Mengonfigurasi layanan deteksi dan pencegahan penyusupan

Untuk mengaktifkan layanan deteksi dan pencegahan intrusi di jaringan Anda, Anda harus menyiapkan beberapa komponen Cloud Next Generation Firewall. Dokumen ini memberikan alur kerja tingkat tinggi yang menjelaskan cara mengonfigurasi komponen ini serta mengaktifkan deteksi dan pencegahan ancaman.

Mengonfigurasi layanan deteksi dan pencegahan penyusupan tanpa pemeriksaan TLS

Untuk mengonfigurasi layanan deteksi dan pencegahan penyusupan di jaringan Anda, lakukan tugas berikut.

lain yang diperlukan.

  1. Buat profil keamanan jenis Threat prevention. Siapkan penggantian ancaman atau tingkat keparahan sesuai kebutuhan jaringan Anda. Anda dapat membuat satu atau beberapa profil. Untuk mempelajari cara membuat profil keamanan, lihat Membuat profil keamanan.

  2. Buat grup profil keamanan dengan profil keamanan yang dibuat pada langkah sebelumnya. Untuk mempelajari cara membuat grup profil keamanan, lihat Membuat grup profil keamanan.

  3. Buat endpoint firewall di zona yang sama dengan workload tempat Anda ingin mengaktifkan pencegahan ancaman. Untuk mempelajari cara membuat endpoint firewall, lihat Membuat endpoint firewall.

  4. Kaitkan endpoint firewall dengan satu atau beberapa jaringan VPC tempat Anda ingin mengaktifkan deteksi dan pencegahan ancaman. Pastikan Anda menjalankan beban kerja di zona yang sama dengan endpoint firewall. Untuk mempelajari cara mengaitkan endpoint firewall dengan jaringan VPC, lihat Membuat pengaitan endpoint firewall.

  5. Anda dapat menggunakan kebijakan firewall jaringan global atau kebijakan firewall hierarkis untuk mengonfigurasi layanan deteksi dan pencegahan intrusi.

    • Dalam kebijakan firewall global baru atau yang sudah ada, tambahkan aturan kebijakan firewall dengan pemeriksaan Layer 7 diaktifkan (tindakan apply_security_profile_group) dan tentukan nama grup profil keamanan yang Anda buat pada langkah sebelumnya. Pastikan kebijakan firewall dikaitkan dengan jaringan VPC yang sama dengan workload yang memerlukan pemeriksaan. Untuk mempelajari lebih lanjut kebijakan firewall jaringan global dan parameter yang diperlukan untuk membuat aturan kebijakan firewall dengan pencegahan ancaman yang diaktifkan, lihat Membuat kebijakan firewall jaringan global dan Membuat aturan kebijakan firewall jaringan global.

    • Anda juga dapat menggunakan kebijakan firewall hierarkis untuk menambahkan aturan kebijakan firewall dengan grup profil keamanan yang dikonfigurasi. Untuk mempelajari lebih lanjut parameter yang diperlukan untuk membuat aturan kebijakan firewall hierarkis dengan pencegahan ancaman diaktifkan, lihat Membuat aturan firewall.

Mengonfigurasi layanan pencegahan dan deteksi penyusupan dengan pemeriksaan TLS

Untuk mengonfigurasi layanan deteksi dan pencegahan penyusupan dengan pemeriksaan Transport Layer Security (TLS) di jaringan Anda, lakukan tugas berikut.

  1. Buat profil keamanan jenis Threat prevention. Siapkan penggantian ancaman atau tingkat keparahan sesuai kebutuhan jaringan Anda. Anda dapat membuat satu atau beberapa profil. Untuk mempelajari cara membuat profil keamanan, lihat Membuat profil keamanan.

  2. Buat grup profil keamanan dengan profil keamanan yang dibuat pada langkah sebelumnya. Untuk mempelajari cara membuat grup profil keamanan, lihat Membuat grup profil keamanan.

  3. Buat kumpulan CA dan konfigurasi kepercayaan, lalu tambahkan ke kebijakan pemeriksaan TLS Anda. Untuk mempelajari cara mengaktifkan pemeriksaan TLS di Cloud NGFW, lihat Menyiapkan pemeriksaan TLS.

  4. Buat endpoint firewall di zona yang sama dengan workload tempat Anda ingin mengaktifkan pencegahan ancaman. Untuk mempelajari cara membuat endpoint firewall, lihat Membuat endpoint firewall.

  5. Kaitkan endpoint firewall dengan satu atau beberapa jaringan VPC tempat Anda ingin mengaktifkan deteksi dan pencegahan ancaman. Tambahkan kebijakan inspeksi TLS yang Anda buat pada langkah sebelumnya ke asosiasi endpoint firewall. Pastikan Anda menjalankan workload di zona yang sama dengan endpoint firewall.

    Untuk mempelajari cara mengaitkan endpoint firewall dengan jaringan VPC dan mengaktifkan inspeksi TLS, lihat Membuat pengaitan endpoint firewall.

  6. Anda dapat menggunakan kebijakan firewall jaringan global atau kebijakan firewall hierarkis untuk mengonfigurasi layanan deteksi dan pencegahan intrusi.

    • Dalam kebijakan firewall global baru atau yang sudah ada, tambahkan aturan kebijakan firewall dengan pemeriksaan Layer 7 diaktifkan (tindakan apply_security_profile_group) dan tentukan nama grup profil keamanan yang Anda buat pada langkah sebelumnya. Untuk mengaktifkan pemeriksaan TLS, tentukan tanda --tls-inspect. Pastikan kebijakan firewall dikaitkan dengan jaringan VPC yang sama dengan workload yang memerlukan pemeriksaan. Untuk mempelajari lebih lanjut kebijakan firewall jaringan global dan parameter yang diperlukan untuk membuat aturan kebijakan firewall dengan pencegahan ancaman yang diaktifkan, lihat Membuat kebijakan firewall jaringan global dan Membuat aturan kebijakan firewall jaringan global.

    • Anda juga dapat menggunakan kebijakan firewall hierarkis untuk menambahkan aturan kebijakan firewall dengan grup profil keamanan yang dikonfigurasi. Untuk mempelajari lebih lanjut parameter yang diperlukan untuk membuat aturan kebijakan firewall hierarkis dengan pencegahan ancaman diaktifkan, lihat Membuat aturan firewall.

Contoh model deployment

Gambar 1 menunjukkan contoh deployment dengan layanan deteksi dan pencegahan intrusi yang dikonfigurasi untuk dua jaringan VPC di region yang sama, tetapi dua zona yang berbeda.

Deploy layanan deteksi dan pencegahan penyusupan di suatu region.
Gambar 1. Men-deploy layanan deteksi dan pencegahan penyusupan di suatu region (klik untuk memperbesar).

Contoh deployment memiliki konfigurasi pencegahan ancaman berikut:

  1. Dua grup profil keamanan:

    1. Security profile group 1 dengan profil keamanan Security profile 1.

    2. Security profile group 2 dengan profil keamanan Security profile 2.

  2. VPC Pelanggan 1 (VPC 1) memiliki kebijakan firewall dengan grup profil keamanan yang ditetapkan ke Security profile group 1.

  3. VPC Pelanggan 2 (VPC 2) memiliki kebijakan firewall dengan grup profil keamanan yang ditetapkan ke Security profile group 2.

  4. Endpoint firewall Firewall endpoint 1 melakukan deteksi dan pencegahan ancaman untuk workload yang berjalan di VPC 1 dan VPC 2 di zona us-west1-a.

  5. Endpoint firewall Firewall endpoint 2 melakukan deteksi dan pencegahan ancaman dengan pemeriksaan TLS yang diaktifkan untuk beban kerja yang berjalan di VPC 1 dan VPC 2 di zona us-west1-b.

Langkah berikutnya