Network Security Integration (NSI) ist ein technisch interessanter Ansatz zur Integration von Third-Party Security Appliances und wurde nun auch in Google Cloud eingeführt. Statt klassischer Routing-Konstrukte – mehrere VPC-Routen, Policy Based Routing oder komplexe Load-Balancer-Setups – wird Traffic direkt auf Hypervisor-Ebene abgefangen und per GENEVE-Kapselung transparent an Security Appliances wie Check Point CloudGuard oder FortiGate weitergeleitet. Das vereinfacht die Architektur in grösseren Umgebungen erheblich, bringt aber auch ein paar technische Trade-offs mit sich.
Wie funktioniert NSI?
NSI interceptet Traffic direkt auf Netzwerkebene – ohne klassische Routing-Entscheidungen innerhalb der VPC. Google Cloud kapselt den Datenstrom mittels GENEVE und leitet ihn an die Security Appliance weiter. Diese erhält den originalen Traffic inklusive Metadaten, kann ihn inspizieren, filtern oder modifizieren, und gibt ihn anschliessend zurück an die Google-Datenebene.
Im Vergleich zu klassischen Firewall-Topologien entfallen damit:
- komplexe User Defined Routes
- separate Transit-VPC-Konstrukte
- asymmetrisches Routing durch fehlende oder falsche Routen
Die Architektur nähert sich damit einem Service-Insertion-Modell an, wie es aus SDN- oder Hyperscaler-Umgebungen bekannt ist.
In-band und out-of-band
Bei einer In-Band-Integration wird der produktive Traffic aktiv durch die Security Appliance geleitet, wodurch eine vollständige Inline-Inspection inklusive Stateful Firewalling, IPS oder Threat Prevention möglich ist. Dadurch erhöht sich allerdings auch die Abhängigkeit von der Firewall-Instanz hinsichtlich Verfügbarkeit, Skalierung und zusätzlicher Latenz.
Bei einer Out-of-Band-Integration wird der Traffic hingegen lediglich gespiegelt oder analysiert, ohne direkt im Datenpfad zu liegen. Das reduziert den Einfluss auf Latenz und Routing, eignet sich allerdings primär für Monitoring-, Detection- oder Analyse-Use-Cases und nicht für aktive Traffic-Blockierung inline.
GENEVE
GENEVE (Generic Network Virtualization Encapsulation) ist das technische Fundament von NSI. Das Protokoll kapselt Layer-2- oder Layer-3-Traffic innerhalb von UDP und transportiert zusätzliche Metadaten über sogenannte TLVs (Type-Length-Value). Genau diese TLVs machen GENEVE für Security-Integrationen interessant: Sie erlauben es, Original-Source/Destination-Adressen, Session-Kontext und weitere Netzwerkinformationen mitzuführen, ohne die ursprünglichen Pakete zu verändern.
North-South Traffic
Beim North-South Traffic – also Datenverkehr zwischen der VPC und externen Netzwerken wie Internet oder On-Premises – greift NSI vor der eigentlichen Weiterleitung ins Netz ein. Eine VM sendet Traffic, Google Cloud kapselt ihn per GENEVE und leitet ihn an die Security Appliance weiter. Erst nach der Inspektion und Rückgabe an die Google-Datenebene erfolgt die Weiterleitung zum Ziel. Die Routing-Logik in GCP bleibt dabei schlank: Security Policies werden nicht mehr über Netzwerkrouten erzwungen, sondern direkt durch die NSI-Integration. Das eliminiert typische Fehlerquellen wie vergessene Static Routes, HA-Konstrukte mit mehreren Next Hops oder Transit-VPC-Komplexität.
East-West Traffic
Für East-West Traffic, also interne Kommunikation zwischen Workloads innerhalb von GCP, bietet NSI einen besonders grossen Mehrwert. Traditionell erfordert interne Segmentierung in Cloud-Umgebungen zusätzliche Subnetze, Appliances oder interne Load Balancer. Mit NSI kann interner Traffic transparent an die Security Appliance gespiegelt (Out-of-Band) oder weitergeleitet (In-Band) werden, ohne die Netzwerkarchitektur grundlegend umzubauen. Das gilt für Traffic zwischen Applikations- und Datenbank-Subnetzen ebenso wie für VPC-übergreifende Kommunikation oder Inspection zwischen Shared-VPC-Projekten.
Vorteile der Architektur
Der grösste Gewinn ist die drastische Vereinfachung des Routings. Klassische Cloud-Firewall-Designs bestehen oft aus einem komplexen Zusammenspiel von statischen Routing, Policy Based Routing, Load Balancern etc. NSI abstrahiert einen Grossteil davon weg.
Weitere Vorteile:
- Konsistentere Traffic Inspection, da kein Traffic am Enforcement-Point vorbei geroutet werden kann
- Transparentere Service-Insertion ohne künstliche Netzwerktopologien
- Geringerer operativer Aufwand in größeren Enterprise-Deployments
Nachteile und technische Grenzen
Die zusätzliche Kapselung und der Umweg über die Security Appliance bringen zwangsläufig Latenz und Overhead mit sich. In den meisten Umgebungen ist dieser Effekt gering, bei sehr latenzsensitiven Anwendungen oder hohem East-West-Traffic kann er jedoch spürbar werden:
- Encapsulation/Decapsulation-Overhead auf beiden Seiten
- Potenziell reduzierter Gesamtdurchsatz bei sehr hohem Traffic-Volumen
Auch das Troubleshooting verändert sich, da Teile der Traffic-Steuerung durch Google abstrahiert werden, sind nicht mehr alle Routing-Entscheidungen direkt in den VPC-Routen sichtbar. Flow Logs und Firewall-Logs der Appliance bleiben wichtige Debugging-Werkzeuge, müssen aber mit GCP-internen Telemetriedaten korreliert werden.
Fazit
Google Cloud NSI ist ein konsequenter Schritt in Richtung nativer Service Insertion. Durch GENEVE wird Traffic transparent und ohne komplexe Routing-Konstrukte an Third-Party Firewalls weitergeleitet und zwar sowohl für North-South- als auch für East-West-Szenarien. Der Preis dafür ist zusätzlicher Encapsulation-Overhead und eine veränderte Troubleshooting-Perspektive. Für Umgebungen, in denen Routing-Komplexität bisher das grösste Operationsproblem war, ist NSI ein echter Fortschritt. Aber auch nachträgliche Integrationen von Security Appliances könnten damit etwas einfacher umgesetzt werden.
Der Trend ist klar: weniger manuelles Routing, mehr in die Plattform integrierte Security-Abstraktion
Quellen & weiterführende Links:
https://sc1.checkpoint.com/documents/IaaS/WebAdminGuides/EN/CP_CloudGuard_Network_for_GCP_NSI_AG/Content/Topics-GCP-NSI-AG/Overview-GCP-NSI.htm
https://docs.cloud.google.com/network-security-integration/docs/nsi-overview?hl=de
https://cloud.google.com/blog/products/networking/introducing-network-security-integration?hl=en
https://docs.cloud.google.com/network-security-integration/docs/understand-geneve?hl=de
https://codelabs.developers.google.com/network-security-integration-in-band#0
https://docs.fortinet.com/document/fortigate-public-cloud/8.0.0/gcp-administration-guide/353230/network-security-integration-inband-deployment-with-fortigate-vm
