Layanan deteksi dan pencegahan penyusupan Cloud Next Generation Firewall terus memantau traffic workload Anda untuk mendeteksi aktivitas berbahaya dan mengambil tindakan pencegahan untuk mencegahnya. Google Cloud Aktivitas berbahaya dapat mencakup ancaman seperti intrusi, malware, spyware, serta serangan perintah dan kontrol di jaringan Anda.
Layanan deteksi dan pencegahan penyusupan Cloud NGFW berfungsi dengan membuat endpoint firewall zonal yang dikelola Google yang menggunakan teknologi pencegatan paket untuk memeriksa workload secara transparan berdasarkan tanda tangan ancaman yang dikonfigurasi dan melindunginya dari ancaman. Kemampuan pencegahan ancaman ini didukung oleh teknologi pencegahan ancaman Palo Alto Networks.
Cloud NGFW mendukung kategori tanda tangan ancaman berikut:
- Anti-spyware
- Perlindungan kerentanan
- Antivirus
Untuk mengetahui informasi selengkapnya tentang kategori ancaman, lihat Tanda tangan ancaman default.
Layanan deteksi dan pencegahan penyusupan ditawarkan sebagai bagian dari kemampuan Cloud Next Generation Firewall Enterprise. Untuk mengetahui informasi selengkapnya, lihat Cloud NGFW Enterprise dan harga Cloud NGFW.
Dokumen ini memberikan ringkasan tingkat tinggi tentang berbagai komponen layanan deteksi dan pencegahan intrusi Cloud NGFW serta cara komponen ini memberikan kemampuan perlindungan tingkat lanjut untuk beban kerja Anda di jaringan Virtual Private Cloud (VPC). Google Cloud
Cara kerja layanan deteksi dan pencegahan penyusupan
Layanan deteksi dan pencegahan penyusupan memproses traffic dalam urutan berikut:
Aturan kebijakan firewall diterapkan ke traffic ke dan dari instance mesin virtual (VM) atau cluster Google Kubernetes Engine (GKE), di jaringan.
Traffic yang cocok akan dicegat, dan paket dikirim ke endpoint firewall untuk inspeksi Lapisan 7.
Endpoint firewall memindai paket untuk tanda tangan ancaman yang dikonfigurasi.
Jika ancaman terdeteksi, tindakan yang dikonfigurasi dalam profil keamanan akan dilakukan pada paket tersebut.
Gambar 1 menjelaskan model deployment yang disederhanakan dari layanan deteksi dan pencegahan penyusupan.
Bagian selanjutnya menjelaskan komponen dan konfigurasi yang diperlukan untuk menyiapkan layanan deteksi dan pencegahan penyusupan.
Profil keamanan dan grup profil keamanan
Cloud NGFW mereferensikan profil keamanan dan grup profil keamanan untuk menerapkan deep packet inspection untuk layanan deteksi dan pencegahan intrusi.
Profil keamanan adalah struktur kebijakan generik yang digunakan dalam layanan deteksi dan pencegahan intrusi untuk menggantikan skenario pencegahan ancaman tertentu. Untuk mengonfigurasi layanan deteksi dan pencegahan penyusupan, Anda menentukan profil keamanan jenis
threat-prevention. Untuk mempelajari profil keamanan lebih lanjut, lihat Ringkasan profil keamanan.Grup profil keamanan berisi profil keamanan jenis
threat prevention. Untuk mengonfigurasi layanan deteksi dan pencegahan intrusi, aturan kebijakan firewall mereferensikan grup profil keamanan ini untuk mengaktifkan deteksi dan pencegahan ancaman untuk traffic jaringan. Untuk mempelajari grup profil keamanan lebih lanjut, lihat Ringkasan grup profil keamanan.
Endpoint firewall
Endpoint firewall adalah resource tingkat organisasi yang dibuat di zona tertentu yang dapat memeriksa traffic di zona yang sama.
Untuk layanan deteksi dan pencegahan penyusupan, endpoint firewall memindai traffic yang dicegat untuk mendeteksi ancaman. Jika ancaman terdeteksi, tindakan
yang terkait dengan ancaman tersebut akan dilakukan pada paket itu. Tindakan ini dapat berupa
tindakan default, atau tindakan (jika dikonfigurasi) dalam profil keamanan threat-prevention.
Untuk mempelajari lebih lanjut endpoint firewall dan cara mengonfigurasinya, lihat Ringkasan endpoint firewall.
Kebijakan firewall
Kebijakan firewall berlaku langsung untuk semua traffic yang masuk dan keluar dari VM. Anda dapat menggunakan kebijakan firewall hierarkis dan kebijakan firewall jaringan global untuk mengonfigurasi aturan kebijakan firewall dengan inspeksi Lapisan 7.
Aturan kebijakan firewall
Dengan aturan kebijakan firewall, Anda dapat mengontrol jenis traffic yang akan dicegat dan diperiksa. Untuk mengonfigurasi layanan deteksi dan pencegahan intrusi, buat aturan kebijakan firewall untuk melakukan hal berikut:
Identifikasi jenis traffic yang akan diperiksa dengan menggunakan beberapa komponen aturan kebijakan firewall Layer 3 dan Layer 4.
Untuk traffic yang cocok, tentukan nama grup profil keamanan untuk tindakan
apply_security_profile_group.
Untuk alur kerja layanan deteksi dan pencegahan penyusupan yang lengkap, lihat Mengonfigurasi layanan deteksi dan pencegahan penyusupan.
Anda juga dapat menggunakan tag aman dalam aturan firewall untuk mengonfigurasi layanan deteksi dan pencegahan intrusi. Anda dapat membangun segmentasi yang telah disiapkan dengan menggunakan tag di jaringan, dan meningkatkan logika pemeriksaan traffic untuk menyertakan layanan deteksi dan pencegahan intrusi.
Memeriksa traffic terenkripsi
Cloud NGFW mendukung intersepsi dan dekripsi Transport Layer Security (TLS) untuk memeriksa traffic terenkripsi tertentu terhadap ancaman. TLS memungkinkan Anda memeriksa koneksi masuk dan keluar, termasuk traffic ke dan dari internet serta traffic dalam Google Cloud.
Untuk mempelajari lebih lanjut pemeriksaan TLS di Cloud NGFW, lihat Ringkasan pemeriksaan TLS.
Untuk mempelajari cara mengaktifkan pemeriksaan TLS di Cloud NGFW, lihat Menyiapkan pemeriksaan TLS.
Tanda tangan ancaman
Kemampuan deteksi dan pencegahan ancaman Cloud NGFW didukung oleh teknologi pencegahan ancaman Palo Alto Networks. Cloud NGFW mendukung serangkaian tanda tangan ancaman default dengan tingkat keparahan yang telah ditentukan sebelumnya untuk membantu melindungi jaringan Anda. Anda juga dapat mengganti tindakan default yang terkait dengan tanda tangan ancaman ini menggunakan profil keamanan.
Untuk mempelajari tanda tangan ancaman lebih lanjut, lihat Ringkasan tanda tangan ancaman.
Untuk melihat ancaman yang terdeteksi di jaringan Anda, lihat Melihat ancaman.
Batasan
Cloud NGFW tidak mendukung unit transmisi maksimum (MTU) frame jumbo.
Endpoint firewall mengabaikan header X-Forwarded-For (XFF). Oleh karena itu, header ini tidak disertakan dalam Logging Aturan Firewall.