[新产品/新功能] 简化安全：推出 Network Security Integration

<!-- AI_TASK_START: AI标题翻译 --> [新产品/新功能] 简化安全：推出 Network Security Integration <!-- AI_TASK_END: AI标题翻译 --> <!-- AI_TASK_START: AI竞争分析 --> # 产品功能分析 ## 新功能/新产品概述 Network Security Integration 是 Google Cloud 推出的新功能，旨在帮助客户无缝整合第三方网络安全设备或服务到云工作负载中。该功能的**核心定义**为：使用 Geneve 隧道技术，实现流量安全传输，而无需修改路由策略或网络架构。**目标**是解决云环境中的常见挑战，如网络重构带来的操作开销、高成本和合规复杂性。背景在于，许多 Google Cloud 客户已对第三方 ISV 安全解决方案进行深度投资，但整合过程往往耗时费力。该功能适用于拥有混合或多云环境的组织，特别是金融和受监管行业，**市场定位**为提供一致的安全策略、全面流量可见性和性能监控，从而提升云应用的部署效率和安全性。 ## 关键客户价值 - **降低操作开销和成本**：通过避免网络重构和过度配置设备，客户可减少错误风险和部署时间，同时避免不必要的资源浪费，与传统方案相比，这显著简化了基础设施管理，但可能在高流量场景下需要优化资源分配以维持效率。 - 与竞品的差异：相较于其他云提供商的集成方案，Network Security Integration 无需改变路由配置，实现了更低的整合门槛，帮助客户在保持现有架构的同时提升灵活性。 - **提升合规性和安全**：支持分层防火墙策略管理，方便满足监管要求，如审计和取证，同时提供高级网络安全分析。该价值在受监管行业中尤为突出，例如金融领域可实现精确的流量镜像和异常检测。 - 实现机制：采用生产者/消费者模型，让基础设施团队动态提供服务予开发团队，相比传统 IaaS 架构，这减少了自定义工具的需求，但在大规模环境中可能面临策略管理复杂性的挑战。 - **改善应用性能和可用性**：通过流量分析工具利用机器学习检测异常，确保网络行为的基线监控。该功能在突发流量场景下表现突出，帮助客户诊断问题，而非仅依赖应用日志。 ## 关键技术洞察 - **技术独特性**：基于 Geneve 隧道封装技术，实现流量安全传输而不修改原始数据包，支持 Out-of-band（GA 版）和 In-band（Preview 版）模式。Out-of-band 模式透明镜像流量至独立目的地，用于离线分析；In-band 模式拦截并重定向流量，实现实时检查。 - 工作原理：Geneve 封装确保数据包在传输中保持完整性，结合分层防火墙策略，允许细粒度过滤和动态路由。该创新点提升了安全性（如通过 Zero Trust 架构缩小安全域）和可用性（如机器学习驱动的异常检测），但在高并发场景下，可能引入轻微的延迟开销，需要进一步优化。 - **技术创新点及其影响**：引入事件驱动架构，支持毫秒级响应和自动扩缩容策略，显著提高了资源利用率和性能监控能力。对安全性影响包括增强威胁检测（如与第三方防火墙集成），但 In-band 模式的预览状态可能限制其立即可用性；在多云环境中，该技术促进了混合部署的标准化，但挑战在于兼容性问题，可能需要合作伙伴生态的持续支持。 - **实现的挑战和解决方式**：原文隐含了整合第三方设备的复杂性，通过提供现成模式（如镜像或拦截）予以解决，但大规模组网时管理复杂度可能上升，建议结合 Cloud NGFW 等工具进行优化。 ## 其他信息 - **合作伙伴反馈**：多家合作伙伴如 Palo Alto Networks 和 Fortinet 表示，该功能简化了安全部署，支持 AI 应用保护和零信任策略。例如，Palo Alto Networks 强调其与 VM-Series 的集成加速了 Google Cloud 环境的保护，这突显了生态系统的互操作性优势。 - **访问和扩展**：用户可通过官方文档了解更多，Out-of-band 模式已正式发布，In-band 模式为预览版，需要联系 Google 代表获取。该功能与 Google Cloud NGFW 相结合，进一步强化了云原生安全生态。 <!-- AI_TASK_END: AI竞争分析 --> <!-- AI_TASK_START: AI全文翻译 --> # 简化安全：引入网络安全集成 (Network Security Integration) **原始链接:** [https://cloud.google.com/blog/products/networking/introducing-network-security-integration](https://cloud.google.com/blog/products/networking/introducing-network-security-integration) **发布时间:** 2025-03-14 **厂商:** GCP **类型:** BLOG --- 网络 # 简化安全：引入网络安全集成 (Network Security Integration) 2025 年 3 月 14 日 ##### Pradeep Nair 产品经理 ##### Susan Wu 出站产品经理 ##### Google Cloud Next 按需访问 Next 的亮点内容。 [立即观看](https://cloud.withgoogle.com/next/25?utm_source=cgc-blog&utm_medium=blog&utm_campaign=FY25-Q2-global-EXP106-physicalevent-er-next25-mc&utm_content=cgc-blog-left-hand-rail-post-next&utm_term=-) 许多 Google Cloud 客户在第三方 ISV 安全解决方案 (如 设备) 上有深厚投资，用于保护其网络并在多个云环境上强制执行一致策略。然而，将这些安全解决方案集成到云应用环境中会带来自身的一系列挑战： - **网络重新架构 (Network re-architecture):** 将第三方设备用于流量检查通常需要重新设计网络，以将应用流量路由通过这些设备。在云应用环境的快速变化下，此过程容易出错、增加操作开销，并放慢应用部署速度。 - **高运营成本 (High cost of operation):** 无法选择性地将流量路由到第三方设备进行检查，导致过度配置和成本增加。客户经常投资于更大、更昂贵的设备来处理所有流量，而不管应用的 安全检查 (security inspection) 需求如何。 - **难以满足合规要求 (Difficulty meeting compliance requirements):** 满足应用部署的安全和监管要求可能很复杂，通常需要客户实现自定义工具。 今天，我们很高兴宣布 [网络安全集成 (Network Security Integration)](https://cloud.google.com/network-security-integration/docs)，以解决这些挑战。网络安全集成 (Network Security Integration) 可帮助您将第三方网络设备或服务部署与 Google Cloud 工作负载集成，同时在混合和多云环境 (multicloud environments) 中保持一致策略 — 无需更改路由策略或网络架构。网络安全集成 (Network Security Integration) 还启用全面的工作负载流量可见性、先进的网络安全以及应用/网络性能监控。它使用 Generic Network Virtualization Encapsulation（简称 Geneve tunneling）来安全地将流量传递到第三方检查目标，而不修改原始数据包。 此外，网络安全集成 (Network Security Integration) 通过生产者/消费者模型帮助加速应用部署和合规性 (compliance)。这允许基础设施运营团队向应用开发团队提供收集器基础设施作为服务 (infrastructure as a service)，从而实现动态消费基础设施作为服务。对分层防火墙策略管理 (hierarchical firewall policy management) 的支持有助于强制执行合规性，而不引入延迟。 网络安全集成 (Network Security Integration) 提供两种主要模式： - **旁路集成 (Out-of-band integration, GA):** 将所需流量镜像到单独目标，用于离线分析 - **在线集成 (In-band integration, Preview):** 将特定流量定向到第三方安全堆栈进行实时检查 ### **网络安全集成 (Network Security Integration) 旁路** 运行 **旁路 (Out-of-band)** 时，网络安全集成 (Network Security Integration) 会透明地将目标工作负载的进出数据包镜像到目标收集器组。Geneve 帮助确保安全传输到目标。  运行网络安全集成 (Network Security Integration) 旁路适用于以下用例： - **实现高级网络安全 (Implementing advanced network security)** - 使用高级离线分析检测基于预定签名模式的已知攻击，并通过基于异常的检测识别未知攻击。粒度过滤功能确保易受攻击的工作负载流量被镜像用于高级检查。 - **改善应用可用性和性能 (Improve application availability and performance)** - 诊断和分析网络上的情况，而不是仅依赖应用日志。网络流量分析工具利用机器学习和分析来检查镜像数据包数据，建立网络正常行为基准，然后检测可能表示可用性或性能问题的异常。 - **支持监管和合规要求 (Support regulatory and compliance requirements)** - 金融和其他受监管行业需要捕获并保留特定类型的网络流量一段时间，以满足严格的审计和取证调查要求。 ### **网络安全集成 (Network Security Integration) 在线**  使用 **在线 (In-band)** 集成，进入或离开工作负载的流量可以被拦截并重定向到安全堆栈，在那里流量被检查威胁和安全策略合规性。在线拦截的“插入线中 (bump-in-the-wire)”实现允许您检查 VPC 之间的流量，甚至是同一 VPC 内不同应用组件之间的流量。这样，您可以将安全域缩小到单个工作负载，从而在环境中部署真正的零信任安全 (Zero Trust security)。 选择运行网络安全集成 (Network Security Integration) 在线适用于以下场景： - **与 Cloud Next Generation Firewall (NGFW) 和第三方防火墙原生集成** - 网络安全集成 (Network Security Integration) 简化了 Google Cloud NGFW 和第三方安全解决方案的部署。它允许您为需要额外安全控制的流量部署第三方安全服务，同时使用 Cloud NGFW 的分布式防火墙功能进行优化检查。 - **将首选网络安全解决方案插入到现有应用环境中** - 网络安全集成 (Network Security Integration) 在线是优雅的解决方案，可将第三方安全设备直接集成到现有网络基础设施中，而无需修改当前路由配置。通过在线实现，您可以为应用流量引入额外的安全层，帮助确保全面防护潜在网络威胁。 ### **我们的合作伙伴如何评价** 以下是主要合作伙伴对 Google Cloud 网络安全集成 (Network Security Integration) 的评价。  **Palo Alto Networks** “我们的与 Google Cloud 的合作伙伴关系继续保持强劲势头，今天标志着另一个里程碑。Palo Alto Networks 正与 Google Cloud 合作，提供先进的在线安全保护 (inline security protection) 用于云和 AI 应用，大大提升了客户可用性，并提供新的部署选项。通过将 Palo Alto Networks AI-Runtime Security 和 VM-Series 虚拟防火墙与网络安全集成 (Network Security Integration) 集成，客户可以快速保护其 Google Cloud 环境和 AI 应用，基于零信任架构 (zero trust architecture) 应用粒度安全策略。” **\- Jaimin Patel，高阶产品管理总监，Palo Alto Networks** **Fortinet** “Fortinet 正与 Google Cloud 合作，通过与 FortiGate 下一代防火墙原生集成，为 Google Cloud 中的应用和工作负载提供 AI 驱动的威胁情报 (threat intelligence)。通过 Fortinet 和网络安全集成 (Network Security Integration) 的集成，客户能够实施一致的云安全策略，并确保其云网络更快、更可靠的安全响应。” **\- Vincent Hwang，云安全副总裁，Fortinet** **Check Point** “我们很兴奋与 Google Cloud 合作，在其全球基础设施上提供先进的威胁预防和安全连接。通过使用网络安全集成 (Network Security Integration) 和 Check Point CloudGuard 保护混合网格 (hybrid mesh)，我们的客户可以免受网络威胁，同时自动化管理任务并加速在所有 Google Cloud 区域的部署。” **\- Kit Chee，全球战略合作伙伴副总裁，Check Point Software Technologies** **Corelight** “与 Google Cloud 的网络安全集成 (Network Security Integration) 集成，使我们的客户能够无缝适应云环境的波动需求。这一集成使我们共同的客户扩展 Corelight 网络检测和响应 (Network Detection and Response, NDR) 的价值，从而实现全面的网络可见性和威胁检测。通过采用简单、策略驱动的方法，组织可以有效保护其 Google Cloud 部署，无论其扩展轨迹如何，从而优化安全和操作效率。” **\- Todd Wingler，全球联盟和渠道副总裁，Corelight** **Trellix** “Trellix 虚拟入侵预防系统 (vIPS) 是一种下一代入侵检测和预防系统 (IDPS)，它发现并阻止网络上的复杂恶意软件威胁。它使用高级检测和仿真技术，超越传统模式匹配，以高精度防御隐蔽攻击。Trellix 已与 Google Cloud 合作，将 Trellix vIPS 与网络安全集成 (Network Security Integration) 集成。通过新架构，Trellix 和 Google Cloud 可以更快、更可扩展地满足客户的安全挑战，并简化联合客户的安全采用。” **\- Manish Kumar，高阶软件架构师，Trellix** **cPacket** “cPacket 很高兴与 Google Cloud 合作推出网络安全集成 (Network Security Integration)。当与 cPacket 的 Cloud Suite 结合时，客户可以利用一流的数据包复制能力到多个工具、强大的始终在线数据包捕获和网络分析，以及通过 Google Cloud 提供的这些在线和旁路解决方案的先进可视化能力。” **\- Trey Moczygemba，高阶云产品经理，cPacket** **Netscout** “NETSCOUT 通过实时深度数据包检查 (DPI) 提供可操作的情报 (actionable intelligence) 在可观测性和网络安全领域。通过 NETSCOUT 和网络安全集成 (Network Security Integration)，客户获得从端到端的、数据包级别的对 Google Cloud 工作负载和混合或多云连接应用的强大洞察，确保性能和安全。” **\- Tom Bienkowski，高阶安全产品营销总监** ### **集成安全生态系统** 在 Google Cloud，我们致力于为客户提供增强的可见性和一流的安全保护，用于其网络流量和工作负载。通过网络安全集成 (Network Security Integration)，您可以继续在云环境中使用第三方安全解决方案，具有更低成本、更紧密集成、更高合规性，且无需更改路由配置。要了解更多，请访问 [网络安全集成 (Network Security Integration) 文档](https://cloud.google.com/network-security-integration/docs)。对于网络安全集成 (Network Security Integration) 在线 (预览)，请联系您的 Google 代表获取访问权限。我们还鼓励您探索 [Cloud Next Generation Firewall (NGFW)](https://cloud.google.com/firewall/docs/about-firewalls)，我们的云原生、全分布式有状态检查防火墙引擎，可在云规模下保护您的网络，并在每个工作负载上强制执行。 发布在 - [网络 (Networking)](https://cloud.google.com/blog/products/networking) <!-- AI_TASK_END: AI全文翻译 -->