[新产品/新功能] 简化安全：推出 Network Security Integration

**发布时间:** 2025-03-14 **厂商:** GCP **类型:** BLOG **原始链接:** https://cloud.google.com/blog/products/networking/introducing-network-security-integration ---  [新产品/新功能] 简化安全：推出 Network Security Integration   # 产品功能分析 ## 新功能/新产品概述 Google Cloud 推出了**网络安全集成** (Network Security Integration)，一项旨在简化第三方网络安全解决方案与云工作负载集成的服务。其核心目标是解决客户在云环境中部署第三方安全设备时面临的网络重构复杂、运营成本高昂以及合规性难以满足等核心痛点。该服务通过 **Geneve隧道** (**Generic Network Virtualization Encapsulation**) 技术，将工作负载的流量封装并安全地转发到指定的第三方检测目标，整个过程无需修改原始数据包或更改现有的VPC路由策略。它提供了一个生产者/消费者模型，允许基础设施团队将安全检测能力作为服务提供给应用团队，从而加速应用部署并确保合规性。目标用户群主要是那些在本地数据中心或多云环境中对第三方安全品牌（如Palo Alto, Fortinet等）有深度投资，并希望在Google Cloud中保持一致安全策略的企业。市场定位是成为连接Google Cloud原生网络与第三方安全生态的桥梁，降低集成壁垒，实现更灵活、成本效益更高的云网络安全架构。 ## 关键客户价值 - **无缝集成，无需重构网络** - 客户可以将现有的第三方安全设备（如NGFW, IPS）直接插入到其云环境中，而无需对VPC路由表或网络拓扑进行任何修改。这极大地降低了集成的复杂性和风险，避免了因网络变更导致的应用部署延迟。 - 差异化优势在于其非侵入性。传统方案通常需要复杂的路由策略（如策略路由、自定义路由）或构建Hub-Spoke模型来强制流量流经安全设备，而此功能通过平台级的流量拦截和转发，将安全功能与网络拓扑解耦。 - **降低成本和提高资源利用率** - 支持基于策略的流量筛选，只有符合条件的、需要深度检查的流量才会被发送到安全设备。这避免了将所有流量（无论是否需要检查）都发送到昂贵的安全设备，从而防止了资源的过度配置，显著降低了运营成本。 - 在不同场景中，例如，仅将面向互联网的流量或流向敏感数据的流量发送至NGFW进行检测，而内部服务间流量则可绕过，从而优化设备利用率。 - **实现零信任安全和简化合规** - **带内 (In-band)** 模式通过“线中碰撞 (bump-in-the-wire)”的方式在工作负载级别拦截和检查流量，即使是同一VPC内的流量也能被检测。这使得安全边界可以缩小到单个工作负载，是实现真正**零信任** (**Zero Trust**) 架构的关键能力。 - **带外 (Out-of-band)** 模式通过流量镜像进行离线分析，可以满足金融等受监管行业对网络流量捕获、审计和取证的严格合规要求，且不影响生产业务的性能。 - **保护现有投资并构建开放生态** - 客户可以继续使用其熟悉和信任的第三方安全解决方案，保护了其在工具、技能和流程上的已有投资。 - Google Cloud通过与Palo Alto Networks、Fortinet、Check Point等众多主流安全厂商合作，构建了一个开放的生态系统，为客户提供了丰富的选择，避免了被单一供应商锁定。 ## 关键技术洞察 - **基于 Geneve 隧道的透明流量重定向** - _核心技术是 **Geneve** 协议_，这是一种网络虚拟化封装技术。它将原始网络数据包完整地封装在一个新的UDP数据包中进行传输。 - 这种方式的独特之处在于它对原始数据包是“透明”的，保留了其原始的源/目的IP地址和端口信息。这使得接收流量的安全设备无需进行复杂的网络地址转换（NAT）或感知云网络的复杂拓扑，就能像在传统网络中一样进行分析和策略执行。 - **平台级的生产者/消费者服务模型** - 该功能在架构上实现了安全基础设施（生产者，如安全运维团队部署的防火墙集群）与应用工作负载（消费者，如业务开发团队的应用）的分离。 - 这种模型将安全能力的消费变成了一种动态的、按需的服务。应用团队只需通过策略声明其工作负载需要何种安全检测，平台即可自动将流量导向相应的安全服务，极大地提升了部署敏捷性。 - **实现微观层面的“网络服务插入” (Service Insertion)** - **带内 (In-band)** 模式在Google Cloud的虚拟网络（Andromeda）层面实现了流量的拦截与重定向，本质上是一种原生的网络服务插入能力。 - 这一技术创新使得在虚拟化网络层直接“切入”流量成为可能，而无需依赖传统的虚拟设备链或复杂的代理机制。它为在云原生环境中实现细粒度的东西向流量控制和威胁检测提供了更高效、更底层的解决方案。 ## 其他信息 - **提供两种集成模式以适应不同需求** - **带外 (Out-of-band) 集成**: 已正式发布 (GA)，适用于非侵入式的监控、威胁狩猎和合规审计场景，例如与网络检测与响应 (NDR) 或性能监控 (NPM) 工具集成。 - **带内 (In-band) 集成**: 处于预览 (Preview) 阶段，适用于需要实时阻断威胁的场景，例如与下一代防火墙 (NGFW) 或入侵防御系统 (IPS) 进行内联部署。 - **强大的合作伙伴生态系统是成功的关键** - 该功能的发布获得了Palo Alto Networks、Fortinet、Check Point、Corelight、Trellix等一系列业界领先安全厂商的即时支持。这表明该功能精准地解决了行业共同的痛点，并已形成一个完整的解决方案生态，增强了其对客户的吸引力。   # 简化安全：网络安全集成 (Network Security Integration) 功能介绍 **原始链接:** [https://cloud.google.com/blog/products/networking/introducing-network-security-integration](https://cloud.google.com/blog/products/networking/introducing-network-security-integration) **发布时间:** 2025-03-14 **厂商:** GCP **类型:** BLOG --- 网络 # 简化安全：网络安全集成 (Network Security Integration) 功能介绍 2025 年 3 月 14 日 ##### Pradeep Nair 产品经理 ##### Susan Wu 出站产品经理 ##### Google Cloud Next 按需访问 Next 的精华内容。 [立即观看](https://cloud.withgoogle.com/next/25?utm_source=cgc-blog&utm_medium=blog&utm_campaign=FY25-Q2-global-EXP106-physicalevent-er-next25-mc&utm_content=cgc-blog-left-hand-rail-post-next&utm_term=-) 许多 Google Cloud 客户在第三方 ISV 安全解决方案 (如安全设备) 上投入了大量资金，以保护其网络并在多云之间实施一致的策略。然而，将这些安全解决方案集成到云应用环境中也带来了一系列挑战： - **网络重构：** 集成第三方设备进行流量检测通常需要重新设计网络，以便将应用流量路由到这些设备。在云应用环境的高速变化下，这个过程容易出错，增加运营开销，并拖慢应用部署时间。 - **高昂的运营成本：** 由于无法选择性地将流量路由到第三方设备进行检测，导致了过度配置和成本增加。客户通常需要投资购买更大、更昂贵的设备来处理所有流量，而不管应用的实际安全检测需求如何。 - **难以满足合规要求：** 满足应用部署的安全和法规要求可能非常复杂，通常需要客户实施定制工具。今天，我们很高兴地宣布推出 [网络安全集成 (Network Security Integration)](https://cloud.google.com/network-security-integration/docs) 来应对这些挑战。网络安全集成可帮助您将第三方网络设备或服务部署与您的 Google Cloud 工作负载集成，同时在混合云和多云环境中保持一致的策略——无需更改您的路由策略或网络架构。网络安全集成还支持全面的工作负载流量可见性、高级网络安全以及应用/网络性能监控。它使用通用网络虚拟化封装 (Generic Network Virtualization Encapsulation)，即 Geneve 隧道，将流量安全地传输到第三方检测目标，而无需修改原始数据包。此外，网络安全集成通过生产者/消费者模型 (producer/consumer model) 加速了应用部署和合规性。这使得基础设施运营团队能够以服务的形式向应用开发团队提供收集器基础设施，从而实现基础设施的动态消费。对分层防火墙策略管理的支持有助于在不引入延迟的情况下强制执行合官规。网络安全集成提供两种主要模式： - **带外集成 (Out-of-band integration) (正式发布 GA)：** 将所需流量镜像到一个单独的目标进行离线分析。 - **带内集成 (In-band integration) (预览版 Preview)：** 将特定流量引导至第三方安全堆栈进行在线检测。 ### **网络安全集成带外模式** 在**带外模式**下，网络安全集成会透明地将进出工作负载的数据包镜像到一个目标收集器组。Geneve 隧道有助于确保到目标的安全传输。 ![https://storage.googleapis.com/gweb-cloudblog-publish/original_images/Network_Security_Integration_Out-band.gif](https://storage.googleapis.com/gweb-cloudblog-publish/original_images/Network_Security_Integration_Out-band.gif) 以带外模式运行网络安全集成适用于以下用例： - **实施高级网络安全** - 使用高级离线分析，根据预定的签名模式检测已知攻击，并通过基于异常的检测识别先前未知的攻击。精细的过滤功能确保将易受攻击的工作负载流量镜像出来进行高级检测。 - **提高应用可用性和性能** - 诊断和分析网络传输中的情况，而不仅仅依赖于应用日志。网络流量分析工具利用机器学习和分析技术来检测镜像的数据包数据，为网络的正常行为建立基线，然后检测可能预示潜在可用性或性能问题的异常情况。 - **支持法规和合规要求** - 金融和其他受监管行业被要求在预定时期内捕获并保留特定类型的网络流量，以满足审计和取证调查的严格要求。 ### **网络安全集成带内模式** ![https://storage.googleapis.com/gweb-cloudblog-publish/original_images/Network_Security_Integration_In-band.gif](https://storage.googleapis.com/gweb-cloudblog-publish/original_images/Network_Security_Integration_In-band.gif) 通过**带内**集成，进出工作负载的流量可以被拦截并重定向到一个安全堆栈，在那里对流量进行威胁检测和安全策略合规性检查。带内拦截的线内拦截 (bump-in-the-wire) 实现方式使您能够检测 VPC 之间甚至同一 VPC 内不同应用组件之间的流量。借此，您现在可以将安全域缩小到单个工作负载，从而在您的环境中部署真正的零信任安全 (Zero Trust security)。在以下场景中选择以带内模式运行网络安全集成： - **与云下一代防火墙 (Cloud Next Generation Firewall, NGFW) 和第三方防火墙原生集成** - 网络安全集成简化了 Google Cloud NGFW 和第三方安全解决方案的部署。它允许您为需要额外安全控制的流量部署第三方安全服务，同时使用 Cloud NGFW 的分布式防火墙功能进行优化检测。 - **将您首选的网络安全解决方案插入到现有的应用环境中** - 网络安全集成的带内模式是一种优雅的解决方案，可将第三方安全设备直接集成到您现有的网络基础设施中，而无需对您当前的路由配置进行任何修改。通过以带内方式实施，您可以为应用流量增加额外的安全和保护层，有助于确保全面防范潜在的网络威胁。 ### **我们的合作伙伴怎么说** 以下是主要合作伙伴对 Google Cloud 网络安全集成的评价。 ![https://storage.googleapis.com/gweb-cloudblog-publish/images/NSI-Partner-Logos_1.max-900x900.png](https://storage.googleapis.com/gweb-cloudblog-publish/images/NSI-Partner-Logos_1.max-900x900.png) **Palo Alto Networks** “我们与 Google Cloud 的合作势头强劲，今天又是一个新的里程碑。Palo Alto Networks 正在与 Google Cloud 合作，为云和 AI 应用提供先进的在线安全保护，通过一种新的部署选项显著提升了客户的易用性。通过将 Palo Alto Networks 的 AI 运行时安全 (AI-Runtime Security) 和 VM-Series 虚拟防火墙与网络安全集成相结合，客户可以快速保护其 Google Cloud 环境和 AI 应用，并基于零信任架构应用精细的安全策略。” **\- Jaimin Patel, 高级产品管理总监, Palo Alto Networks** **Fortinet** “Fortinet 正在与 Google Cloud 合作，通过与 FortiGate 下一代防火墙的原生集成，为 Google Cloud 中的应用和工作负载提供由 AI 驱动的威胁情报。通过 Fortinet 和网络安全集成的整合，客户能够实施一致的云安全策略，并确保其云网络获得更快、更可靠的安全响应。” **\- Vincent Hwang, 云安全副总裁, Fortinet** **Check Point** “我们很高兴能与 Google Cloud 合作，在其全球基础设施中提供先进的威胁防护和安全连接。通过网络安全集成和 Check Point CloudGuard 保护混合网状网络，我们的客户可以在免受网络威胁的同时，自动化管理任务并加速在所有 Google Cloud 区域的部署。” **\- Kit Chee, 全球战略合作伙伴副总裁, Check Point Software Technologies** **Corelight** “与 Google Cloud 的网络安全集成相结合，使我们的客户能够无缝适应云环境不断变化的需求。这种集成为我们的共同客户在云中扩展了 Corelight 网络检测与响应 (Network Detection and Response, NDR) 的价值，实现了全面的网络可见性和威胁检测。通过采用一种简单、策略驱动的方法，组织可以有效地保护其 Google Cloud 部署，无论其扩展轨迹如何，从而优化安全性和运营效率。” **\- Todd Wingler, 全球联盟与渠道副总裁, Corelight** **Trellix** “Trellix 虚拟入侵防御系统 (Virtual Intrusion Prevention System, vIPS) 是一款下一代入侵检测和防御系统 (intrusion detection and prevention system, IDPS)，能够发现并阻止网络中复杂的恶意软件威胁。它采用先进的检测和仿真技术，超越了传统的模式匹配，以高精度防御隐蔽攻击。Trellix 已与 Google Cloud 合作，将 Trellix vIPS 与网络安全集成。借助新架构，Trellix 和 Google Cloud 能够以更快、更具可扩展性的方式应对客户的安全挑战，并为我们的共同客户简化安全部署流程。” \- **Manish Kumar, 高级软件架构师, Trellix** **cPacket** “cPacket 很高兴能与 Google Cloud 在其网络安全集成发布上合作。当与 cPacket 的 Cloud Suite 结合使用时，客户可以利用一流的数据包复制功能将流量分发到多个工具，获得强大的全时数据包捕获和网络分析能力，并通过利用 Google Cloud 提供的这些新的带内和带外解决方案，实现高级可视化功能。” -**Trey Moczygemba, 高级云产品经理, cPacket** **Netscout** “NETSCOUT 通过实时深度包检测 (deep packet inspection, DPI) 提供可操作的可观测性和网络安全情报。借助 NETSCOT 和网络安全集成，客户可以从其 Google Cloud 工作负载以及混合云或多云连接应用的端到端、数据包级别的可见性中获得强大的洞察力，从而确保性能和安全。” \- **Tom Bienkowski, 安全产品营销高级总监** ### **一个集成的安全生态系统** 在 Google Cloud，我们致力于为客户的网络流量和工作负载提供增强的可见性和顶级的安全性。借助网络安全集成，您可以继续在云环境中使用您的第三方安全解决方案，同时实现更低的成本、更紧密的集成、更高的合规性，且无需更改路由配置。要了解更多信息，请访问 [网络安全集成文档](https://cloud.google.com/network-security-integration/docs) 。对于网络安全集成带内模式 (预览版)，请联系您的 Google 代表以获取访问权限。我们也鼓励您探索 [云下一代防火墙 (Cloud Next Generation Firewall)](https://cloud.google.com/firewall/docs/about-firewalls) (NGFW)，这是我们的云原生、完全分布式的有状态检测防火墙引擎，可在每个工作负载上强制执行，以云规模保护您的网络。发布于 - [网络](https://cloud.google.com/blog/products/networking)