Tag aman untuk firewall

Aturan Cloud Next Generation Firewall menggunakan tag untuk menentukan sumber dan target. Pendekatan fleksibel ini menghindari ketergantungan pada alamat IP.

Jenis tag

Cloud NGFW mendukung dua jenis tag:

  • Tag yang diatur oleh Identity and Access Management (IAM), yang juga disebut sebagai tag aman, dibuat dan dikelola di Resource Manager sebagai kunci tag dan nilai tag. Nilai tag aman dapat digunakan untuk menentukan sumber untuk aturan masuk dan target untuk aturan masuk atau keluar dalam kebijakan firewall hierarkis, kebijakan firewall jaringan global, atau kebijakan firewall jaringan regional.

  • Tag jaringan adalah string karakter tanpa kontrol akses yang dapat ditambahkan ke instance virtual machine (VM) atau template instance. Tag jaringan dapat digunakan untuk menentukan sumber untuk aturan firewall Virtual Private Cloud (VPC) traffic masuk dan target untuk aturan firewall VPC traffic masuk atau keluar. Tag jaringan tidak dapat digunakan oleh aturan dalam kebijakan firewall hierarkis, kebijakan firewall jaringan global, atau kebijakan firewall jaringan regional. Untuk mengetahui informasi selengkapnya tentang tag jaringan, lihat Menambahkan tag jaringan.

Untuk mengetahui informasi selengkapnya tentang perbedaan antara tag aman dan tag jaringan, lihat Perbandingan tag aman dan tag jaringan.

Bagian berikut di halaman ini menjelaskan tag aman dalam kebijakan firewall.

Spesifikasi

Tag aman memiliki spesifikasi berikut:

  • Resource induk: resource induk adalah resource tempat kunci tag aman ditentukan. Kunci tag dapat dibuat di project atau organisasi. Untuk mengetahui informasi selengkapnya tentang cara membuat kunci tag, lihat Membuat dan mengelola tag aman.

  • Tujuan dan data tujuan: untuk menggunakan kunci tag yang aman dengan Cloud NGFW, Anda harus menetapkan atribut purpose kunci tag ke GCE_FIREWALL, dan Anda harus menentukan atribut purpose-data.

    • Untuk kunci tag dengan project induk, Anda harus menetapkan atribut purpose-data kunci tag ke network, diikuti dengan satu spesifikasi jaringan VPC. Jaringan VPC yang ditentukan harus berada di project induk.

    • Jika kunci tag memiliki organisasi induk, pilih salah satu opsi berikut untuk menetapkan atribut purpose-data dari kunci tag:

      • Anda dapat menetapkan atribut purpose-data dari kunci tag ke network, diikuti dengan satu spesifikasi jaringan VPC. Jaringan VPC yang ditentukan harus berada di organisasi induk.

      • Anda dapat menyetel atribut purpose-data kunci tag ke organization=auto.

    Baik atribut purpose maupun purpose-data tidak dapat diubah setelah Anda membuat kunci tag. Untuk mengetahui informasi selengkapnya tentang cara memformat spesifikasi jaringan dalam atribut purpose-data dari kunci tag, lihat Tujuan dalam dokumentasi Resource Manager API.

  • Struktur dan format: kunci tag aman dapat mereferensikan hingga 1.000 nilai tag unik. Akun utama IAM dengan peran Administrator Tag (roles/resourcemanager.tagAdmin) membuat kunci tag dan nilai tag untuk setiap kunci tag. Untuk mengetahui informasi selengkapnya tentang batas tag aman, lihat Batas.

  • Memindahkan project antar-organisasi: Anda dapat memindahkan project dari satu organisasi ke organisasi lain. Sebelum memindahkan project, lepaskan kunci tag apa pun yang memiliki atribut purpose-data yang menentukan organisasi yang digunakan dalam project Anda dari organisasi asli. Jika Anda tidak melepaskan tag aman terlebih dahulu, Anda akan menerima pesan error selama pemindahan.

  • Kontrol akses: Kebijakan IAM menentukan akun utama IAM mana yang dapat mengelola dan menggunakan tag aman:

    • Akun utama IAM dengan peran Administrator Tag (roles/resourcemanager.tagAdmin) dapat membuat kunci tag dan mengelola nilai tagnya:

      • Akun utama IAM yang diberi peran Administrator Tag (roles/resourcemanager.tagAdmin) dalam kebijakan IAM organisasi dapat membuat kunci tag dengan organisasi sebagai induknya.

      • Akun utama IAM yang diberi peran Administrator Tag (roles/resourcemanager.tagAdmin) dalam kebijakan IAM organisasi, folder, atau project, dapat membuat kunci tag dengan project sebagai induknya.

    • Akun utama IAM dengan peran Pengguna Tag (roles/resourcemanager.tagUser) dapat mengikat nilai tag ke instance VM atau menggunakan nilai tag dalam aturan firewall dari kebijakan firewall hierarkis, kebijakan firewall jaringan global, atau kebijakan firewall jaringan regional.

      • Principal IAM yang diberi peran Pengguna Tag (roles/resourcemanager.tagUser) dalam kebijakan IAM organisasi dapat menggunakan nilai tag dari kunci tag yang memiliki organisasi sebagai induknya.

      • Akun utama IAM yang diberi peran Pengguna Tag (roles/resourcemanager.tagUser) dalam kebijakan IAM organisasi, folder, atau project, dapat menggunakan nilai tag dari kunci tag dengan project sebagai induknya.

    • Akun utama IAM yang merupakan developer, administrator database, atau tim operasional dapat diberi peran Pengguna Tag (roles/resourcemanager.tagUser), dan peran lain yang sesuai, tanpa perlu diberi peran Administrator Keamanan Compute (roles/compute.securityAdmin). Dengan cara ini, tim operasional dapat mengontrol aturan firewall mana yang berlaku untuk antarmuka jaringan instance VM yang mereka kelola tanpa dapat mengubah aturan firewall tersebut.

    Untuk mengetahui informasi selengkapnya tentang izin yang diperlukan, lihat Peran IAM.

  • Dukungan aturan firewall: aturan dalam kebijakan firewall hierarkis, kebijakan firewall jaringan global, dan kebijakan firewall jaringan regional mendukung kunci tag sebagai tag aman sumber atau tag aman target. Aturan firewall VPC tidak mendukung tag aman. Untuk mengetahui informasi selengkapnya, lihat Perbandingan tag aman dan tag jaringan.

  • Pengikatan VM dan aturan firewall yang berlaku: saat Anda mengikat nilai tag aman ke instance VM, aturan firewall yang berlaku yang menggunakan nilai tag menyertakan antarmuka jaringan VM sebagai sumber atau target:

    • Jika nilai tag aman yang terikat ke instance berasal dari kunci tag yang atribut purpose-data-nya menentukan satu jaringan VPC:

      • Aturan firewall masuk yang menggunakan nilai tag tersebut sebagai tag sumber yang aman memiliki sumber yang mencakup antarmuka jaringan VM yang berada di jaringan VPC yang ditentukan.

      • Aturan firewall traffic masuk dan keluar yang menggunakan nilai tag tersebut sebagai target tag aman memiliki target yang mencakup antarmuka jaringan VM yang berada di jaringan VPC yang ditentukan.

    • Jika nilai tag aman yang terikat ke instance berasal dari kunci tag yang atribut purpose-data-nya menentukan organisasi:

      • Aturan firewall ingress yang menggunakan nilai tag tersebut sebagai tag aman sumber memiliki sumber yang mencakup antarmuka jaringan VM yang berada di jaringan VPC organisasi mana pun.

      • Aturan firewall masuk dan keluar yang menggunakan nilai tag tersebut sebagai target tag aman memiliki target yang mencakup antarmuka jaringan VM yang berada di jaringan VPC organisasi mana pun.

  • Cara aturan firewall yang berlaku mengidentifikasi paket: Cloud NGFW memetakan tag aman sumber dan tag aman target ke antarmuka jaringan, bukan alamat IP:

    • Jika tag aman sumber aturan firewall masuk menyertakan antarmuka jaringan VM sebagai sumber, Google Cloud mencocokkan paket apa pun yang dikirim dari antarmuka jaringan tersebut.

    • Jika tag aman target dari aturan firewall masuk menyertakan antarmuka jaringan VM sebagai target, Google Cloud mencocokkan paket apa pun yang diterima oleh antarmuka jaringan tersebut.

    • Jika tag aman target dari aturan firewall keluar menyertakan antarmuka jaringan VM sebagai target, Google Cloud mencocokkan paket apa pun yang dikirim dari antarmuka jaringan tersebut.

  • Jumlah nilai tag per instance: Anda dapat mengikat setiap nilai tag ke jumlah instance VM yang tidak terbatas. Jumlah nilai tag yang didukung setiap instance bervariasi. Google Cloud menerapkan batas 10 nilai tag yang diterapkan ke setiap antarmuka jaringan VM. Google Cloud mencegah Anda mengikat nilai tag tambahan ke instance VM jika lebih dari 10 nilai tag diterapkan ke satu atau beberapa antarmuka jaringannya. Untuk mengetahui informasi selengkapnya, lihat Mengikat tag aman.

  • Dukungan Peering Jaringan VPC: tag aman sumber dalam aturan masuk kebijakan firewall dapat mengidentifikasi antarmuka jaringan VM sumber yang berada di jaringan VPC yang di-peering. Hal ini berguna bagi konsumen layanan yang dipublikasikan yang menggunakan akses layanan pribadi. Dengan menggunakan aturan firewall ingress yang memiliki tag aman sumber, konsumen dapat mengontrol VM produsen layanan mana yang dapat mengirim paket ke VM konsumennya.

Mengikat tag aman

Untuk menggunakan tag aman dengan Cloud NGFW, Anda harus mengikat nilai tag ke instance VM. Setiap kunci tag aman mendukung beberapa nilai tag; namun, untuk setiap kunci tag, Anda hanya dapat mengikat salah satu nilai tag-nya ke instance. Untuk mengetahui informasi selengkapnya tentang izin IAM dan cara mengikat tag aman, lihat Mengikat tag aman.

Contoh di bagian ini menunjukkan cara nilai tag terikat diterapkan ke antarmuka jaringan VM. Pertimbangkan contoh instance VM instance1 dengan dua antarmuka jaringan:

  • nic0 terhubung ke jaringan VPC network1
  • nic1 terhubung ke jaringan VPC network2

Kedua jaringan VPC berada dalam organisasi yang sama.

Instance VM dengan dua antarmuka jaringan, yang masing-masing terhubung ke jaringan VPC yang berbeda.
Gambar 1. Instance VM dengan dua antarmuka jaringan, yang masing-masing terhubung ke jaringan VPC yang berbeda (klik untuk memperbesar).

Atribut purpose-data dari kunci tag yang sesuai menentukan hubungan antara nilai tag terikat dan antarmuka jaringan VM.

Kunci tag yang atribut purpose-data-nya menentukan jaringan VPC

Misalnya, Anda membuat dua kunci tag dengan atribut purpose-data dan nilai tag berikut:

  • tag_key1 memiliki atribut purpose-data yang menentukan jaringan VPC network1 dan dua nilai tag tag_value1 dan tag_value2.

  • tag_key2 memiliki atribut purpose-data yang menentukan jaringan VPC network2 dan satu nilai tag tag_value3.

Atribut `purpose-data` dari setiap kunci tag menentukan satu jaringan VPC.
Gambar 2. Atribut purpose-data dari setiap kunci tag menentukan satu jaringan VPC (klik untuk memperbesar).

Saat Anda mengikat nilai tag aman tag_value1 dan tag_value3 ke instance1:

  • tag_value1 berlaku untuk antarmuka jaringan nic0 karena tag_key1 induknya memiliki atribut purpose-data yang menentukan jaringan VPC network1, dan antarmuka jaringan nic0 berada di network1.

  • tag_value3 berlaku untuk antarmuka jaringan nic1 karena tag_key2 induknya memiliki atribut purpose-data yang menentukan jaringan VPC network2, dan antarmuka jaringan nic1 berada di network2.

Diagram berikut menunjukkan nilai tag pengikatan dari kunci tag yang atribut purpose-data-nya menentukan satu jaringan VPC.

Nilai tag terikat dari kunci tag yang atribut `purpose-data` menentukan satu jaringan VPC.
Gambar 3. Nilai tag terikat dari kunci tag yang atribut purpose-data-nya menentukan satu jaringan VPC (klik untuk memperbesar).

Kunci tag yang atribut purpose-data-nya menentukan organisasi

Misalnya, Anda membuat dua kunci tag dengan atribut purpose-data dan nilai tag berikut:

  • tag_key3 memiliki atribut purpose-data yang menentukan organisasi induk dan memiliki dua nilai tag tag_value4 dan tag_value5.

  • tag_key4 memiliki atribut purpose-data yang menentukan organisasi induk dan memiliki satu nilai tag tag_value6.

Atribut `purpose-data` dari setiap kunci tag menentukan organisasi induk.
Gambar 4. Atribut purpose-data dari setiap kunci tag menentukan organisasi induk (klik untuk memperbesar).

Saat Anda mengikat nilai tag tag_value4 ke instance1:

  • tag_value4 berlaku untuk antarmuka jaringan nic0 karena induknya tag_key3 memiliki atribut purpose-data yang menentukan organisasi induk yang berisi jaringan VPC network1, dan antarmuka jaringan nic0 berada di network1.

  • tag_value4 juga berlaku untuk antarmuka jaringan nic1 karena tag_key3 induknya mencakup atribut purpose-data yang menentukan organisasi induk yang berisi jaringan VPC network2. Antarmuka jaringan nic1 berada di network2.

Diagram berikut menunjukkan pengikatan nilai tag dari kunci tag yang atribut purpose-data-nya menentukan organisasi induk.

Nilai tag terikat dari kunci tag yang atribut `purpose-data`-nya menentukan organisasi induk.
Gambar 5. Nilai tag terikat dari kunci tag yang atribut purpose-data-nya menentukan organisasi induk (klik untuk memperbesar).

Mengonfigurasi tag aman

Alur kerja berikut memberikan urutan langkah-langkah tingkat tinggi yang diperlukan untuk mengonfigurasi tag aman dalam kebijakan firewall.

  1. Anda dapat membuat tag aman di level organisasi atau project. Untuk membuat tag di tingkat organisasi, Anda harus diberi izin IAM terlebih dahulu oleh administrator organisasi. Untuk mengetahui informasi selengkapnya, lihat Memberikan izin ke tag aman.

  2. Untuk membuat tag aman, Anda harus membuat kunci tag terlebih dahulu. Kunci tag ini mendeskripsikan tag yang Anda buat. Untuk mengetahui informasi selengkapnya, lihat Membuat kunci dan nilai tag yang aman.

  3. Setelah membuat kunci tag aman, Anda harus menambahkan nilai tag aman yang relevan ke kunci tersebut. Untuk mengetahui informasi selengkapnya, lihat Membuat kunci dan nilai tag yang aman. Untuk memberi pengguna akses tertentu guna mengelola kunci tag aman dan melampirkan nilai tag ke resource, gunakan konsol Google Cloud . Untuk mengetahui informasi selengkapnya, lihat Mengelola akses ke tag.

  4. Setelah membuat tag aman, Anda dapat menggunakannya dalam kebijakan firewall jaringan atau kebijakan firewall hierarkis. Untuk mengetahui informasi selengkapnya, lihat Membuat kebijakan firewall hierarkis dan Membuat kebijakan firewall jaringan.

  5. Untuk mengizinkan traffic yang dipilih antara VM dengan kunci tag sumber dan kunci tag target, buat aturan kebijakan firewall (jaringan atau hierarkis) dengan nilai tag sumber dan nilai tag target tertentu. Untuk mengetahui informasi selengkapnya, lihat Membuat aturan kebijakan firewall dengan tag aman.

  6. Setelah kunci tag dibuat dan akses yang sesuai diberikan ke kunci tag dan resource, kunci tag dapat diikat ke instance VM. Untuk mengetahui informasi selengkapnya, lihat Mengikat tag aman.

Perbandingan tag aman dan tag jaringan

Tabel berikut merangkum perbedaan antara tag aman dan tag jaringan. Tanda centang menunjukkan bahwa atribut didukung, dan simbol menunjukkan bahwa atribut tidak didukung.

Atribut Tag aman dengan atribut purpose-data yang menentukan jaringan VPC Amankan tag dengan atribut purpose-data yang menentukan organisasi Tag jaringan
Resource induk Project atau organisasi Organisasi Project
Struktur dan format Kunci tag dengan hingga 1.000 nilai Kunci tag dengan hingga 1.000 nilai String sederhana
Kontrol akses Menggunakan IAM Menggunakan IAM Tidak ada kontrol akses
Antarmuka jaringan yang berlaku
  • Aturan firewall masuk dengan nilai tag aman sumber: sumber mencakup antarmuka jaringan VM di jaringan VPC yang ditentukan oleh atribut purpose-data dari kunci tag.
  • Aturan firewall masuk atau keluar dengan nilai tag aman target: target mencakup antarmuka jaringan VM di jaringan VPC yang ditentukan oleh atribut purpose-data dari kunci tag.
  • Aturan firewall masuk dengan nilai tag aman sumber: sumber mencakup antarmuka jaringan VM di jaringan VPC mana pun dari organisasi induk.
  • Aturan firewall masuk atau keluar dengan nilai tag aman target: target mencakup antarmuka jaringan VM di jaringan VPC mana pun dari organisasi induk.
  • Aturan firewall masuk dengan tag jaringan sumber: sumber mencakup antarmuka jaringan VM di jaringan VPC mana pun yang digunakan oleh VM jika jaringan tersebut memiliki aturan firewall VPC yang menggunakan tag jaringan sumber.
  • Aturan firewall masuk atau keluar dengan tag jaringan target: target mencakup antarmuka jaringan VM di jaringan VPC mana pun yang digunakan oleh VM jika jaringan tersebut memiliki aturan firewall VPC yang menggunakan tag jaringan target.
Didukung oleh aturan dalam kebijakan firewall hierarkis
Didukung oleh aturan dalam kebijakan firewall jaringan global dan regional
Didukung oleh aturan firewall VPC
Aturan firewall masuk dapat mencakup sumber di jaringan VPC yang terhubung menggunakan Peering Jaringan VPC 1 1
Aturan firewall ingress dapat mencakup sumber di spoke VPC lain di hub Network Connectivity Center
1Nilai tag keamanan sumber dapat mengidentifikasi antarmuka jaringan di jaringan VPC lain jika kedua hal berikut benar:
  • Atribut kunci tag purpose-data menentukan jaringan VPC lain (atau organisasi induk yang berisi jaringan VPC lain)
  • Jaringan VPC lain dan jaringan VPC yang menggunakan kebijakan firewall terhubung menggunakan Peering Jaringan VPC

Peran IAM

Untuk mengetahui informasi selengkapnya tentang peran dan izin IAM yang Anda perlukan untuk membuat dan mengelola tag aman, lihat Mengelola tag pada resource.

Langkah berikutnya