Kebijakan keamanan edge jaringan memungkinkan Anda mengonfigurasi aturan untuk mengizinkan atau memblokir traffic di edge jaringan Google. Anda dapat mengonfigurasi kebijakan keamanan edge jaringan untuk jenis frontend berikut:
- Load Balancer Jaringan passthrough eksternal
- Penerusan protokol
- VM dengan alamat IP publik
Anda dapat menggunakan kebijakan keamanan edge jaringan untuk memfilter menurut rentang alamat IP sumber dan tujuan, mirip dengan Cloud Next Generation Firewall, tetapi tanpa menggunakan resource Anda. Selain itu, kebijakan keamanan edge jaringan adalah satu-satunya jenis kebijakan keamanan yang mendukung pemfilteran offset byte.
Mengonfigurasi aturan kustom untuk kebijakan keamanan edge jaringan
Seperti kebijakan keamanan backend dan edge, Anda dapat mengonfigurasi aturan kustom untuk kebijakan keamanan edge jaringan. Dalam contoh berikut, Anda membuat kebijakan keamanan edge jaringan, mengonfigurasi aturan kustom untuk mengizinkan traffic hanya dari rentang alamat IP sumber tertentu, dan melampirkan kebijakan ke layanan backend Anda.
Kebijakan keamanan edge jaringan mendukung beberapa filter Google Cloud Armor, termasuk filter unik seperti pemfilteran byte-offset. Untuk mengetahui informasi selengkapnya tentang fitur yang didukung kebijakan keamanan edge jaringan, lihat ringkasan kebijakan keamanan. Selain itu, Anda dapat men-deploy kebijakan keamanan edge jaringan dalam mode pratinjau.
Sebelum melanjutkan, Anda harus mendaftar ke Google Cloud Armor Enterprise dan mengonfigurasi perlindungan DDoS jaringan tingkat lanjut. Anda tidak dapat menggunakan aturan kustom untuk kebijakan keamanan edge jaringan tanpa langganan Cloud Armor Enterprise yang aktif dan perlindungan DDoS jaringan tingkat lanjut.
Untuk mengonfigurasi aturan kustom, ikuti langkah-langkah berikut:
Buat kebijakan keamanan edge jaringan baru dengan nama
POLICY_NAMEdi regionREGION. Jangan gunakan kebijakan keamanan yang sama dengan yang Anda gunakan saat mengaktifkan perlindungan DDoS jaringan tingkat lanjut.gcloud compute security-policies create POLICY_NAME \ --type=CLOUD_ARMOR_NETWORK \ --region=REGION
Ubah aturan default kebijakan Anda dari
allowmenjadidenyuntuk memblokir traffic yang tidak diizinkan secara eksplisit oleh aturan lain.gcloud compute security-policies rules update 2147483647 \ --security-policy=POLICY_NAME \ --action=deny \ --region=REGION
Dalam kebijakan keamanan yang sama, tambahkan aturan pada prioritas
RULE_PRIORITYyang mengizinkan permintaan dalam rentang alamat IP sumberRANGE.gcloud compute security-policies rules create RULE_PRIORITY \ --security-policy=POLICY_NAME \ --network-src-ip-ranges=RANGE \ --action=allow \ --region=REGION
Kaitkan kebijakan keamanan dengan layanan backend Anda
BACKEND_SERVICE_NAME.gcloud compute backend-services update BACKEND_SERVICE_NAME \ --security-policy=POLICY_NAME \ --region=REGION
Atau, Anda dapat mengaitkan kebijakan keamanan dengan satu instance VM menggunakan perintah berikut:
gcloud beta compute instances network-interfaces update VM_NAME \ --security-policy=POLICY_NAME \ --security-policy-region=REGION \ --network-interface=NETWORK_INTERFACE \ --zone=ZONE_NAME
Opsional: Anda dapat memverifikasi bahwa kebijakan keamanan dilampirkan menggunakan perintah berikut. Jika berhasil, kolom
securityPolicydalam output akan memiliki link ke resource kebijakan keamanan Anda.gcloud compute instances describe VM_NAME --zone=ZONE_NAME
Setelah membuat contoh di atas, Anda dapat terus menambahkan aturan ke kebijakan keamanan edge jaringan menggunakan perintah security-policies rules update.
Kolom yang didukung untuk kebijakan keamanan edge jaringan adalah sebagai berikut:
| Kolom | Flag | Deskripsi |
|---|---|---|
| Alamat IP sumber | --network-src-ip-ranges |
Alamat IPv4/6 atau prefiks CIDR sumber, dalam format teks standar. |
| Port sumber | --network-src-ports |
Nomor port sumber untuk TCP/UDP/SCTP. Setiap elemen dapat berupa (16-bit) angka (seperti "80") atau rentang (seperti "0-1023"). |
| Kode wilayah sumber | --network-src-region-codes |
Kode negara dua huruf (ISO 3166-1 alpha 2). |
| ASN Sumber | --network-src-asns |
Nomor Sistem Otonom BGP dari alamat IP sumber. |
| Rentang alamat IP tujuan | --network-dest-ip-ranges |
Alamat IPv4/6 atau prefiks CIDR tujuan, dalam format teks standar. |
| Port tujuan | --network-dest-ports |
Nomor port tujuan untuk TCP/UDP/SCTP. Setiap elemen dapat berupa angka (16-bit) (seperti "80") atau rentang (seperti "0-1023"). |
| Protokol alamat IP | --network-ip-protocols |
Protokol IPv4 / header berikutnya IPv6 (setelah header ekstensi). Setiap
elemen dapat berupa angka 8-bit (seperti "6"), rentang (seperti "253-254"), atau
salah satu nama protokol berikut:
|
| Pemfilteran offset byte | T/A | Lihat bagian berikut. |
Saat menggunakan flag --network-src-region-codes dengan kebijakan keamanan edge jaringan, Anda dapat menggunakan kode wilayah untuk wilayah berikut yang tunduk pada sanksi komprehensif AS:
| Wilayah | Kode yang ditetapkan |
|---|---|
| Krimea | XC |
| Wilayah yang disebut sebagai Republik Rakyat Donetsk (DNR), dan wilayah yang disebut sebagai Republik Rakyat Luhansk (LNR) |
XD |
Mengonfigurasi pemfilteran offset byte
Jika Anda menggunakan Load Balancer Jaringan passthrough eksternal, penerusan protokol, atau VM dengan alamat IP publik, Google Cloud Armor dapat melakukan pemeriksaan paket mendalam pada traffic yang masuk. Anda dapat mengonfigurasi aturan kebijakan keamanan yang cocok dengan nilai offset byte TCP/UDP tertentu. Anda dapat mengonfigurasi aturan untuk menerapkan tindakan aturan saat nilai yang dikonfigurasi ada, atau saat nilai tersebut tidak ada.
Contoh berikut mengizinkan traffic saat nilai ada, dan menolak semua traffic lainnya:
Buat kebijakan keamanan edge jaringan baru. Anda dapat melewati langkah ini jika Anda memiliki kebijakan keamanan edge jaringan yang sudah ada.
gcloud compute security-policies create POLICY_NAME \ --type=CLOUD_ARMOR_NETWORK \ --region=REGION_NAME
Perbarui kebijakan keamanan edge jaringan Anda untuk menambahkan kolom yang ditentukan pengguna dengan menggunakan parameter berikut:
- Dasar: nilai dapat berupa
IPv4,IPv6,TCP, atauUDP - Offset: offset kolom dari basis dalam byte
- Ukuran: ukuran kolom dalam byte (nilai maksimum adalah
4) - Mask: mask untuk bit di kolom yang akan dicocokkan
Anda dapat menggunakan hingga delapan kolom yang ditentukan pengguna per kebijakan. Dalam contoh berikut, Anda membuat dua kolom yang ditentukan pengguna.
gcloud compute security-policies add-user-defined-field POLICY_NAME \ --user-defined-field-name=USER_DEFINED_FIELD_NAME_TCP \ --base=TCP \ --offset=OFFSET \ --size=SIZE \ --mask=MASK \ --region=REGION_NAME
gcloud compute security-policies add-user-defined-field POLICY_NAME \ --user-defined-field-name=USER_DEFINED_FIELD_NAME_UDP \ --base=UDP \ --offset=OFFSET \ --size=SIZE \ --mask=MASK \ --region=REGION_NAME
- Dasar: nilai dapat berupa
Dalam kebijakan keamanan edge jaringan Anda, tambahkan aturan dengan nama kolom kustom yang sama dengan yang Anda gunakan dalam contoh sebelumnya. Ganti
VALUE1danVALUE2dengan nilai yang cocok dengan traffic yang ingin Anda izinkan.gcloud compute security-policies rules create RULE_PRIORITY \ --security-policy=POLICY_NAME \ --network-user-defined-fields="USER_DEFINED_FIELD_NAME_TCP;VALUE1:VALUE2,USER_DEFINED_FIELD_NAME_UDP;VALUE1:VALUE2,USER_DEFINED_FIELD_NAME_UDP;VALUE1,VALUE2" \ --action=allow \ --region=REGION_NAME
Tetapkan aturan default dalam kebijakan keamanan edge jaringan Anda menjadi aturan penolakan. Anda dapat melewati langkah ini jika aturan default dalam kebijakan keamanan Anda sudah berupa aturan penolakan.
gcloud compute security-policies rules update 2147483647 \ --security-policy=POLICY_NAME \ --action=deny \ --region=REGION_NAME
Mengaitkan kebijakan keamanan edge jaringan dengan layanan backend Load Balancer Jaringan passthrough eksternal.
gcloud compute backend-services update BACKEND_SERVICE_NAME \ --security-policy=POLICY_NAME \ --region=REGION_NAME
Pemantauan
Google Cloud Armor mengekspor metrik berikut ke Cloud Monitoring untuk setiap aturan kebijakan keamanan edge jaringan Anda:
packet_countBlocked: nilai boolean yang merepresentasikan hasil tindakan aturanallowataudenyCount: nilaipacket_countyang bertambah satu kali untuk setiap 10.000 paket—misalnya, nilaipacket_count5berarti setidaknya 50.000 paket telah cocok dengan aturan Anda
preview_packet_count: sama denganpacket_count, digunakan untuk aturan dalam mode pratinjau
Untuk melihat metrik kebijakan keamanan edge jaringan, Anda harus mengaktifkan
Network Security API
(networksecurity.googleapis.com) terlebih dahulu. Izin ini disertakan dalam
peran Compute Security Admin
(roles/compute.securityAdmin). Setelah mengaktifkan Network Security API,
Anda dapat melihat metrik di Monitoring di konsol Google Cloud .