Mengamankan jaringan Anda

Dokumen di Framework Arsitektur Google Cloud ini memberikan praktik terbaik untuk mengamankan jaringan Anda.

Memperluas jaringan Anda yang sudah ada agar mencakup lingkungan cloud yang memiliki banyak implikasi untuk keamanan. Pendekatan lokal Anda terhadap pertahanan berlapis kemungkinan dapat melibatkan perimeter yang berbeda antara internet dan jaringan internal milik Anda. Anda mungkin melindungi perimeter dengan menggunakan mekanisme seperti firewall fisik, router, dan sistem deteksi intrusi. Karena batasnya ditentukan dengan jelas, Anda dapat memantau intrusi dan meresponsnya dengan tepat.

Anda akan dinyatakan melampaui perimeter lokal saat Anda berpindah ke cloud (baik sepenuhnya atau pun dengan pendekatan hybrid). Dokumen ini menjelaskan beberapa cara agar Anda dapat terus mengamankan data serta workload milik organisasi Anda di Google Cloud. Seperti yang telah disebutkan dalam Mengelola risiko dengan kontrol, cara menyiapkan dan mengamankan jaringan Google Cloud bergantung pada persyaratan bisnis dan selera risiko Anda.

Bagian ini mengasumsikan bahwa Anda telah membaca bagian Jaringan dalam kategori Desain sistem, dan telah membuat diagram arsitektur dasar komponen jaringan Google Cloud Anda. Lihat bagian Hub-and-spoke untuk melihat contoh diagram.

Men-deploy jaringan zero-trust

Pindah ke cloud berarti model kepercayaan jaringan Anda harus berubah. Anda tidak dapat menggunakan perlindungan perimeter dengan cara yang sama untuk membuat jaringan dalam yang tepercaya, karena pengguna dan workload Anda tidak lagi berada dalam perimeter lokal. Model keamanan zero-trust berarti bahwa tidak ada orang yang dapat dipercaya secara default, baik mereka berada di dalam maupun di luar jaringan organisasi Anda. Saat memverifikasi permintaan akses, model keamanan zero-trust mengharuskan Anda untuk memeriksa identitas dan konteks pengguna. Tidak seperti VPN, Anda memindahkan kontrol akses dari perimeter jaringan ke pengguna dan perangkat.

Di Google Cloud, Anda dapat menggunakan BeyondCorp Enterprise sebagai solusi zero-trust. BeyondCorp Enterprise memberikan perlindungan data dan perlindungan terhadap ancaman serta kontrol akses tambahan. Untuk informasi selengkapnya mengenai cara menyiapkan BeyondCorp Enterprise, lihat Mulai menggunakan BeyondCorp Enterprise.

Selain BeyondCorp Enterprise, Identity-Aware Proxy (IAP) juga tersedia di Google Cloud. Dengan menggunakan IAP, Anda dapat memperluas keamanan zero-trust ke aplikasi Anda, baik di dalam Google Cloud maupun di infrastruktur lokal milik Anda. IAP menggunakan kebijakan kontrol akses untuk memberikan autentikasi dan otorisasi bagi pengguna yang mengakses aplikasi dan resource Anda.

Koneksi aman ke lingkungan lokal atau multicloud Anda

Banyak organisasi yang memiliki beberapa workload, baik di lingkungan cloud maupun di infrastruktur lokal. Selain itu, untuk ketahanan, beberapa organisasi menggunakan solusi multicloud. Dalam skenario ini, sangatlah penting untuk mengamankan konektivitas di seluruh lingkungan Anda.

Google Cloud mencakup metode akses pribadi untuk VM yang didukung oleh Cloud VPN atau Cloud Interconnect, termasuk yang berikut ini:

• Menggunakan Cross-Cloud Interconnect, sebagai layanan yang terkelola untuk menautkan jaringan VPC Anda ke penyedia cloud yang didukung melalui koneksi langsung berkecepatan tinggi. Dengan menggunakan Cross-Cloud Interconnect, Anda tidak perlu menyediakan router sendiri atau bekerja sama dengan vendor pihak ketiga.
• Gunakan Dedicated Interconnect dan Partner Interconnect untuk menautkan jaringan VPC ke pusat data lokal atau ke penyedia cloud lain melalui koneksi langsung berkecepatan tinggi.
• Menggunakan VPN IPsec untuk menautkan jaringan Virtual Private Cloud (VPC) ke pusat data lokal Anda atau ke penyedia cloud lainnya.
• Menggunakan endpoint Private Service Connect untuk mengakses layanan yang telah dipublikasikan yang disediakan oleh organisasi Anda atau penyedia lainnya.
• Gunakan endpoint Private Service Connect agar VM Anda dapat mengakses Google API menggunakan alamat IP internal. Dengan menggunakan Private Service Connect, VM Anda tidak perlu memiliki alamat IP eksternal untuk mengakses layanan Google.
• Jika Anda menggunakan GKE Enterprise, pertimbangkan gateway keluar Anthos Service Mesh. Jika Anda tidak menggunakan GKE Enterprise, gunakan opsi pihak ketiga.

Untuk mengetahui perbandingan antara produk satu dengan produk lainnya, lihat Memilih produk Network Connectivity.

Menonaktifkan jaringan default

Saat Anda membuat project Google Cloud baru, jaringan VPC Google Cloud default dengan alamat IP mode otomatis dan aturan firewall yang telah diisi sebelumnya akan otomatis disediakan. Untuk deployment produksi, sebaiknya hapus jaringan default dalam project yang sudah ada, dan nonaktifkan pembuatan jaringan default dalam project baru.

Jaringan Virtual Private Cloud memungkinkan Anda untuk menggunakan alamat IP internal. Untuk menghindari pembentrokan alamat IP, sebaiknya rencanakan alokasi jaringan dan alamat IP Anda terlebih dahulu di seluruh project dan deployment yang telah terhubung. Sebuah project mengizinkan beberapa jaringan VPC, tetapi biasanya praktik terbaik yang dapat dilakukan adalah membatasi satu jaringan per project untuk menerapkan kontrol akses secara efektif.

Mengamankan perimeter Anda

Di Google Cloud, Anda dapat menggunakan berbagai metode untuk melakukan segmentasi dan mengamankan perimeter cloud Anda, termasuk firewall dan Kontrol Layanan VPC.

Gunakan VPC Bersama untuk mem-build deployment produksi yang memberi Anda satu jaringan bersama dan yang memisahkan workload ke dalam masing-masing project yang dapat dikelola oleh tim yang berbeda. VPC Bersama menyediakan deployment, pengelolaan, dan kontrol jaringan terpusat terhadap resource keamanan jaringan di beberapa project. VPC Bersama terdiri atas project host dan layanan yang melakukan fungsi berikut:

• Project host berisi jaringan dan resource terkait keamanan jaringan seperti, jaringan VPC, subnet, aturan firewall, dan konektivitas hybrid.
• Project layanan terlampir ke project host. Dengan menggunakan Identity and Access Management (IAM), Anda dapat mengisolasi workload dan pengguna di level project, sekaligus membagikan resource jaringan dari project host yang dikelola secara terpusat.

Tentukan kebijakan dan aturan firewall di tingkat organisasi, folder, dan jaringan VPC. Anda dapat mengonfigurasi aturan firewall untuk mengizinkan atau menolak traffic ke atau dari instance VM. Misalnya, lihat Contoh kebijakan firewall jaringan global dan regional serta Contoh kebijakan firewall hierarkis. Selain menentukan aturan berdasarkan alamat IP, protokol, dan port, Anda dapat mengelola traffic dan menerapkan aturan firewall berdasarkan akun layanan yang digunakan oleh instance VM atau dengan menggunakan tag aman.

Untuk mengontrol perpindahan data di layanan Google dan untuk menyiapkan keamanan perimeter berbasis kontek, pertimbangkan Kontrol Layanan VPC. Kontrol Layanan VPC memberikan lapisan keamanan tambahan untuk layanan Google Cloud yang independen dari aturan serta kebijakan firewall dan IAM. Misalnya, Kontrol Layanan VPC memungkinkan Anda untuk menyiapkan perimeter antara data rahasia dan non-rahasia, sehingga Anda dapat menerapkan kontrol yang membantu mencegah pemindahan data yang tidak sah.

Gunakan kebijakan keamanan Google Cloud Armor untuk mengizinkan, menolak, atau mengalihkan permintaan ke Load Balancer Aplikasi eksternal Anda di edge Google Cloud, sedekat mungkin dengan sumber traffic masuk. Kebijakan tersebut dapat mencegah traffic yang tidak diinginkan untuk menggunakan resource atau memasuki jaringan Anda.

Gunakan Secure Web Proxy untuk menerapkan kebijakan akses terperinci ke traffic web keluar dan memantau akses ke layanan web yang tidak tepercaya.

Memeriksa traffic jaringan Anda

Anda dapat menggunakan Cloud Intrusion Detection System (Cloud IDS) dan Duplikasi Paket untuk membantu memastikan keamanan dan kepatuhan workload yang berjalan di Compute Engine dan Google Kubernetes Engine (GKE).

Gunakan Cloud IDS untuk mendapatkan visibilitas ke traffic yang berpindah ke dan keluar dari jaringan VPC Anda. Cloud IDS membuat jaringan yang di-peering dan dikelola Google yang memiliki VM yang diduplikasi. Teknologi perlindungan ancaman Palo Alto Networks mencerminkan dan memeriksa traffic. Untuk informasi selengkapnya, lihat Ringkasan Cloud IDS.

Duplikasi Paket meng-clone traffic instance VM yang ditentukan di jaringan VPC Anda dan meneruskannya untuk pengumpulan, retensi, dan pemeriksaan. Setelah mengonfigurasi Duplikasi Paket, Anda dapat menggunakan Cloud IDS atau alat pihak ketiga untuk mengumpulkan dan memeriksa traffic jaringan dalam skala besar. Memeriksa traffic jaringan melalui cara ini dapat membantu memberikan deteksi penyusupan dan pemantauan performa aplikasi.

Menggunakan firewall aplikasi web

Untuk aplikasi dan layanan web eksternal, Anda dapat mengaktifkan Google Cloud Armor agar dapat memberikan perlindungan distributed denial of service (DDoS) dan kemampuan firewall aplikasi web (WAF). Google Cloud Armor mendukung workload Google Cloud yang diekspos menggunakan Load Balancing HTTP(S) eksternal, Load Balancing Proxy TCP, atau Load Balancing Proxy SSL.

Google Cloud Armor ditawarkan dalam dua paket layanan:, Standar dan Managed Protection Plus. Untuk memanfaatkan sepenuhnya kemampuan Google Cloud Armor yang canggih, Anda harus berinvestasi pada Managed Protection Plus untuk workload penting Anda.

Mengotomatiskan penyediaan infrastruktur

Otomatisasi memungkinkan Anda membuat infrastruktur yang tidak dapat diubah, yang berarti bahwa infrastruktur tersebut tidak dapat diubah setelah penyediaan. Pengukuran ini memberi tim operasi Anda keadaan yang baik, rollback yang cepat, dan kemampuan pemecahan masalah. Untuk otomatisasi, Anda dapat menggunakan beberapa alat seperti: Terraform, Jenkins, dan Cloud Build.

Untuk membantu Anda membangun lingkungan yang menggunakan otomatisasi, Google Cloud menyediakan serangkaian blueprint keamanan yang kemudian dikembangkan berdasarkan blueprint fondasi perusahaan. Blueprint security foundation memberikan desain berdasarkan opini Google untuk lingkungan aplikasi yang aman dan menjelaskan langkah demi langkah terkait cara mengonfigurasi serta men-deploy estate Google Cloud Anda. Dengan menggunakan petunjuk dan skrip yang merupakan bagian dari blueprint security foundation, Anda dapat mengonfigurasi sebuah lingkungan yang memenuhi pedoman dan praktik terbaik keamanan kami. Anda dapat mengembangkan blueprint tersebut dengan blueprint tambahan atau merancang otomatisasi Anda sendiri.

Untuk mengetahui informasi selengkapnya tentang otomatisasi, lihat Menggunakan pipeline CI/CD untuk alur kerja pemrosesan data.

Memantau jaringan Anda

Memantau jaringan dan traffic Anda menggunakan telemetri.

VPC Flow Logs dan Firewall Rules Logging memberikan visibilitas yang mendekati real-time tentang traffic dan penggunaan firewall di lingkungan Google Cloud Anda. Misalnya, Firewall Rules Logging mencatat traffic ke dan dari instance VM Compute Engine. Saat menggabungkan alat ini dengan Cloud Logging dan Cloud Monitoring, Anda dapat melacak, memberi tahu, serta memvisualisasikan traffic dan pola akses untuk meningkatkan keamanan operasional deployment Anda.

Analisis Firewall memungkinkan Anda meninjau aturan firewall mana yang cocok dengan koneksi masuk dan keluar, serta apakah koneksi tersebut diizinkan atau ditolak. Fitur aturan bayangan membantu Anda menyesuaikan konfigurasi firewall dengan menunjukkan aturan mana yang tidak pernah dipicu karena aturan lain selalu dipicu terlebih dahulu.

Gunakan Network Intelligence Center untuk melihat performa topologi dan arsitektur jaringan Anda. Anda dapat memperoleh insight terperinci tentang performa jaringan dan kemudian Anda dapat mengoptimalkan deployment milik Anda untuk menghilangkan kemacetan dalam layanan. Uji Konektivitas memberi Anda insight tentang aturan dan kebijakan firewall yang diterapkan ke jalur jaringan.

Untuk mengetahui informasi selengkapnya tentang monitoring, lihat Menerapkan kontrol logging dan detektif.

Langkah selanjutnya

Mempelajari keamanan jaringan lebih lanjut dengan resource berikut:

• Menerapkan keamanan data (dokumen berikutnya dalam seri ini)
• Praktik terbaik dan arsitektur referensi untuk desain VPC
• Peran IAM untuk mengelola Kontrol Layanan VPC
• Melakukan orientasi sebagai partner Security Command Center
• Melihat kerentanan dan ancaman di Security Command Center
• Duplikasi Paket: Memvisualisasikan dan melindungi jaringan cloud Anda
• Menggunakan Duplikasi Paket untuk deteksi penyusupan
• Menggunakan Duplikasi Paket dengan solusi IDS partner