Seguridad de red de VMware Engine mediante dispositivos centralizados

Last reviewed 2023-07-26 UTC

Como parte de la estrategia de defensa en profundidad de tu organización, es posible que tengas políticas de seguridad que requieran el uso de dispositivos de red centralizados para la detección en línea y el bloqueo de actividad sospechosa de la red. En este documento, se te ayuda a diseñar las siguientes funciones avanzadas de protección de red para cargas de trabajo de Google Cloud VMware Engine:

  • Mitigación de ataques de denegación de servicio distribuido (DSD)
  • Descarga de SSL
  • Firewalls de última generación (NGFW)
  • Sistema de prevención contra intrusiones (IPS) y sistema de detección de intrusiones (IDS)
  • Inspección profunda de paquetes (DPI)

Las arquitecturas en este documento usan Cloud Load Balancing y dispositivos de red de Google Cloud Marketplace. Cloud Marketplace ofrece dispositivos de red listos para la producción y compatibles con los proveedores de los socios de seguridad de Google Cloud para las necesidades de TI de tu empresa.

La orientación de este documento está destinada a arquitectos de seguridad y administradores de red que diseñan, aprovisionan y administran la conectividad de red para cargas de trabajo de VMware Engine. En el documento, suponemos que estás familiarizado con la nube privada virtual (VPC), VMware vSphere, VMware NSX, la traducción de direcciones de red (NAT) y Cloud Load Balancing.

Arquitectura

En el siguiente diagrama, se muestra una arquitectura para la conectividad de red a las cargas de trabajo de VMware Engine desde redes locales y desde Internet. Más adelante en este documento, esta arquitectura se extiende para cumplir con los requisitos de los casos de uso específicos.

Arquitectura básica para la conectividad de red a las cargas de trabajo de VMware Engine.
Figura 1. Arquitectura básica para la conectividad de red a las cargas de trabajo de VMware Engine.

En la Figura 1, se muestran los siguientes componentes principales de la arquitectura:

  1. Nube privada de VMware Engine: una pila de VMware aislada que consta de máquinas virtuales (VM), almacenamiento, infraestructura de herramientas de redes y VMware vCenter Server. VMware NSX-T proporciona herramientas de redes y funciones de seguridad, como la microsegmentación y las políticas de firewall. Las VM de VMware Engine usan direcciones IP de los segmentos de red que creas en la nube privada.
  2. Servicio de dirección IP pública: proporciona direcciones IP externas a las VM de VMware Engine para habilitar el acceso de entrada desde Internet. La puerta de enlace de Internet proporciona acceso de salida de forma predeterminada para las VM de VMware Engine.
  3. Red de VPC de usuarios de VMware Engine: una red de VPC dedicada y administrada por Google que se usa con cada nube privada de VMware Engine para habilitar la comunicación con los servicios de Google Cloud.

  4. Redes de VPC de cliente:

    • Red de VPC de cliente 1 (externa): una red de VPC que aloja la interfaz pública de tu dispositivo de red y el balanceador de cargas.
    • Red de VPC de cliente 2 (interna): una red de VPC que aloja la interfaz interna del dispositivo de red y realiza un intercambio de tráfico con la red de VPC de usuario de VMware Engine mediante el modelo de acceso privado a servicios.

  5. Acceso privado a los servicios: un modelo de acceso privado que usa el intercambio de tráfico entre redes de VPC para habilitar la conectividad entre los servicios administrados por Google y las redes de VPC.

  6. Dispositivos de red: software de herramientas de redes que eliges de Cloud Marketplace e implementas en instancias de Compute Engine. Para obtener más información sobre la implementación de dispositivos de red de terceros en Google Cloud, consulta Dispositivos de red centralizados en Google Cloud.

  7. Cloud Load Balancing: es un servicio administrado por Google que puedes usar para administrar el tráfico hacia cargas de trabajo distribuidas con alta disponibilidad en Google Cloud. Puedes elegir un tipo de balanceador de cargas que se adapte al protocolo de tráfico y los requisitos de acceso. Las arquitecturas de este documento no usan los balanceadores de cargas de NSX-T integrados.

Notas de configuración

En el siguiente diagrama, se muestran los recursos necesarios a fin de proporcionar conectividad de red para las cargas de trabajo de VMware Engine:

Recursos necesarios para la conectividad de red a las cargas de trabajo de VMware Engine.
Figura 2. Recursos necesarios para la conectividad de red a las cargas de trabajo de VMware Engine.

En la Figura 2, se muestran las tareas que debes completar para configurar los recursos en esta arquitectura. A continuación se encuentra una descripción de cada tarea, incluido un vínculo a un documento que proporciona más información e instrucciones detalladas.

  1. Crea las subredes y las redes de VPC internas y externas mediante las instrucciones que se indican en Crea una red de VPC en modo personalizado.

    • Para cada subred, elige un rango de direcciones IP que sea único en todas las redes de VPC.
    • La red de VPC de administración que se muestra en el diagrama de arquitectura es opcional. Si es necesario, puedes usarla a fin de alojar interfaces de NIC de administración para tus dispositivos de red.

  2. Implementa los dispositivos de red necesarios desde Cloud Marketplace.

    • Para obtener una alta disponibilidad de los dispositivos de red, implementa cada dispositivo en un par de VM distribuidas en dos zonas.

      Puedes implementar los dispositivos de red en grupos de instancias. Los grupos de instancias pueden ser grupos de instancias administrados (MIG) o no administrados, según tus requisitos de administración o asistencia de proveedores.

    • Aprovisiona las interfaces de red de la siguiente manera:

      • nic0 en la red de VPC externa para enrutar el tráfico a la fuente pública.
      • nic1 para las operaciones de administración, si el proveedor del dispositivo lo requiere.
      • nic2 en la red de VPC interna para la comunicación interna con los recursos de VMware Engine.

      Implementar las interfaces de red en redes de VPC independientes te ayuda a garantizar la separación de la zona de seguridad a nivel de la interfaz para las conexiones públicas y locales.

  3. Configura VMware Engine:

  4. Usa el acceso privado a servicios a fin de configurar el intercambio de tráfico entre redes de VPC para conectar la red de VPC interna a la red de VPC que administra VMware Engine.

  5. Si necesitas conectividad híbrida con tu red local, usa Cloud VPN o Cloud Interconnect.

Puedes extender la arquitectura en la Figura 2 para los siguientes casos de uso:

Caso práctico Productos y servicios utilizados
NGFW para cargas de trabajo públicas de VMware Engine
  • Dispositivos de red desde Cloud Marketplace
  • Balanceadores de cargas de red de transferencia externos
NGFW, mitigación de DSD, descarga de SSL y red de distribución de contenidos (CDN) para cargas de trabajo públicas de VMware Engine
  • Dispositivos de red desde Cloud Marketplace
  • Balanceadores de cargas de aplicaciones externos
NGFW para la comunicación privada entre las cargas de trabajo de VMware Engine y los centros de datos locales o cualquier otro proveedor de servicios en la nube
  • Dispositivos de red desde Cloud Marketplace
  • Balanceadores de cargas de red de transferencia internos
Puntos de salida centralizados a Internet para cargas de trabajo de VMware Engine
  • Dispositivos de red desde Cloud Marketplace
  • Balanceadores de cargas de red de transferencia internos

En las siguientes secciones, se describen estos casos de uso y se proporciona una descripción general de las tareas de configuración para implementarlos.

NGFW para cargas de trabajo públicas

Este caso de uso tiene los siguientes requisitos:

  • Una arquitectura híbrida con instancias de VMware Engine y Compute Engine, con un balanceador de cargas L4 como frontend común.
  • Protección para cargas de trabajo públicas de VMware Engine mediante una solución IPS/IDS, NGFW, DPI o NAT.
  • Más direcciones IP públicas de las que admite el servicio de direcciones IP públicas de VMware Engine.

En el siguiente diagrama, se muestran los recursos necesarios a fin de aprovisionar un NGFW para las cargas de trabajo públicas de VMware Engine:

Recursos necesarios para aprovisionar un NGFW destinado a cargas de trabajo públicas de VMware Engine.
Figura 3. Recursos necesarios para aprovisionar un NGFW destinado a cargas de trabajo públicas de VMware Engine.

En la Figura 3, se muestran las tareas que debes completar para configurar los recursos en esta arquitectura. A continuación se encuentra una descripción de cada tarea, incluido un vínculo a un documento que proporciona más información e instrucciones detalladas.

  1. Aprovisiona un balanceador de cargas de red de transferencia externo en la red de VPC externa como el punto de entrada público de Ingress para las cargas de trabajo de VMware Engine.

    • Crea varias reglas de reenvío para admitir varias cargas de trabajo de VMware Engine.
    • Configura cada regla de reenvío con una dirección IP única y un número de puerto TCP o UDP.
    • Configura los dispositivos de red como backends para el balanceador de cargas.

  2. Configura los dispositivos de red a fin de que realicen el NAT de destino (DNAT) para la dirección IP pública de la regla de reenvío en las direcciones IP internas de las VM que alojan las aplicaciones públicas en VMware Engine.

    • Los dispositivos de red deben realizar NAT de origen (SNAT) para el tráfico de la interfaz nic2 a fin de garantizar una ruta de acceso simétrica mostrada.
    • Los dispositivos de red también deben enrutar el tráfico destinado a redes de VMware Engine a través de la interfaz nic2 a la puerta de enlace de la subred (la primera dirección IP de la subred).
    • Para que las verificaciones de estado se aprueben, los dispositivos de red deben usar interfaces secundarias o de bucle invertido a fin de responder a las direcciones IP de las reglas de reenvío.

  3. Configura la tabla de ruta de la red de VPC interna para reenviar el tráfico de VMware Engine al intercambio de tráfico entre redes de VPC como un siguiente salto.

En esta configuración, las VM de VMware Engine usan el servicio de puerta de enlace de Internet de VMware Engine para la salida a los recursos de Internet. Sin embargo, los dispositivos de red administran la entrada para las direcciones IP públicas que se asignan a las VM.

NGFW, mitigación de DSD, descarga de SSL y CDN

Este caso de uso tiene los siguientes requisitos:

  • Una arquitectura híbrida con instancias de VMware Engine y Compute Engine, con un balanceador de cargas L7 como frontend común y asignación de URL para enrutar el tráfico al backend adecuado.
  • Protección para cargas de trabajo públicas de VMware Engine mediante una solución IPS/IDS, NGFW, DPI o NAT.
  • Mitigación de DSD de L3-L7 para las cargas de trabajo públicas de VMware Engine mediante Google Cloud Armor.
  • Finalización SSL con certificados SSL administrados por Google o políticas de SSL para controlar los cifrados y las versiones de SSL que se usan en HTTPS o conexiones SSL a cargas de trabajo públicas de VMware Engine.
  • Entrega de red acelerada para las cargas de trabajo de VMware Engine mediante Cloud CDN a fin de entregar contenido desde ubicaciones cerca de los usuarios.

En el siguiente diagrama, se muestran los recursos necesarios para aprovisionar la capacidad de NGFW, la mitigación de DSD, la descarga de SSL y la CDN para tus cargas de trabajo públicas de VMware Engine:

Recursos necesarios para aprovisionar un NGFW, la mitigación de DSD, la descarga de SSL y la CDN para cargas de trabajo públicas de VMware Engine.
Figura 4. Recursos necesarios para aprovisionar un NGFW, la mitigación de DSD, la descarga de SSL y la CDN para cargas de trabajo públicas de VMware Engine.

En la Figura 4, se muestran las tareas que debes completar para configurar los recursos en esta arquitectura. A continuación se encuentra una descripción de cada tarea, incluido un vínculo a un documento que proporciona más información e instrucciones detalladas.

  1. Aprovisiona un balanceador de cargas de aplicaciones externo global en la red de VPC externa como el punto de entrada público de Ingress para las cargas de trabajo de VMware Engine.

    • Crea varias reglas de reenvío para admitir varias cargas de trabajo de VMware Engine.
    • Configura cada regla de reenvío con una dirección IP pública única y configúrala para escuchar el tráfico HTTP(S).
    • Configura los dispositivos de red como backends para el balanceador de cargas.

    Además, puedes hace lo siguiente:

    • Para proteger los dispositivos de red, configura las políticas de seguridad de Google Cloud Armor en el balanceador de cargas.
    • A fin de admitir el enrutamiento, la verificación de estado y la dirección IP Anycast para los dispositivos de red que actúan como backends de CDN, configura Cloud CDN para los MIG que alojan los dispositivos de red.
    • Para enrutar solicitudes a backends diferentes, configura la asignación de URL en el balanceador de cargas. Por ejemplo, enruta las solicitudes para /api a las VM de Compute Engine, las solicitudes para /images a un bucket de Cloud Storage y las solicitudes para /app a través de los dispositivos de red a las VM de VMware Engine.

  2. Configura cada dispositivo de red a fin de realizar NAT de destino (DNAT) para la dirección IP interna de la interfaz nic0 en las direcciones IP internas de las VM que alojan las aplicaciones públicas en VMware Engine.

    • Los dispositivos de red deben realizar SNAT para el tráfico de origen desde la interfaz nic2 (dirección IP interna) a fin de garantizar una ruta de acceso simétrica mostrada.
    • Además, los dispositivos de red deben enrutar el tráfico destinado a las redes de VMware Engine a través de la interfaz nic2 a la puerta de enlace de subred (la primera dirección IP de la subred).

    El paso de DNAT es necesario porque el balanceador de cargas es un servicio basado en proxy que se implementa en un servicio de Google Front End (GFE). Según la ubicación de tus clientes, varios GFE pueden iniciar conexiones HTTP(S) con las direcciones IP internas de los dispositivos de red de backend. Los paquetes de GFE tienen direcciones IP de origen del mismo rango que se usa para los sondeos de verificación de estado (35.191.0.0/16 y 130.211.0.0/22), no las direcciones IP de cliente originales. El balanceador de cargas agrega las direcciones IP de cliente mediante el encabezado X-Forwarded-For.

    Para que las verificaciones de estado se aprueben, configura los dispositivos de red a fin de que respondan a la dirección IP de la regla de reenvío mediante interfaces secundarias o de bucle invertido.

  3. Configura la tabla de ruta de la red de VPC interna para reenviar el tráfico de VMware Engine al intercambio de tráfico entre redes de VPC.

    En esta configuración, las VM de VMware Engine usan el servicio de puerta de enlace de Internet de VMware Engine para la salida a Internet. Sin embargo, los dispositivos de red administran la entrada para las direcciones IP públicas de las VM.

NGFW para conectividad privada

Este caso de uso tiene los siguientes requisitos:

  • Una arquitectura híbrida con instancias de VMware Engine y Compute Engine, con un balanceador de cargas L4 como frontend común.
  • Protección para tus cargas de trabajo privadas de VMware Engine mediante una solución IPS/IDS, NGFW, DPI o NAT.
  • Cloud Interconnect o Cloud VPN para la conectividad con la red local.

En el siguiente diagrama, se muestran los recursos necesarios para aprovisionar un NGFW a fin de que tenga conectividad privada entre tus cargas de trabajo de VMware Engine y las redes locales u otros proveedores de servicios en la nube:

Recursos necesarios para aprovisionar un NGFW destinado a la conectividad privada.
Figura 5. Recursos necesarios para aprovisionar un NGFW a fin de obtener conectividad privada a las cargas de trabajo de VMware Engine.

En la Figura 5, se muestran las tareas que debes completar para configurar los recursos en esta arquitectura. A continuación se encuentra una descripción de cada tarea, incluido un vínculo a un documento que proporciona más información e instrucciones detalladas.

  1. Aprovisiona un balanceador de cargas de red de transferencia interno en la red de VPC externa, con una sola regla de reenvío a escuchar todo el tráfico Configura los dispositivos de red como backends para el balanceador de cargas.

  2. Configura la tabla de ruta de la red de VPC externa a fin de que apunte a la regla de reenvío como un siguiente salto para el tráfico destinado a las redes de VMware Engine.

  3. Configura los dispositivos de red de la siguiente manera:

    • Enruta el tráfico destinado a las redes de VMware Engine a través de la interfaz nic2 a la puerta de enlace de subred (la primera dirección IP de la subred).
    • Para que las verificaciones de estado se aprueben, configura los dispositivos de red a fin de que respondan a la dirección IP de la regla de reenvío mediante interfaces secundarias o de bucle invertido.
    • A fin de que las verificaciones de estado se aprueben para los balanceadores de cargas internos, configura varios dominios de enrutamiento virtual para garantizar un enrutamiento adecuado. Este paso es necesario para permitir que la interfaz nic2 muestre el tráfico de verificación de estado que proviene de los rangos públicos (35.191.0.0/16 y 130.211.0.0/22), mientras que la ruta predeterminada de los dispositivos de red apunta a la interfaz nic0. Para obtener más información sobre los rangos de IP para las verificaciones de estado del balanceador de cargas, consulta Rangos de IP del sondeo y reglas de firewall.

  4. Configura la tabla de ruta de la red de VPC interna para reenviar el tráfico de VMware Engine al intercambio de tráfico entre redes de VPC como siguiente salto.

  5. Para el tráfico que se muestra o que se inicia desde VMware Engine a redes remotas, configura el balanceador de cargas de red de transferencia interno como el próximo salto que se anuncia a través del intercambio de tráfico entre redes de VPC a la red de VPC de acceso privado a servicios.

Salida centralizada a Internet

Este caso de uso tiene los siguientes requisitos:

  • Filtrado de URL, registro y aplicación de tráfico centralizados para la salida de Internet.
  • Protección personalizada para cargas de trabajo de VMware Engine mediante dispositivos de red de Cloud Marketplace.

En el siguiente diagrama, se muestran los recursos necesarios para aprovisionar puntos de salida centralizados de las cargas de trabajo de VMware Engine a Internet:

Recursos necesarios para aprovisionar la salida centralizada a Internet.
Figura 6. Recursos necesarios a fin de aprovisionar la salida centralizada a Internet para las cargas de trabajo de VMware Engine.

En la Figura 6, se muestran las tareas que debes completar para configurar los recursos en esta arquitectura. A continuación se encuentra una descripción de cada tarea, incluido un vínculo a un documento que proporciona más información e instrucciones detalladas.

  1. Aprovisiona un balanceador de cargas de red de transferencia interno en la red de VPC interna como punto de entrada de salida para las cargas de trabajo de VMware Engine.

  2. Configura los dispositivos de red a SNAT del tráfico de las direcciones IP públicas (nic0). Para que las verificaciones de estado se aprueben, los dispositivos de red deben responder a la dirección IP de la regla de reenvío mediante interfaces secundarias o de bucle invertido.

  3. Configura la red de VPC interna para anunciar una ruta predeterminada a través del intercambio de tráfico entre redes de VPC a la red de VPC de acceso privado a los servicios, con la regla de reenvío del balanceador de cargas interno como siguiente salto.

  4. Para permitir el tráfico de salida a través de los dispositivos de red en lugar de la puerta de enlace de Internet, usa el mismo proceso que lo harías para habilitar el enrutamiento del tráfico de Internet a través de una conexión local.

¿Qué sigue?