Kebijakan firewall hierarkis memungkinkan Anda membuat dan menerapkan kebijakan firewall yang konsisten di seluruh organisasi. Anda dapat menetapkan kebijakan firewall hierarkis ke organisasi secara keseluruhan atau ke folder individual. Kebijakan ini berisi aturan yang dapat secara eksplisit menolak atau mengizinkan koneksi, seperti aturan firewall Virtual Private Cloud (VPC).
Selain itu, aturan kebijakan firewall hierarkis dapat mendelegasikan evaluasi ke kebijakan tingkat rendah atau aturan firewall jaringan VPC dengan tindakan goto_next.
Aturan tingkat yang lebih rendah tidak dapat mengganti aturan dari tempat yang lebih tinggi dalam hierarki resource. Hal ini memungkinkan admin di seluruh organisasi mengelola aturan firewall penting di satu tempat.
Spesifikasi
- Kebijakan firewall hierarkis dibuat di tingkat organisasi dan folder. Membuat kebijakan tidak secara otomatis menerapkan aturan ke organisasi atau folder.
- Kebijakan, setelah dibuat, dapat diterapkan ke (dikaitkan dengan) resource apa pun di organisasi.
- Kebijakan firewall hierarkis adalah penampung untuk aturan firewall. Saat Anda mengaitkan kebijakan dengan organisasi atau folder, semua aturan akan segera diterapkan. Anda dapat menukar kebijakan untuk resource, yang secara atomik menukar semua aturan firewall yang diterapkan ke instance virtual machine (VM) di bawah resource tersebut.
- Evaluasi aturan bersifat hierarkis berdasarkan hierarki resource. Semua aturan yang terkait dengan organisasi akan dievaluasi, diikuti dengan aturan di level pertama folder, dan seterusnya.
- Aturan kebijakan firewall hierarkis memiliki tindakan
goto_nextbaru yang dapat Anda gunakan untuk mendelegasikan evaluasi koneksi ke tingkat hierarki yang lebih rendah.
Aturan kebijakan firewall hierarkis dapat digunakan untuk mengonfigurasi inspeksi Layer 7 dari traffic yang cocok, seperti layanan pencegahan dan deteksi penyusupan.
Anda membuat aturan kebijakan firewall menggunakan
apply_security_profile_grouptindakan dan nama grup profil keamanan. Traffic yang cocok dengan aturan kebijakan firewall dicegat dan diteruskan secara transparan ke endpoint firewall untuk inspeksi Layer 7, dan kembali. Untuk mempelajari cara membuat aturan kebijakan firewall, lihat Membuat aturan firewall.
- Aturan kebijakan firewall hierarkis dapat ditargetkan ke jaringan VPC dan VM tertentu dengan menggunakan resource target untuk jaringan dan akun layanan target untuk VM. Dengan begitu, Anda dapat membuat pengecualian untuk grup VM. Aturan kebijakan firewall hierarkis tidak mendukung penargetan berdasarkan tag instance.
- Setiap aturan kebijakan firewall hierarkis dapat menyertakan rentang IPv4 atau IPv6, tetapi tidak keduanya.
- Untuk membantu kepatuhan dan proses debug, aturan firewall yang diterapkan ke instance VM dapat diaudit menggunakan halaman detail jaringan VPC dan halaman detail antarmuka jaringan instance VM.
Hierarki resource
Anda membuat dan menerapkan kebijakan firewall sebagai langkah terpisah. Anda dapat membuat dan menerapkan kebijakan firewall di tingkat organisasi atau folder dalam hierarki resource. Aturan kebijakan firewall dapat memblokir koneksi, mengizinkan koneksi, atau menunda evaluasi aturan firewall ke folder tingkat bawah atau aturan firewall VPC yang ditentukan dalam jaringan VPC.
Organisasi adalah resource tingkat teratas dalam hierarki resource di Google Cloud tempat Anda dapat membuat atau mengaitkan kebijakan firewall hierarkis. Semua folder dan jaringan VPC di organisasi mewarisi kebijakan ini.
Folder adalah resource tingkat menengah dalam hierarki resource Google Cloud , di antara organisasi dan project, tempat Anda dapat membuat atau menetapkan kebijakan firewall hierarkis. Semua folder dan jaringan VPC dalam folder mewarisi kebijakan terkaitnya.
Project berada di bawah folder atau organisasi. Anda dapat memindahkan project antar-resource dalam organisasi. Project berisi jaringan VPC. Kebijakan firewall hierarkis tidak dapat ditetapkan ke project, hanya ke organisasi atau folder.
Jaringan VPC adalah partisi untuk komunikasi ruang IP internal yang terisolasi. Google Cloud Ini adalah tingkat tempat rute, kebijakan firewall jaringan, dan aturan firewall VPC tradisional ditentukan dan diterapkan. Aturan kebijakan firewall hierarkis dapat mengganti atau mendelegasikan evaluasi koneksi ke kebijakan dan aturan firewall jaringan global.
Secara default, semua aturan kebijakan firewall hierarkis berlaku untuk semua VM di semua project dalam organisasi atau folder tempat kebijakan dikaitkan. Namun, Anda dapat membatasi VM mana yang mendapatkan aturan tertentu dengan menentukan jaringan target atau akun layanan target.
Tingkat hierarki tempat aturan firewall kini dapat diterapkan ditampilkan dalam diagram berikut. Kotak kuning merepresentasikan kebijakan firewall hierarkis yang berisi aturan firewall, sedangkan kotak putih merepresentasikan aturan firewall VPC.
Detail kebijakan firewall hierarkis
Aturan kebijakan firewall hierarkis ditentukan dalam resource kebijakan firewall yang berfungsi sebagai penampung aturan firewall. Aturan yang ditentukan dalam kebijakan firewall tidak diterapkan hingga kebijakan dikaitkan dengan resource (organisasi atau folder).
Satu kebijakan dapat dikaitkan dengan beberapa resource. Jika Anda mengubah aturan dalam kebijakan, perubahan aturan tersebut akan berlaku untuk semua resource terkait.
Hanya satu kebijakan firewall yang dapat dikaitkan dengan resource. Aturan kebijakan firewall hierarkis dan aturan firewall VPC dievaluasi dalam urutan yang jelas.
Kebijakan firewall yang tidak dikaitkan dengan resource apa pun adalah kebijakan firewall hierarkis yang tidak dikaitkan.
Nama kebijakan
Saat Anda membuat kebijakan baru, Google Cloud akan otomatis membuat ID
untuk kebijakan tersebut. Selain itu, Anda juga menentukan nama pendek untuk kebijakan tersebut.
Saat menggunakan antarmuka gcloud untuk memperbarui kebijakan yang ada, Anda dapat mereferensikan
ID yang dibuat sistem atau kombinasi nama singkat dan ID
organisasi Anda. Saat menggunakan API untuk memperbarui kebijakan, Anda harus memberikan ID yang dibuat sistem.
Detail aturan kebijakan firewall hierarkis
Aturan kebijakan firewall hierarkis berfungsi sama seperti aturan kebijakan firewall dan aturan firewall VPC, tetapi ada beberapa perbedaan:
Kebijakan firewall hierarkis mendukung jaringan target, sedangkan kebijakan firewall jaringan global tidak. Anda dapat menentukan jaringan target untuk membatasi aturan kebijakan firewall ke VM di jaringan yang ditentukan. Menentukan jaringan VPC dalam aturan memberi Anda kontrol atas jaringan mana yang dikonfigurasi dengan aturan tersebut.
Jika dikombinasikan dengan
goto_nextatauallow, menentukan jaringan target memungkinkan Anda membuat pengecualian untuk jaringan tertentu saat Anda ingin menentukan kebijakan yang membatasi.Kebijakan firewall hierarkis tidak memiliki integrasi tag aman.
Kebijakan firewall hierarkis adalah resource tingkat organisasi, sedangkan kebijakan firewall jaringan global adalah resource tingkat project.
Aturan yang telah ditentukan
Saat Anda membuat kebijakan firewall hierarkis, Cloud Next Generation Firewall akan menambahkan aturan yang telah ditentukan sebelumnya dengan prioritas terendah ke kebijakan tersebut. Aturan ini diterapkan ke koneksi yang tidak cocok dengan aturan yang ditentukan secara eksplisit dalam kebijakan, sehingga koneksi tersebut diteruskan ke kebijakan atau aturan jaringan tingkat yang lebih rendah.
Untuk mempelajari berbagai jenis aturan standar dan karakteristiknya, lihat Aturan standar.
Peran Identity and Access Management (IAM)
Peran IAM mengatur tindakan berikut terkait dengan kebijakan firewall hierarkis:
- Membuat kebijakan yang berada di resource tertentu
- Mengaitkan kebijakan dengan resource tertentu
- Mengubah kebijakan yang ada
- Melihat aturan firewall yang efektif untuk jaringan atau VM tertentu
Tabel berikut menjelaskan peran yang diperlukan untuk setiap langkah:
| Kemampuan | Peran yang diperlukan |
|---|---|
| Membuat kebijakan firewall hierarkis baru | compute.orgFirewallPolicyAdmin pada resource tempat kebijakan akan diterapkan |
| Mengaitkan kebijakan dengan resource | compute.orgSecurityResourceAdmin pada resource target, dan peran compute.orgFirewallPolicyAdmin atau compute.orgFirewallPolicyUser pada resource tempat kebijakan berada atau pada kebijakan itu sendiri |
| Ubah kebijakan dengan menambahkan, memperbarui, atau menghapus aturan firewall kebijakan | compute.orgFirewallPolicyAdmin baik pada resource tempat kebijakan berada atau pada kebijakan itu sendiri |
| Hapus kebijakan | compute.orgFirewallPolicyAdmin baik pada resource tempat kebijakan berada atau pada kebijakan itu sendiri |
| Melihat aturan firewall yang efektif untuk jaringan VPC | Salah satu peran berikut untuk jaringan: compute.networkAdmin compute.networkViewer compute.securityAdmin compute.viewer |
| Melihat aturan firewall efektif untuk VM dalam jaringan | Salah satu peran berikut untuk VM: compute.instanceAdmin compute.securityAdmin compute.viewer |
Peran berikut relevan dengan kebijakan firewall hierarkis.
| Nama peran | Deskripsi |
|---|---|
| compute.orgFirewallPolicyAdmin | Dapat diberikan pada resource atau pada kebijakan individual. Jika diberikan di resource,
pengguna dapat membuat, memperbarui, dan menghapus kebijakan firewall hierarkis dan
aturannya. Jika diberikan pada kebijakan individual, pengguna dapat memperbarui
aturan kebijakan, tetapi tidak dapat membuat atau menghapus kebijakan. Peran ini juga memungkinkan
pengguna mengaitkan kebijakan dengan resource jika mereka juga memiliki
peran compute.orgSecurityResourceAdmin di resource tersebut. |
| compute.orgSecurityResourceAdmin | Diberikan di tingkat organisasi atau ke folder, memungkinkan administrator
tingkat folder mengaitkan kebijakan dengan resource tersebut. Administrator juga harus memiliki peran compute.orgFirewallPolicyUser atau compute.orgFirewallPolicyAdmin di resource yang memiliki kebijakan atau di kebijakan itu sendiri untuk dapat menggunakannya. |
| compute.orgFirewallPolicyUser | Diberikan pada resource atau pada kebijakan individual, memungkinkan administrator
menggunakan kebijakan individual atau kebijakan yang terkait dengan resource. Pengguna
juga harus memiliki peran compute.orgSecurityResourceAdmin di
resource target untuk mengaitkan kebijakan dengan resource tersebut. |
|
compute.securityAdmin compute.viewer compute.networkUser compute.networkViewer |
Mengizinkan pengguna melihat aturan firewall yang diterapkan ke jaringan atau instance. Mencakup izin compute.networks.getEffectiveFirewalls
untuk jaringan dan compute.instances.getEffectiveFirewalls untuk instance. |
Dalam contoh berikut, Joe dapat membuat, mengubah, dan menghapus kebijakan firewall hierarkis apa pun di folder policies, tetapi dia tidak dapat melampirkan kebijakan firewall hierarkis ke folder karena dia tidak memiliki peran policies di folder mana pun.orgSecurityResourceAdmin
Namun, karena Joko memberikan izin kepada Maria untuk menggunakan policy-1, Maria dapat mencantumkan dan mengaitkan kebijakan firewall hierarkis tersebut dengan folder dev-projects atau turunannya. Peran orgFirewallPolicyUser tidak memberikan izin untuk mengaitkan kebijakan ke folder mana pun; pengguna juga harus memiliki peran orgSecurityResourceAdmin di folder target.
Mengelola resource kebijakan firewall hierarkis
Karena kebijakan firewall hierarkis hanya menentukan serangkaian aturan firewall dan bukan tempat aturan tersebut diterapkan, Anda dapat membuat resource ini di bagian hierarki yang berbeda dari resource yang diterapkan. Dengan begitu, Anda dapat mengaitkan satu resource kebijakan firewall hierarkis dengan beberapa folder di organisasi.
Dalam contoh berikut, policy-1 diterapkan ke folder dev-projects dan corp-projects, sehingga diterapkan pada semua project dalam folder tersebut.
Mengubah aturan kebijakan
Anda dapat menambahkan, menghapus, dan mengubah aturan dalam kebijakan. Setiap perubahan dilakukan secara terpisah; tidak ada mekanisme untuk memperbarui aturan secara berkelompok dalam kebijakan. Perubahan diterapkan kira-kira dalam urutan perintah dieksekusi, meskipun hal ini tidak dijamin.
Jika Anda melakukan perubahan ekstensif pada kebijakan firewall hierarkis dan perlu memastikan bahwa perubahan tersebut diterapkan secara bersamaan, Anda dapat meng-clone kebijakan ke kebijakan sementara dan menetapkan kebijakan sementara ke resource yang sama. Kemudian, Anda dapat membuat perubahan pada aslinya, lalu menetapkan aslinya kembali ke resource. Untuk mengetahui langkah-langkah melakukannya, lihat Meng-clone aturan dari satu kebijakan ke kebijakan lain.
Dalam contoh berikut, policy-1 dilampirkan ke folder dev-projects,
dan Anda ingin membuat beberapa perubahan yang diterapkan secara atomik. Buat kebijakan
baru bernama scratch-policy, lalu salin semua aturan yang ada dari
policy-1 ke scratch-policy untuk diedit. Setelah selesai mengedit,
salin semua aturan dari scratch-policy kembali ke policy-1.
Memindahkan kebijakan
Kebijakan firewall hierarkis, seperti project, memiliki induk berupa folder atau resource organisasi. Seiring berkembangnya skema folder, Anda mungkin perlu memindahkan kebijakan firewall hierarkis ke folder baru, mungkin sebelum penghapusan folder. Kebijakan yang dimiliki oleh folder akan dihapus jika folder tersebut dihapus.
Diagram berikut menggambarkan pemindahan kebijakan antar-asosiasi resource atau evaluasi aturan dalam kebijakan.
Mengaitkan kebijakan firewall hierarkis dengan folder
Kebijakan firewall hierarkis tidak diterapkan kecuali jika dikaitkan dengan organisasi atau folder. Setelah dikaitkan, kebijakan ini diterapkan ke semua VM di semua jaringan dalam organisasi atau folder tersebut.
Perubahan pada hierarki resource
Perubahan pada hierarki resource mungkin memerlukan waktu beberapa saat untuk diterapkan di seluruh sistem. Sebaiknya hindari pembaruan serentak pada lampiran kebijakan firewall hierarkis dan hierarki resource karena jaringan mungkin tidak langsung mewarisi kebijakan firewall hierarkis yang ditentukan di lokasi baru dalam hierarki.
Misalnya, jika Anda memindahkan folder dept-A dari folder dev-projects
ke folder eng-projects dan mengubah asosiasi policy-1
ke eng-projects, bukan dev-projects, pastikan untuk tidak membatalkan asosiasi
policy-1 dari dev-projects pada saat yang sama. Jika folder dev-projects kehilangan asosiasi kebijakan firewall hierarkisnya sebelum semua jaringan VPC di dalamnya memperbarui silsilahnya, untuk jangka waktu singkat, jaringan VPC tersebut tidak dilindungi oleh policy-1.
Menggunakan kebijakan firewall hierarkis dengan VPC Bersama
Dalam skenario VPC Bersama, antarmuka VM yang terhubung ke jaringan project host diatur oleh aturan kebijakan firewall hierarkis project host, bukan project layanan.
Meskipun project layanan berada di folder yang berbeda dengan project host, antarmuka VM di jaringan bersama tetap mewarisi aturan folder project host.
Menggunakan kebijakan firewall hierarkis dengan Peering Jaringan VPC
Dalam skenario Peering Jaringan VPC, antarmuka VM yang terkait dengan setiap jaringan VPC mewarisi kebijakan dalam hierarki di jaringan VPC masing-masing. Berikut adalah contoh Peering Jaringan VPC dengan jaringan VPC yang di-peering berasal dari organisasi yang berbeda.
Langkah berikutnya
- Untuk membuat dan mengubah kebijakan dan aturan firewall hierarkis, lihat Menggunakan kebijakan firewall hierarkis.
- Untuk melihat contoh penerapan kebijakan firewall hierarkis, lihat Contoh kebijakan firewall hierarkis.