entre zonas ou na mesma zona escolhendo a zona do back-end do balanceador de carga interno no lado do produtor.
- As regras de espelhamento, assim como as regras de firewall, são baseadas em sessão. Uma regra de espelhamento especifica a sessão que precisa ser espelhada de acordo com o iniciador da sessão. Em uma sessão espelhada, todos os pacotes no tráfego de entrada e saída são espelhados.
- Um balanceador de carga interno para o espelhamento de pacotes é semelhante a outros balanceadores de carga internos, exceto pela necessidade de que a regra de encaminhamento seja configurada para espelhamento de pacote especificando a flag
--is_mirroring_collector. Qualquer tráfego não espelhado enviado ao balanceador de carga é descartado. Para mais informações sobre como configurar balanceadores de carga de rede de passagem interna para o espelhamento de pacotes, consulte Criar um balanceador de carga para o espelhamento de pacotes.
Espelhamento de tráfego
- O espelhamento de pacotes coleta dados de tráfego apenas da interface de rede de uma VM que está conectada a uma rede VPC em que a política de firewall de rede que contém as regras de espelhamento se aplica. Nos casos em que uma instância tem várias interfaces de rede, é necessário configurar políticas de firewall de rede separadas para cada interface.
- Espelhar o tráfego consome largura de banda na instância espelhada. Por exemplo, se uma instância espelhada tiver 1 Gbps de tráfego de entrada e 1 Gbps de tráfego de saída, o tráfego total nessas instâncias será de 1 Gbps de entrada e 3 Gbps de saída (1 Gbps de tráfego de saída normal e 2 Gbps de tráfego de saída espelhado). Para limitar o tráfego coletado, use os filtros.
- Para espelhar o tráfego transmitido entre pods no mesmo nó do Google Kubernetes Engine, ative a visibilidade intranós no cluster.
Filtragem
- É possível usar regras de espelhamento para filtrar o tráfego de instâncias espelhadas para tráfego IPv4 e IPv6.
- As regras de espelhamento podem reduzir o volume do tráfego espelhado, o que ajuda a limitar o consumo de largura de banda espelhando apenas o tráfego necessário.
- É possível configurar regras de espelhamento para coletar tráfego com base em protocolo, intervalos de roteamento entre domínios sem classe (CIDR, na sigla em inglês) (IPv4, IPv6 ou ambos), direção do tráfego (somente entrada, somente saída ou ambos) ou uma combinação.
Geração de registros de regras de firewall
A geração de registros de regras de firewall não registra pacotes espelhados. Se uma VM produtora estiver em uma sub-rede com a geração de registros de regras de firewall ativada, o tráfego enviado diretamente para a VM produtora será registrado, incluindo o tráfego de VMs espelhadas. Portanto, se o endereço IPv4 ou IPv6 de destino original corresponder ao endereço IPv4 ou IPv6 da VM produtora, o fluxo será registrado. Para mais informações sobre a geração de registros de regras de firewall, consulte Usar a geração de registros de regras de firewall.
Casos de uso
As seções a seguir descrevem cenários reais que mostram por que usar o espelhamento de pacotes.
Segurança corporativa
As equipes de engenharia de segurança e de rede precisam garantir que estão capturando todas as anomalias e ameaças que podem indicar violações de segurança e intrusões. Elas espelham todo o tráfego para que possam concluir uma inspeção abrangente de fluxos suspeitos. Como os ataques podem abranger vários pacotes, as equipes de segurança precisam conseguir todos os pacotes para cada fluxo.
Por exemplo, as seguintes ferramentas de segurança exigem a captura de vários pacotes:
As ferramentas do sistema de detecção de intrusão (IDS) exigem vários pacotes de um único fluxo para corresponder a uma assinatura para que as ferramentas possam detectar ameaças persistentes.
Os mecanismos de inspeção profunda de pacotes inspecionam payloads de pacotes para detectar anomalias de protocolo.
Análise forense de redes para conformidade com a PCI e outros casos de uso regulatórios exigem que a maioria dos pacotes seja examinada. O espelhamento de pacotes fornece uma solução para a captura de diferentes vetores de ataque, como comunicação ocasional ou tentativa frustrada na comunicação.
Monitoramento do desempenho de aplicativos
Os engenheiros de rede podem usar o tráfego espelhado para solucionar problemas de desempenho relatados por equipes de aplicativos e bancos de dados. Para verificar se há problemas de rede, os engenheiros de rede conseguem visualizar o que está acontecendo na rede, em vez de confiar nos registros do aplicativo.
Por exemplo, os engenheiros de rede podem usar dados do espelhamento de pacotes para concluir as seguintes tarefas:
Analisar protocolos e comportamentos para encontrar e corrigir problemas, como perda de pacotes ou redefinições de TCP.
Analisar padrões de tráfego (em tempo real) de computadores remotos, VoIP e outros aplicativos interativos. Os engenheiros de rede podem pesquisar problemas que afetam a experiência do usuário do aplicativo, como vários reenvios de pacotes ou reconexões em maior quantidade do que o esperado.
Auditorias de segurança
Você pode coletar e preservar evidências relacionadas à rede para auditorias, se necessário.
Comparação entre o espelhamento de pacotes da VPC e o espelhamento de pacotes de integração da segurança de rede
A tabela a seguir resume as diferenças entre o espelhamento de pacotes da VPC e o espelhamento de pacotes da integração de segurança de rede.
| Atributo | Espelhamento de pacotes da VPC | Espelhamento de pacotes de integração de segurança de rede |
|---|---|---|
| Encapsulamento | Os pacotes são espelhados sem encapsulamento. | Os pacotes são encapsulados com Geneve. |
| Semântica das regras de espelhamento | As regras de espelhamento são avaliadas por pacote. Uma política de espelhamento de pacotes da VPC pode especificar o espelhamento de apenas um lado de uma sessão. | O espelhamento é baseado em sessões. Além disso, nas regras de espelhamento, é possível especificar uma das duas opções: mirror ou do-not-mirror. Com essas opções, você escolhe o tráfego que quer ou não espelhar. |
| Filtros de regras de espelhamento | As regras de espelhamento oferecem suporte à filtragem por endereços IP e protocolos de origem (src) e destino (dst). |
Igual ao espelhamento de pacotes da VPC, com a adição de intervalos de portas de destino. |
| Suporte a eletrodomésticos de terceiros | ||
| Compatível com políticas hierárquicas de firewall | ||
| Compatível com políticas regionais de firewall de rede | ||
| Compatível com políticas globais de firewall de rede |
Interoperabilidade do espelhamento de pacotes de integração de segurança de rede e VPC
No nível da carga de trabalho, o espelhamento de pacotes de integração da segurança de rede tem precedência sobre o espelhamento de pacotes da VPC. Se uma carga de trabalho tiver uma configuração de espelhamento de pacotes de integração de segurança de rede, o plano de dados vai ignorar qualquer configuração de espelhamento de pacotes da VPC. Isso se aplica mesmo quando a configuração de espelhamento de pacotes de integração de segurança de rede é aplicada implicitamente à carga de trabalho.
Por exemplo, a política de espelhamento de pacotes da VPC preexistente está configurada para espelhar o tráfego HTTP e ICMP. Quando o cliente cria uma configuração de espelhamento de pacotes de integração de segurança de rede com uma regra de espelhamento para espelhar HTTP, essa regra é ativada em uma política de firewall de rede global e associada ao projeto. Como resultado, a configuração de espelhamento de pacotes da integração de segurança de rede tem precedência sobre a política de espelhamento de pacotes da VPC, e as seguintes mudanças ocorrem durante o processamento de pacotes:
- O tráfego HTTP é espelhado de acordo com a configuração de espelhamento de pacotes da integração de segurança de rede. Isso significa que todo o tráfego HTTP é enviado ao destino especificado para inspeção profunda de pacotes.
- O plano de dados ignora todas as configurações de espelhamento de pacotes da VPC para todas as cargas de trabalho. Isso significa que o espelhamento de tráfego ICMP configurado na política de espelhamento de pacotes da VPC é encerrado, e o tráfego ICMP não é mais espelhado.
Essa mudança de comportamento pode ter implicações significativas na sua rede. Por exemplo, se você usa o espelhamento de tráfego ICMP para resolver problemas de rede, não será mais possível fazer isso depois que a configuração de espelhamento de pacotes da integração de segurança de rede for aplicada.
Limitações
O único tipo de balanceador de carga interno compatível com a implantação do produtor é um balanceador de carga de rede de passagem interna com um back-end de grupo de instâncias. Isso significa que a configuração de back-end do grupo de endpoints de rede (NEG) não é compatível com a implantação do produtor.
Quando os pacotes de rede correspondem a uma regra de espelhamento, o Compute Engine processa os pacotes originais e espelhados a uma taxa mais lenta. A taxa de processamento de pacotes depende do tipo de máquina, do tamanho do pacote e da utilização da CPU, sendo aproximadamente semelhante às taxas de saída fora de uma rede VPC. Se você precisar de velocidade de rede e de processamento total para tráfego espelhado, entre em contato com o suporte para discutir soluções alternativas.
Não é recomendável ativar o espelhamento para famílias de máquinas de terceira geração e posteriores porque a taxa da rota mais lenta anula os benefícios de rede de alta largura de banda.
As políticas de firewall da rede regional não são compatíveis com o espelhamento de pacotes.
Cada regra de encaminhamento de balanceador de carga interno só pode ser associada a uma única implantação de espelhamento. A implantação de espelhamento precisa estar no mesmo projeto que um balanceador de carga interno, e a zona da implantação de espelhamento precisa estar localizada na região de um balanceador de carga interno.
As regras de espelhamento não são compatíveis com tags seguras de origem.
Uma VPC pode ser associada a, no máximo, uma associação de grupo de endpoints de espelhamento.
O tráfego que corresponde a uma regra de firewall com a ação
apply_security_profile_groupnão é espelhado. As regras de firewall com essa ação substituem a configuração de espelhamento.
A seguir
- Configurar serviços de produtor
- Configurar serviços ao consumidor
- Monitorar a integração fora da banda
- Visão geral da integração da segurança de rede