Istilah utama

Halaman ini menyediakan terminologi utama yang berlaku untuk Cloud Next Generation Firewall. Tinjau istilah-istilah berikut agar lebih memahami cara kerja Cloud NGFW dan konsep yang mendasarinya.

Grup alamat

Grup alamat adalah kumpulan logis dari rentang alamat IPv4 atau rentang alamat IPv6 dalam format CIDR. Anda dapat menggunakan grup alamat untuk menentukan sumber atau tujuan yang konsisten yang dirujuk oleh banyak aturan firewall. Untuk mengetahui informasi selengkapnya tentang grup alamat, lihat Grup alamat untuk kebijakan firewall.

Format CIDR

Format atau notasi Classless Inter-Domain Routing (CIDR) adalah metode untuk merepresentasikan alamat IP dan subnet-nya. Cara ini merupakan alternatif untuk menulis seluruh subnet mask. Terdiri dari alamat IP, diikuti dengan garis miring (/), dan angka. Angka menunjukkan jumlah bit dalam alamat IP yang menentukan bagian jaringan.

Cloud NGFW

Cloud Next Generation Firewall adalah layanan firewall yang terdistribusi sepenuhnya dengan kemampuan perlindungan tingkat lanjut, segmentasi mikro, dan cakupan yang luas untuk membantu melindungi workload Anda dari serangan internal dan eksternal. Google Cloud Cloud NGFW tersedia dalam tiga paket: Cloud Next Generation Firewall Essentials, Cloud Next Generation Firewall Standard, dan Cloud Next Generation Firewall Enterprise. Untuk mengetahui informasi selengkapnya, lihat Ringkasan Cloud NGFW.

Cloud NGFW Essentials

Cloud Next Generation Firewall Essentials adalah layanan firewall dasar yang ditawarkan oleh Google Cloud. Layanan ini mencakup fitur dan kemampuan seperti kebijakan firewall jaringan global dan kebijakan firewall jaringan regional, Tag yang diatur oleh Identity and Access Management (IAM), Grup alamat, dan aturan firewall Virtual Private Cloud (VPC). Untuk mengetahui informasi selengkapnya, lihat Ringkasan Cloud NGFW Essentials.

Cloud NGFW Enterprise

Cloud Next Generation Firewall Enterprise menyediakan kemampuan keamanan Layer 7 tingkat lanjut yang melindungi workload Anda dari ancaman dan serangan berbahaya. Google Cloud Layanan ini mencakup layanan deteksi dan pencegahan penyusupan dengan pencegatan dan dekripsi Transport Layer Security (TLS), yang menyediakan deteksi dan pencegahan ancaman dari malware, spyware, serta serangan perintah dan kontrol di jaringan Anda.

Cloud NGFW Standard

Cloud NGFW Standard memperluas fitur Cloud NGFW Essentials untuk memberikan kemampuan yang ditingkatkan guna membantu melindungi infrastruktur cloud Anda dari serangan berbahaya. Fitur ini mencakup fitur dan kemampuan seperti kecerdasan ancaman untuk aturan kebijakan firewall, objek nama domain yang sepenuhnya memenuhi syarat (FQDN), dan objek geolokasi dalam aturan kebijakan firewall.

Endpoint firewall

Endpoint firewall adalah resource Cloud NGFW yang memungkinkan kemampuan perlindungan tingkat lanjut Layer 7, seperti layanan deteksi dan pencegahan penyusupan, di jaringan Anda. Untuk mengetahui informasi selengkapnya, lihat Ringkasan endpoint firewall.

Aturan firewall

Aturan firewall adalah elemen dasar keamanan jaringan. Aturan firewall mengontrol traffic yang masuk atau keluar ke instance virtual machine (VM). Secara default, traffic masuk diblokir. Untuk mengetahui informasi selengkapnya, lihat Kebijakan firewall.

Firewall Rules Logging

Firewall Rules Logging memungkinkan Anda mengaudit, memverifikasi, dan menganalisis efek aturan firewall Anda. Misalnya, Anda dapat menentukan apakah aturan firewall yang dirancang untuk menolak traffic berfungsi sebagaimana mestinya. Logging Aturan Firewall juga berguna jika Anda perlu menentukan jumlah koneksi yang terpengaruh oleh aturan firewall tertentu. Untuk mengetahui informasi selengkapnya, lihat Logging Aturan Firewall.

Kebijakan firewall

Kebijakan firewall memungkinkan Anda mengelompokkan beberapa aturan firewall sehingga Anda dapat memperbaruinya sekaligus, yang dikontrol secara efektif oleh peran IAM. Kebijakan firewall memiliki tiga jenis, yaitu Kebijakan firewall hierarkis, kebijakan firewall jaringan global, dan kebijakan firewall jaringan regional. Untuk mengetahui informasi selengkapnya, lihat Kebijakan firewall.

Aturan kebijakan firewall

Saat membuat aturan kebijakan firewall, Anda menentukan serangkaian komponen yang menentukan tindakan yang dilakukan aturan. Komponen ini menentukan arah traffic, sumber, tujuan, dan karakteristik Lapisan 4 seperti protokol dan port tujuan (jika protokol menggunakan port). Komponen ini disebut aturan kebijakan firewall. Untuk mengetahui informasi selengkapnya, lihat Aturan kebijakan firewall.

Objek FQDN

Nama domain yang sepenuhnya memenuhi syarat (FQDN) adalah nama lengkap dari resource tertentu di internet. Misalnya, cloud.google.com. Objek FQDN dalam aturan kebijakan firewall memfilter traffic masuk atau keluar dari atau ke nama domain tertentu. Berdasarkan arah traffic, alamat IP yang terkait dengan nama domain dicocokkan dengan sumber atau tujuan traffic. Untuk mengetahui informasi selengkapnya, lihat Objek FQDN.

Objek geolokasi

Gunakan objek geolokasi dalam aturan kebijakan firewall untuk memfilter traffic IPv4 eksternal dan IPv6 eksternal berdasarkan lokasi atau wilayah geografis tertentu. Anda dapat menggunakan objek geolokasi bersama dengan filter sumber atau tujuan lainnya. Untuk informasi selengkapnya, lihat Objek geolokasi.

Kebijakan firewall jaringan global

Kebijakan firewall jaringan global memungkinkan Anda mengelompokkan aturan ke dalam objek kebijakan yang berlaku untuk semua region (global). Setelah Anda mengaitkan kebijakan firewall jaringan global dengan jaringan VPC, aturan dalam kebijakan tersebut dapat berlaku untuk resource di jaringan VPC. Untuk spesifikasi dan detail kebijakan firewall jaringan global, lihat Kebijakan firewall jaringan global.

Kebijakan firewall hierarkis

Kebijakan firewall hierarkis memungkinkan Anda mengelompokkan aturan ke dalam objek kebijakan yang dapat diterapkan ke banyak jaringan VPC dalam satu atau beberapa project. Anda dapat mengaitkan Kebijakan firewall hierarkis dengan seluruh organisasi atau folder individual. Untuk spesifikasi dan detail Kebijakan firewall hierarkis, lihat Kebijakan firewall hierarkis.

Identity and Access Management

IAMGoogle Cloud's memungkinkan Anda memberikan akses terperinci ke resource Google Cloud tertentu dan membantu mencegah akses ke resource lainnya. IAM memungkinkan Anda menerapkan prinsip keamanan dengan hak istimewa terendah, yang menyatakan bahwa tidak ada yang boleh memiliki izin lebih dari yang sebenarnya dibutuhkan. Untuk mengetahui informasi selengkapnya, lihat Ringkasan IAM.

Aturan tersirat

Setiap jaringan VPC memiliki dua aturan firewall IPv4 tersirat. Jika IPv6 diaktifkan di jaringan VPC, jaringan tersebut juga memiliki dua aturan firewall IPv6 tersirat. Aturan ini tidak ditampilkan di konsolGoogle Cloud .

Aturan firewall IPv4 tersirat ada di semua jaringan VPC, terlepas dari cara jaringan dibuat atau apakah jaringan tersebut merupakan jaringan VPC mode otomatis atau mode kustom. Jaringan default memiliki aturan implisit yang sama. Untuk mengetahui informasi selengkapnya, lihat Aturan tersirat.

Layanan deteksi dan pencegahan penyusupan

Layanan deteksi dan pencegahan penyusupan Cloud NGFW terus memantau traffic beban kerja Anda untuk mendeteksi aktivitas berbahaya dan mengambil tindakan pencegahan untuk mencegahnya. Google Cloud Aktivitas berbahaya dapat mencakup ancaman seperti penyusupan, malware, spyware, serta serangan perintah dan kontrol di jaringan Anda. Untuk mengetahui informasi selengkapnya, lihat Ringkasan layanan deteksi dan pencegahan intrusi.

Kebijakan firewall jaringan

Kebijakan firewall jaringan, yang juga dikenal sebagai Kebijakan firewall, memungkinkan Anda mengelompokkan beberapa aturan firewall sehingga Anda dapat memperbaruinya sekaligus, yang dikontrol secara efektif oleh peran IAM. Kebijakan ini berisi aturan yang dapat secara eksplisit menolak atau mengizinkan koneksi, seperti aturan firewall VPC. Hal ini mencakup kebijakan firewall jaringan global dan regional. Untuk mengetahui informasi selengkapnya, lihat Kebijakan firewall.

Tag jaringan

Tag jaringan adalah string karakter yang ditambahkan ke kolom tag dalam resource seperti instance VM Compute Engine atau template instance. Tag bukanlah resource terpisah, jadi Anda tidak dapat membuatnya secara terpisah. Semua resource dengan string tersebut dianggap memiliki tag tersebut. Tag memungkinkan Anda membuat aturan firewall VPC dan rute yang berlaku untuk instance VM tertentu.

Duplikasi Paket

Duplikasi Paket, layanan di luar band, meng-clone traffic jaringan berdasarkan kriteria pemfilteran yang ditentukan dalam aturan duplikasi kebijakan firewall. Traffic yang diduplikasi ini kemudian dikirim ke deployment perangkat virtual pihak ketiga Anda untuk pemeriksaan paket mendalam. Anda menggunakan Duplikasi Paket untuk menganalisis traffic jaringan beban kerja dalam skala besar. Untuk mengetahui informasi selengkapnya, lihat Ringkasan integrasi di luar band.

Pewarisan kebijakan

Secara default, kebijakan organisasi diwarisi oleh turunan resource tempat Anda menerapkan kebijakan tersebut. Misalnya, jika Anda menerapkan kebijakan pada folder, Google Cloud akan menerapkan kebijakan tersebut pada semua project di folder tersebut. Untuk mempelajari lebih lanjut perilaku ini dan cara mengubahnya, lihat Aturan evaluasi hierarki.

Prioritas

Prioritas aturan dalam kebijakan firewall adalah bilangan bulat dari 0 hingga 2.147.483.647, inklusif. Bilangan bulat yang lebih rendah menunjukkan prioritas yang lebih tinggi. Untuk mengetahui informasi selengkapnya, lihat Prioritas.

Kebijakan firewall jaringan regional

Kebijakan firewall jaringan regional memungkinkan Anda mengelompokkan aturan ke dalam objek kebijakan yang berlaku untuk region tertentu. Setelah Anda mengaitkan kebijakan firewall jaringan regional dengan jaringan VPC, aturan dalam kebijakan dapat berlaku untuk resource dalam region jaringan VPC tersebut. Untuk spesifikasi dan detail kebijakan firewall regional, lihat Kebijakan firewall jaringan regional.

Profil aman

Profil aman atau keamanan membantu Anda menentukan kebijakan inspeksi Layer 7 untuk resourceGoogle Cloud Anda. Struktur kebijakan ini bersifat umum dan digunakan oleh endpoint firewall untuk memindai traffic yang dicegat guna menyediakan layanan lapisan aplikasi, seperti deteksi dan pencegahan penyusupan. Untuk mengetahui informasi selengkapnya, lihat Ringkasan profil keamanan.

Grup profil keamanan

Grup profil keamanan adalah penampung untuk profil keamanan. Aturan kebijakan firewall mereferensikan grup profil keamanan untuk mengaktifkan inspeksi Layer 7, seperti layanan deteksi dan pencegahan penyusupan, di jaringan Anda. Untuk mengetahui informasi selengkapnya, lihat Ringkasan grup profil keamanan.

Indikasi Nama Server

Server Name Indication (SNI) adalah ekstensi pada protokol jaringan komputer TLS. SNI memungkinkan beberapa situs HTTPS berbagi IP dan sertifikat TLS, yang lebih efisien dan hemat biaya karena Anda tidak memerlukan sertifikat individual untuk setiap situs di server yang sama.

Tag

Google Cloud Hierarki resource adalah cara untuk mengatur resource Anda ke dalam struktur hierarki. Hierarki ini membantu Anda mengelola resource dalam skala besar, tetapi hanya memodelkan beberapa dimensi bisnis, termasuk struktur organisasi, wilayah, jenis beban kerja, dan pusat biaya. Hierarki tidak memiliki fleksibilitas untuk menggabungkan beberapa dimensi bisnis.

Tag menyediakan cara untuk membuat anotasi untuk resource, dan dalam beberapa kasus mengizinkan atau menolak kebijakan secara bersyarat berdasarkan apakah resource memiliki tag tertentu. Anda dapat menggunakan tag dan penerapan kebijakan bersyarat untuk mendapatkan kontrol yang terperinci di seluruh hierarki resource.

Tag berbeda dengan tag jaringan. Untuk mengetahui informasi selengkapnya tentang perbedaan antara Tag dan tag jaringan, lihat Perbandingan Tag dan tag jaringan.

Kecerdasan ancaman

Aturan kebijakan firewall memungkinkan Anda mengamankan jaringan dengan mengizinkan atau memblokir traffic berdasarkan data Threat Intelligence. Data Threat Intelligence mencakup daftar alamat IP berdasarkan node keluar Tor, alamat IP berbahaya yang diketahui, mesin telusur, dan rentang alamat IP cloud publik. Untuk mengetahui informasi, lihat Threat Intelligence untuk aturan kebijakan firewall.

Tanda tangan ancaman

Deteksi ancaman berbasis tanda tangan adalah salah satu mekanisme yang paling umum digunakan untuk mengidentifikasi perilaku berbahaya, dan oleh karena itu banyak digunakan untuk mencegah serangan jaringan. Kemampuan deteksi ancaman Cloud NGFW didukung oleh teknologi pencegahan ancaman Palo Alto Networks. Untuk mengetahui informasi selengkapnya, lihat Ringkasan tanda tangan ancaman.

Pemeriksaan Transport Layer Security

Cloud NGFW menawarkan layanan pencegatan dan dekripsi TLS yang dapat memeriksa traffic terenkripsi dan tidak terenkripsi untuk mendeteksi serangan dan gangguan jaringan. Koneksi TLS diperiksa pada koneksi masuk dan keluar, termasuk traffic ke dan dari internet serta traffic dalam Google Cloud.

Cloud NGFW mendekripsi traffic TLS untuk memungkinkan endpoint firewall melakukan inspeksi Lapisan 7, seperti layanan deteksi dan pencegahan penyusupan, di jaringan Anda. Setelah pemeriksaan, Cloud NGFW mengenkripsi ulang traffic sebelum mengirimkannya ke tujuannya. Untuk mengetahui informasi selengkapnya, lihat Ringkasan pemeriksaan TLS.

Tag untuk firewall

Tag juga disebut sebagai tag aman. Tag memungkinkan Anda menentukan sumber dan target dalam kebijakan firewall jaringan global dan kebijakan firewall jaringan regional. Tag berbeda dengan tag jaringan. Tag jaringan adalah string sederhana, bukan kunci dan nilai, serta tidak menawarkan jenis kontrol akses apa pun. Untuk mengetahui informasi selengkapnya tentang perbedaan antara Tag dan tag jaringan serta produk yang mendukung masing-masing tag, lihat Perbandingan Tag dan tag jaringan.

Aturan firewall VPC

Dengan aturan firewall VPC, Anda dapat mengizinkan atau menolak koneksi ke atau dari instance VM di jaringan VPC Anda. Aturan firewall VPC yang diaktifkan selalu diterapkan, yang membantu melindungi instance Anda, terlepas dari konfigurasi dan sistem operasinya, meskipun instance belum diaktifkan. Aturan ini berlaku untuk project dan jaringan tertentu. Untuk mengetahui informasi selengkapnya, lihat Aturan firewall VPC.

Langkah berikutnya