從資料中心到雲端:改變網路安全觀點
在資料中心,網路安全工程師往往會耗廢大量時間來管理單一設備,為網路設備建立強大的密碼並強化配置,也會為每個端點建立防火牆規則。由於雲端的世界裡沒有任何實體設備,因此資安重點就會從硬體保護轉向軟體定義網路(SDN)和保護虛擬設備,這意味著您不必擔心需要強化路由器設定或配置高可用性。然而,從資料中心到雲端基礎架構,您必須進行明確的模式轉變。
從身分識別與存取管理(IAM)開始
身分識別與存取管理 (IAM) 為管理對雲端網路服務的存取控制。如果有人需要存取權限來配置資源,那麼您就需要將他們的身分指派為 IAM 角色,以便執行任何配置或變更。IAM 可用於授予使用者角色,而授予什麼樣的角色取決於他們需要在雲端中存取的內容。
舉例來說,您的資料中心網路安全角色和職責可能如下所示:與資料中心一樣,在 Google Cloud 中,每個角色都有定義的任務,這是透過 IAM 使用允許政策和拒絕政策強制執行的。
- 允許政策 = 誰 + 能做什麼 + 在哪些特定資源
- 拒絕政策 = 誰 + 不能做什麼 + 在哪些特定資源
這讓您能透過提供對服務的存取來實現職責分離。透過 Google Cloud,您可以隨著組織的發展和壯大而重構網路存取權限。
比方說,此處定義了 Compute 網路管理員角色,該角色允許網路工程師對 Google Cloud 中的網路功能擁有重要存取權限。Compute 網路管理員可以建立和修改大部分的網路資源(防火牆除外),防火牆配置和管理僅由 Compute 安全管理員處理,這使您能夠在網路營運和安全團隊之間進行職責分離。您可以從這邊複製上千個角色並依照您組織的需求調整。
虛擬私有雲(VPC)架構
在 Google Cloud 中有兩種常用的網路架構:共享 VPC 和中心輻射型(hub-and-spoke)網路架構。兩者都提供集中式網路政策,但控制方式不同。我們建議您使用自訂 VPC 網路來建立自己的網路,以便完全控制網路架構的配置。
- 共享 VPC 架構
在 Google Cloud 上建立網路的方法之一就是使用共享 VPC 架構。Google Cloud 允許您將多個專案的資源連接到統一的一個 VPC 網路。這種方法將讓您的資源使用該網路的內部 IP 位址,安全且有效地相互通訊,也允許您的安全團隊在整個組織中實施安全政策。如果您需要擁有多個共享 VPC,可以使用 Cloud VPN、VPC peering 或 Network Connectivity Center 在多個共享 VPC 之間建立連線。
- Google Cloud 網路設計
您選擇的 Google Cloud 網路設計主要取決於您對集中式或分散式控制的需求。根據組織偏好,您必須決定是否需對網路進行集中控制,包含不同工作負載間的IP位址、路由和防火牆,或者是否需要給予團隊更大的自主權來運行自己的環境。此外,您的組織可能需要 Google Cloud 中不同工作負載間的流量通過集中式網路設備,像是次世代防火牆(NGFW),此限制也會影響您的VPC網路設計。
根據您想要部署的工作負載、VM、內部 load balancer 及它們需要的其他資源數量,您可以為組織打造最適合的網路設計。其中一種方法是設定 VPC Peering,VPC Peering 允許您連接兩個 VPC,這可以在中心輻射架構中完成,該架構是由一個中心 VPC 和多個輻射 VPC 組成的網路拓撲(network topology)。中心 VPC 包含共享資源,像是 load balancer 或資料庫,而輻射 VPC 則包含特定於各部門的資源。VPC Peering 可讓您將輻射 VPC 與中心 VPC 連接起來,讓輻射 VPC 中的資源可以存取中心 VPC 中的共享資源。
- 使用 Google Cloud 網路安全服務保護您的雲端資源
Google 提供 Application Load Balancers (HTTP、HTTPS) 和 Network Load Balancers。Network Load Balancers 包括對 TLS、TCP、UDP、ESP (IPSec)、ICMP 等的支援。這些load balancers 具有高度可配置性且穩健,Google 也提供容器原生負載平衡。另外,Google Cloud Armor 則可以協助您的 Google Cloud 資產免受各種威脅,例如分散式阻斷服務 (DDoS) 攻擊以及跨站腳本 (XSS) 和 SQL 注入 (SQLi) 等應用程式攻擊。
Cloud Firewall 可讓您利用全球網路防火牆政策,透過將它們分組到單一政策物件中來批次更新所有防火牆規則。您可以將區域或全球網路防火牆政策指派給 VPC 網路,也可以將全球網路防火牆政策與專案中的多個網路關聯。對於透過資源層次結構繼承政策的集中控制,您需要查看分層防火牆政策。Cloud Firewall 入侵防禦服務會監控您的 Google Cloud 工作負載流量是否有任何惡意活動,並採取先發制人的措施來阻止。目前處於預覽階段的 Cloud Firewall Plus 為 Google Cloud 的分散式防火牆服務新增了進階威脅防護和次世代防火牆(NGFW)功能,可防範惡意網路上的入侵、惡意軟體、間諜軟體及命令和控制攻擊(C&C)等威脅。
Google Cloud 還有其他網路安全服務,像是 Network Intelligence Center、BeyondCorp、Cloud Ops 等。若您想了解更多細節,可以參考這篇文章。
雲端資安 延伸閱讀
雲端資安該如何防護?四個預防措施,強化企業資訊安全性
如何在 Google Chronicle 中透過情境感知偵測強化資安?
如何透過 BigQuery 與 Cloud DLP 降低資料風險?
宏庭科技為 Google Cloud 菁英合作夥伴,協助多間知名企業打造穩定的雲端基礎架構,保護企業敏感資料並防止惡意軟體攻擊與威脅,客戶遍及物流業、零售業、遊戲業與公部門。想了解更多雲端防護攻略嗎?歡迎填寫連絡表單,讓宏庭科技的專屬顧問團隊提供您世界級的 Google Cloud 資安解決方案,讓您的企業安心擁抱雲端!
本文章翻譯並改寫自 Google Cloud 官方部落格。