Kebijakan keamanan hierarkis adalah kategori kebijakan keamanan yang memperluas jangkauan firewall aplikasi web (WAF) Google Cloud Armor dan perlindungan DDoS di luar project individual. Kebijakan ini dilampirkan di tingkat organisasi, folder, atau project. Kebijakan ini berbeda dengan kebijakan keamanan tingkat layanan, yang dilampirkan langsung ke layanan backend atau bucket backend.
Saat Anda mengonfigurasi kebijakan keamanan hierarkis di level organisasi atau folder, project di level hierarki yang lebih rendah akan mewarisi kebijakan keamanan tersebut. Dengan pewarisan ini, Anda dapat menyiapkan aturan kebijakan keamanan yang ingin diterapkan ke semua atau beberapa project dalam organisasi Anda. Hal ini memungkinkan penerapan keamanan yang terpusat dan konsisten di seluruh lingkungan Anda. Google Cloud
Halaman ini menjelaskan perbedaan kebijakan keamanan hierarkis dengan kebijakan keamanan tingkat layanan. Sebelum melanjutkan, baca ringkasan kebijakan keamanan untuk memastikan bahwa Anda memahami cara kerja kebijakan keamanan. Selain itu, sebaiknya Anda mempelajari hierarki resource.
Kasus penggunaan
Di organisasi besar, mengelola kebijakan keamanan di berbagai project dapat menjadi rumit dan memakan waktu. Kebijakan keamanan hierarkis menawarkan keuntungan berikut untuk membantu Anda mengatasi tantangan ini:
- Kontrol terpusat: memberikan kemampuan kepada administrator tingkat organisasi dan folder untuk menentukan dan menerapkan kebijakan keamanan di beberapa project.
- Konsistensi: memberikan postur keamanan yang seragam di seluruh organisasi, sehingga mengurangi risiko kesalahan konfigurasi dan celah keamanan.
- Efisiensi: menyederhanakan deployment update dan mitigasi keamanan, seperti memblokir rentang alamat IP tertentu atau mengatasi kerentanan penting, di sejumlah besar resource secara bersamaan.
- Delegasi: memungkinkan delegasi tanggung jawab keamanan kepada berbagai tim atau departemen dengan menerapkan kebijakan pada tingkat hierarki yang sesuai.
Anda dapat menerapkan dan menggabungkan prinsip umum ini agar sesuai dengan kebutuhan organisasi Anda. Pertimbangkan contoh kasus penggunaan berikut:
- Pemblokiran alamat IP di seluruh organisasi: Anda dapat memblokir traffic dari rentang alamat IP berbahaya yang diketahui di semua project dalam organisasi Anda.
- Pembatasan berbasis geografi: Anda dapat membatasi traffic dari wilayah geografis tertentu di tingkat organisasi atau folder.
- Mitigasi CVE: Anda dapat men-deploy aturan WAF dengan cepat untuk memitigasi kerentanan kritis di beberapa project.
- Penegakan kepatuhan: Anda dapat menegakkan kepatuhan terhadap persyaratan peraturan dengan menerapkan kebijakan keamanan yang konsisten di seluruh organisasi Anda.
- Kontrol akses terperinci: Anda dapat memberikan akses rentang alamat IP atau wilayah geografis tertentu ke semua resource dalam folder tertentu.
Fitur
Kebijakan keamanan hierarkis mendukung sebagian fitur yang didukung oleh kebijakan keamanan tingkat layanan. Tabel berikut membandingkan fitur Google Cloud Armor yang dapat Anda gunakan dengan kebijakan keamanan hierarkis dan kebijakan keamanan tingkat layanan:
| Jenis frontend |
|
|
| Titik lampiran (resource yang dilindungi) | Layanan backend | Node hierarki resource |
| Tindakan aturan |
|
|
| Alamat IP Sumber | ||
| Geografi sumber | ||
| ASN sumber | ||
| Pengelolaan bot | (hanya
EXTERNAL_302 dan dekorasi permintaan) |
|
| Pemfilteran lapisan 7 | ||
| WAF | ||
| Google Threat Intelligence | ||
| reCAPTCHA | ||
| Perlindungan Adaptif | ||
| Grup Alamat | ||
| Grup Alamat tingkat organisasi | ||
| Security Command Center | ||
| Cloud Monitoring | ||
| Logging permintaan |
Cara kerja kebijakan keamanan hierarkis
Saat membuat kebijakan keamanan hierarkis, Anda membuatnya di level organisasi atau folder, dan resource tersebut memiliki kepemilikan atas kebijakan keamanan hierarkis. Setelah Anda membuat kebijakan keamanan hierarkis, aturan kebijakan keamanan Anda tidak diterapkan ke resource Anda.
Selanjutnya, Anda mengaitkan kebijakan keamanan hierarkis dengan organisasi, folder, atau project, yang dapat sama dengan resource yang memiliki kebijakan. Setelah Anda mengaitkan kebijakan keamanan hierarkis dengan resource, kebijakan tersebut menerapkan aturan kebijakan keamanan ke resource yang dilindungi di dan di bawah node tersebut dalam hierarki resource. Untuk membantu Anda memutuskan resource yang akan digunakan untuk melampirkan kebijakan keamanan hierarkis, lihat daftar kasus penggunaan dasar berikut untuk setiap resource:
- Organisasi: pertimbangkan kebijakan keamanan hierarkis tingkat organisasi sebagai jenis kebijakan keamanan hierarkis default.
Kebijakan ini memiliki izin Identity and Access Management (IAM)
yang luas, dan berlaku untuk semua node dalam organisasi. Tentukan
resource ini menggunakan flag
--organizationselama pengaitan. - Folder: gunakan kebijakan keamanan hierarkis ini jika Anda ingin menerapkan aturan kebijakan keamanan yang sama di beberapa project, tetapi tidak di seluruh organisasi Anda. Tentukan resource ini menggunakan flag
--folderselama pengaitan. - Project: gunakan jenis kebijakan keamanan hierarkis ini saat Anda perlu menerapkan aturan kebijakan keamanan yang sama di semua resource dalam project, seperti menerapkan daftar alamat IP yang ditolak di beberapa layanan backend.
Tentukan resource ini menggunakan tanda
--projectselama pengaitan. - Tingkat layanan: gunakan kebijakan keamanan tingkat layanan saat Anda memerlukan aturan kebijakan keamanan unik yang berbeda di setiap layanan Anda. Setiap kebijakan keamanan tingkat layanan hanya menerapkan aturannya ke kebijakan backend yang dilampirkan. Tentukan resource ini menggunakan flag
--project-number.
Anda hanya dapat menggunakan salah satu flag ini per kebijakan keamanan hierarkis. Anda
menentukan flag lainnya, seperti --name atau --type, seperti yang Anda lakukan saat
mengonfigurasi kebijakan keamanan tingkat layanan. Lihat daftar berikut untuk mengetahui informasi selengkapnya tentang cara kerja kebijakan keamanan hierarkis:
- Jika kebijakan keamanan hierarkis dikaitkan dengan node hierarki resource, semua resource yang dilindungi yang lebih rendah dari node tersebut dalam hierarki akan mewarisi kebijakan.
- Anda dapat melihat kebijakan keamanan yang berlaku untuk setiap resource yang dilindungi dalam sebuah project, di semua kebijakan keamanan hierarkis dan kebijakan keamanan tingkat layanan. Untuk mengetahui informasi selengkapnya, lihat Melihat semua aturan Google Cloud Armor yang efektif untuk resource yang dilindungi.
- Anda dapat memindahkan kebijakan keamanan hierarkis dari satu node hierarki resource ke node lainnya. Anda dapat melakukannya saat berencana mengatur ulang struktur folder.
- Saat Anda menghapus node hierarki resource, seperti folder atau project, kebijakan keamanan hierarkis yang dilampirkan ke node tersebut hanya dihapus jika Anda membuatnya di bawah node hierarki resource tersebut.
- Jika Anda membuat kebijakan keamanan di tempat lain, lalu memindahkannya ke dalam node, kebijakan tersebut tidak akan dihapus.
- Untuk menghindari penghapusan kebijakan keamanan hierarkis Anda secara tidak sengaja, sebaiknya pindahkan kebijakan keamanan hierarkis yang ingin Anda pertahankan ke node hierarki resource lain sebelum Anda menghapus node yang ada.
Urutan evaluasi aturan
Google Cloud Armor mengevaluasi kebijakan keamanan dalam urutan berikut:
- Kebijakan keamanan hierarkis tingkat organisasi
- Kebijakan keamanan hierarkis tingkat folder (dimulai dengan folder induk, lalu dilanjutkan ke setiap subfolder)
- Kebijakan keamanan hierarkis tingkat project
- Kebijakan keamanan tingkat layanan
Urutan evaluasi aturan ini berarti Anda mungkin memiliki kebijakan keamanan hierarkis dengan prioritas rendah yang dievaluasi sebelum kebijakan keamanan tingkat layanan dengan prioritas tinggi. Pikirkan dengan cermat aturan kebijakan keamanan tingkat layanan prioritas tinggi yang ada, dan pertimbangkan apa yang terjadi jika Google Cloud Armor tidak mengevaluasi permintaan yang diizinkan atau ditolak oleh kebijakan keamanan hierarkis terhadap aturan tersebut.
Tindakan goto_next
Google Cloud Armor memiliki tindakan aturan yang eksklusif untuk
kebijakan keamanan hierarkis: tindakan goto_next. Saat menerapkan tindakan ini, Google Cloud Armor akan berhenti mengevaluasi aturan dalam kebijakan keamanan saat ini dan mulai mengevaluasi aturan dalam kebijakan keamanan berikutnya.
Pertimbangkan contoh saat Anda memiliki
kebijakan keamanan hierarkis di tingkat organisasi dengan banyak aturan yang ingin
Anda gunakan untuk membatasi permintaan di seluruh organisasi Anda. Anda ingin
membiarkan permintaan yang berasal dari rentang alamat IP tertentu melewati evaluasi aturan
di seluruh organisasi ini. Oleh karena itu, Anda membuat aturan prioritas teratas yang cocok dengan rentang alamat IP tersebut dengan tindakan goto_next. Permintaan dari rentang alamat IP tersebut dievaluasi terhadap aturan ini terlebih dahulu, dan karena memenuhi kondisi kecocokan, permintaan tersebut tidak dievaluasi terhadap aturan lain dalam kebijakan keamanan hierarkis tingkat organisasi ini.
Dalam contoh yang sama, jika Anda menggunakan tindakan allow atau deny, bukan tindakan
goto_next, permintaan akan diizinkan atau ditolak segera setelah kondisi
kecocokan terpenuhi. Evaluasi hierarkis ini berarti tidak ada kebijakan keamanan tambahan yang dievaluasi terhadap permintaan tersebut.
Perilaku penagihan dan pendaftaran Google Cloud Armor Enterprise
Saat Anda melampirkan kebijakan keamanan hierarkis, setiap project yang mewarisi kebijakan keamanan hierarkis harus didaftarkan ke Cloud Armor Enterprise. Hal ini mencakup semua project dalam organisasi atau folder dengan kebijakan keamanan hierarkis yang tidak dikecualikan secara eksplisit, dan semua project dengan kebijakan keamanan hierarkis yang dilampirkan langsung ke project.
- Project yang ditautkan ke akun Penagihan Cloud dengan langganan Cloud Armor Enterprise Annual akan otomatis didaftarkan ke Cloud Armor Enterprise Annual jika belum terdaftar.
- Tanpa langganan Cloud Armor Enterprise Annual, project akan otomatis terdaftar di Cloud Armor Enterprise Paygo saat project tersebut mewarisi kebijakan keamanan hierarkis. Jika Anda mendaftarkan akun penagihan ke Cloud Armor Enterprise Annual setelah project Anda otomatis terdaftar di Cloud Armor Enterprise Paygo, project tersebut tidak akan otomatis terdaftar ke Annual. Untuk mengetahui informasi selengkapnya tentang Cloud Armor Enterprise Paygo, lihat Google Cloud Armor Standard versus Cloud Armor Enterprise.
- Jika Anda memperbarui kebijakan keamanan hierarkis untuk mengecualikan project setelah project didaftarkan secara otomatis ke Cloud Armor Enterprise, project tersebut tidak akan otomatis dibatalkan pendaftarannya. Untuk membatalkan pendaftaran project Anda secara manual, lihat Menghapus project dari Cloud Armor Enterprise.
- Anda tidak dapat menghapus project dari Cloud Armor Enterprise jika project tersebut memiliki kebijakan keamanan hierarkis yang diwariskan.
Pendaftaran otomatis dapat memerlukan waktu hingga satu minggu. Selama periode ini, kebijakan keamanan hierarkis Anda berlaku dan tidak ada biaya Cloud Armor Enterprise yang dikenakan. Saat project Anda terdaftar, log audit akan diperbarui untuk mencerminkan status Cloud Armor Enterprise project dan Anda akan melihat tingkat project baru di konsol Google Cloud .
Batasan
Kebijakan keamanan hierarkis memiliki batasan berikut:
- Kebijakan keamanan hierarkis tidak tersedia untuk project yang tidak berada dalam organisasi.
- Untuk project baru atau yang baru dipulihkan, mungkin perlu waktu beberapa jam agar kebijakan keamanan yang diwariskan di project tersebut diterapkan.
- Untuk project yang baru-baru ini mengaktifkan Compute Engine API, mungkin perlu waktu beberapa jam agar kebijakan keamanan yang diwarisi di project ini diterapkan.
- Anda dapat menyesuaikan aturan WAF yang telah dikonfigurasi sebelumnya dalam kebijakan keamanan hierarkis yang Anda miliki, tetapi pemilik layanan yang mewarisi kebijakan keamanan hierarkis tidak dapat melakukan penyesuaian aturan.