Dokumen ini di Framework Arsitektur Google Cloud memberikan praktik terbaik untuk mengamankan jaringan Anda.
Memperluas jaringan Anda yang sudah ada agar mencakup lingkungan cloud yang memiliki banyak implikasi untuk keamanan. Pendekatan lokal Anda terhadap pertahanan berlapis kemungkinan dapat melibatkan perimeter yang berbeda antara internet dan jaringan internal milik Anda. Anda mungkin melindungi perimeter dengan menggunakan mekanisme seperti {i>firewall<i}, {i>router<i}, dan sistem deteksi intrusi. Karena {i>border<i} adalah didefinisikan dengan jelas, Anda dapat memantau intrusi dan meresponsnya dengan sesuai.
Anda akan dinyatakan melampaui perimeter lokal saat Anda berpindah ke cloud (baik sepenuhnya atau pun dengan pendekatan hybrid). Dokumen ini menjelaskan beberapa cara agar Anda dapat terus mengamankan data serta workload milik organisasi Anda di Google Cloud. Seperti yang telah disebutkan dalam Mengelola risiko dengan kontrol, cara menyiapkan dan mengamankan jaringan Google Cloud bergantung pada persyaratan bisnis dan selera risiko Anda.
Bagian ini mengasumsikan bahwa Anda telah membuat diagram arsitektur dasar dari komponen jaringan Google Cloud Anda. Untuk contoh diagram, lihat Hub-dan-spoke.
Men-deploy jaringan zero-trust
Pindah ke cloud berarti model kepercayaan jaringan Anda harus berubah. Anda tidak dapat menggunakan perlindungan perimeter dengan cara yang sama untuk membuat jaringan dalam yang tepercaya, karena pengguna dan workload Anda tidak lagi berada dalam perimeter lokal. Model keamanan zero-trust berarti bahwa tidak ada orang yang dapat dipercaya secara default, baik mereka berada di dalam maupun di luar jaringan organisasi Anda. Saat memverifikasi permintaan akses, model keamanan zero-trust mengharuskan Anda untuk memeriksa identitas dan konteks pengguna. Tidak seperti VPN, Anda memindahkan kontrol akses dari perimeter jaringan ke pengguna dan perangkat.
Di Google Cloud, Anda dapat menggunakan Chrome Enterprise Premium sebagai solusi zero-trust Anda. Chrome Enterprise Premium menyediakan perlindungan data dan ancaman dan tambahan kontrol akses. Untuk informasi selengkapnya tentang cara menyiapkannya, lihat Mulai menggunakan Chrome Enterprise Premium.
Selain Chrome Enterprise Premium, Google Cloud menyertakan Identity-Aware Proxy (IAP). Dengan menggunakan IAP, Anda dapat memperluas keamanan zero-trust ke aplikasi Anda, baik di dalam Google Cloud maupun di infrastruktur lokal milik Anda. IAP menggunakan kebijakan kontrol akses untuk memberikan autentikasi dan otorisasi bagi pengguna yang mengakses aplikasi dan resource Anda.
Koneksi aman ke lingkungan lokal atau multicloud Anda
Banyak organisasi yang memiliki beberapa workload, baik di lingkungan cloud maupun di infrastruktur lokal. Selain itu, untuk ketahanan, beberapa organisasi menggunakan multicloud terkemuka. Dalam skenario ini, sangatlah penting untuk mengamankan konektivitas di seluruh lingkungan Anda.
Google Cloud menyertakan metode akses pribadi untuk VM yang didukung oleh Cloud VPN atau Cloud Interconnect, termasuk yang berikut:
- Menggunakan Cross-Cloud Interconnect, sebagai layanan yang terkelola untuk menautkan jaringan VPC Anda ke penyedia cloud yang didukung melalui koneksi langsung berkecepatan tinggi. Dengan menggunakan Cross-Cloud Interconnect, Anda tidak perlu menyediakan router sendiri atau bekerja sama dengan vendor pihak ketiga.
- Gunakan Dedicated Interconnect dan Partner Interconnect untuk menautkan jaringan VPC Anda ke pusat data lokal Anda atau ke cloud penyedia layanan melalui koneksi langsung berkecepatan tinggi.
- Menggunakan VPN IPsec untuk menautkan jaringan Virtual Private Cloud (VPC) ke pusat data lokal Anda atau ke penyedia cloud lainnya.
- Menggunakan endpoint Private Service Connect untuk mengakses layanan yang telah dipublikasikan yang disediakan oleh organisasi Anda atau penyedia lainnya.
- Gunakan Endpoint Private Service Connect untuk mengizinkan VM Anda mengakses Google API menggunakan alamat IP internal. Dengan menggunakan Private Service Connect, VM Anda tidak perlu memiliki alamat IP eksternal untuk mengakses layanan Google.
- Jika Anda menggunakan GKE Enterprise, pertimbangkan Gateway keluar Cloud Service Mesh. Jika Anda tidak menggunakan GKE Enterprise, menggunakan opsi pihak ketiga.
Untuk mengetahui perbandingan antara produk satu dengan produk lainnya, lihat Memilih produk Network Connectivity.
Menonaktifkan jaringan default
Saat Anda membuat project Google Cloud baru, akun Google Cloud default VPC jaringan dengan mode otomatis alamat IP dan aturan firewall yang telah diisi otomatis akan disediakan secara otomatis. Untuk deployment produksi, sebaiknya menghapus jaringan default dalam proyek-proyek yang sudah ada, dan nonaktifkan pembuatan jaringan default pada project baru.
Jaringan Virtual Private Cloud memungkinkan Anda untuk menggunakan alamat IP internal. Untuk menghindari pembentrokan alamat IP, sebaiknya rencanakan alokasi jaringan dan alamat IP Anda terlebih dahulu di seluruh project dan deployment yang telah terhubung. Sebuah project mengizinkan beberapa jaringan VPC, tetapi biasanya praktik terbaik yang dapat dilakukan adalah membatasi satu jaringan per project untuk menerapkan kontrol akses secara efektif.
Mengamankan perimeter Anda
Di Google Cloud, Anda dapat menggunakan berbagai metode untuk melakukan segmentasi dan mengamankan perimeter cloud Anda, termasuk firewall dan Kontrol Layanan VPC.
Gunakan VPC Bersama untuk membangun deployment produksi yang memberi Anda satu jaringan bersama dan mengisolasi beban kerja ke dalam masing-masing project sehingga dapat dikelola oleh berbagai tim. VPC Bersama menyediakan deployment, pengelolaan, dan kontrol jaringan terpusat terhadap resource keamanan jaringan di beberapa project. VPC Bersama terdiri atas project host dan layanan yang melakukan fungsi berikut:
- Project host berisi jaringan dan resource terkait keamanan jaringan seperti, jaringan VPC, subnet, aturan firewall, dan konektivitas hybrid.
- Project layanan terlampir ke project host. Dengan menggunakan Identity and Access Management (IAM), Anda dapat mengisolasi workload dan pengguna di level project, sekaligus membagikan resource jaringan dari project host yang dikelola secara terpusat.
Mendefinisikan aturan dan kebijakan firewall di tingkat organisasi, folder, dan jaringan VPC. Anda dapat mengonfigurasi aturan firewall untuk mengizinkan atau menolak traffic ke atau dari instance VM. Sebagai contoh, lihat Contoh kebijakan firewall jaringan global dan regional dan Contoh kebijakan firewall hierarkis. Selain menentukan aturan berdasarkan alamat IP, protokol, dan porta, Anda dapat mengelola lalu lintas dan menerapkan aturan {i>firewall<i} berdasarkan akun layanan yang digunakan oleh instance VM atau menggunakan tag aman.
Untuk mengontrol perpindahan data di layanan Google dan untuk menyiapkan keamanan perimeter berbasis kontek, pertimbangkan Kontrol Layanan VPC. Kontrol Layanan VPC memberikan lapisan keamanan tambahan untuk layanan Google Cloud yang independen dari aturan serta kebijakan firewall dan IAM. Misalnya, Kontrol Layanan VPC memungkinkan Anda untuk menyiapkan perimeter antara data rahasia dan non-rahasia, sehingga Anda dapat menerapkan kontrol yang membantu mencegah pemindahan data yang tidak sah.
Gunakan Kebijakan keamanan Google Cloud Armor untuk mengizinkan, menolak, atau mengalihkan permintaan ke Load Balancer Aplikasi eksternal Anda di edge Google Cloud, sedekat mungkin dengan sumber kemacetan. Kebijakan tersebut dapat mencegah traffic yang tidak diinginkan untuk menggunakan resource atau memasuki jaringan Anda.
Gunakan Proxy Web Aman untuk menerapkan kebijakan akses terperinci ke traffic web keluar dan memantau akses ke layanan web yang tidak terpercaya.
Memeriksa traffic jaringan Anda
Anda dapat menggunakan Cloud Intrusion Detection System (Cloud IDS) dan Duplikasi Paket untuk membantu Anda memastikan keamanan dan kepatuhan workload yang berjalan di Compute Engine dan Google Kubernetes Engine (GKE).
Gunakan Cloud IDS untuk mendapatkan visibilitas ke traffic yang masuk dan keluar dari VPC Anda jaringan. Cloud IDS membuat jaringan yang di-peering dan dikelola Google yang memiliki VM yang diduplikasi. Teknologi perlindungan ancaman Palo Alto Networks mencerminkan dan memeriksa lalu lintas data. Untuk informasi selengkapnya, lihat Ringkasan Cloud IDS.
Pencerminan Paket meng-clone traffic instance VM tertentu dalam jaringan VPC Anda dan meneruskannya untuk pengumpulan, retensi, dan pemeriksaan. Setelah mengonfigurasi Duplikasi Paket, Anda dapat menggunakan Cloud IDS atau alat pihak ketiga untuk mengumpulkan dan memeriksa traffic jaringan dalam skala besar. Memeriksa traffic jaringan melalui cara ini dapat membantu memberikan deteksi penyusupan dan pemantauan performa aplikasi.
Menggunakan firewall aplikasi web
Untuk layanan dan aplikasi web eksternal, Anda dapat mengaktifkan Google Cloud Armor untuk memberikan perlindungan distributed denial of service (DDoS) dan aplikasi web kapabilitas firewall (WAF). Google Cloud Armor mendukung workload Google Cloud yang diekspos menggunakan Load Balancing HTTP(S) eksternal, Load Balancing Proxy TCP, atau Load Balancing Proxy SSL.
Google Cloud Armor ditawarkan dalam dua paket layanan:, Standar dan Managed Protection Plus. Untuk memanfaatkan sepenuhnya kemampuan Google Cloud Armor yang canggih, Anda harus berinvestasi pada Managed Protection Plus untuk workload penting Anda.
Mengotomatiskan penyediaan infrastruktur
Otomatisasi memungkinkan Anda membuat infrastruktur yang tidak dapat diubah, yang berarti bahwa infrastruktur tersebut tidak dapat diubah setelah penyediaan. Pengukuran ini memberi tim operasi Anda keadaan yang baik, rollback yang cepat, dan kemampuan pemecahan masalah. Untuk otomatisasi, Anda dapat menggunakan beberapa alat seperti: Terraform, Jenkins, dan Cloud Build.
Untuk membantu Anda membangun lingkungan yang menggunakan otomatisasi, Google Cloud menyediakan serangkaian blueprint keamanan yang kemudian dibangun berdasarkan blueprint dasar-dasar perusahaan. Blueprint security foundation memberikan desain berdasarkan opini Google untuk lingkungan aplikasi yang aman dan menjelaskan langkah demi langkah terkait cara mengonfigurasi serta men-deploy estate Google Cloud Anda. Dengan menggunakan petunjuk dan skrip yang merupakan bagian dari blueprint security foundation, Anda dapat mengonfigurasi sebuah lingkungan yang memenuhi pedoman dan praktik terbaik keamanan kami. Anda dapat mengembangkan blueprint tersebut dengan blueprint tambahan atau merancang otomatisasi Anda sendiri.
Untuk informasi selengkapnya tentang otomatisasi, lihat Gunakan pipeline CI/CD untuk alur kerja pemrosesan data.
Memantau jaringan Anda
Memantau jaringan dan traffic Anda menggunakan telemetri.
Log Aliran VPC dan Firewall Rules Logging menyediakan visibilitas yang mendekati real-time ke lalu lintas dan penggunaan {i>firewall<i} di di lingkungan Google Cloud. Misalnya, Firewall Rules Logging mencatat traffic ke dan dari instance VM Compute Engine. Ketika Anda menggabungkan ini, alat dengan Cloud Logging dan Cloud Monitoring, Anda dapat melacak, memperingatkan, dan memvisualisasikan traffic dan pola akses untuk meningkatkan keamanan operasional deployment Anda.
Analisis Firewall memungkinkan Anda meninjau aturan {i>firewall<i} mana yang cocok dengan koneksi masuk dan keluar dan apakah koneksi diizinkan atau ditolak. Tujuan fitur aturan bayangan membantu Anda menyesuaikan konfigurasi {i>firewall<i} dengan menunjukkan aturan mana yang tidak pernah dipicu karena aturan lain selalu dipicu terlebih dahulu.
Gunakan Pusat Kecerdasan Jaringan untuk melihat bagaimana performa topologi dan arsitektur jaringan Anda. Anda dapat memperoleh insight terperinci tentang performa jaringan dan kemudian Anda dapat mengoptimalkan deployment milik Anda untuk menghilangkan kemacetan dalam layanan. Uji Konektivitas memberi Anda insight tentang aturan dan kebijakan firewall yang diterapkan pada jalur jaringan.
Untuk mengetahui informasi selengkapnya tentang monitoring, lihat Menerapkan kontrol logging dan detektif.
Langkah selanjutnya
Mempelajari keamanan jaringan lebih lanjut dengan resource berikut:
- Menerapkan keamanan data (dokumen berikutnya dalam seri ini)
- Praktik terbaik dan arsitektur referensi untuk desain VPC
- Peran IAM untuk mengelola Kontrol Layanan VPC
- Melakukan orientasi sebagai partner Security Command Center
- Melihat kerentanan dan ancaman di Security Command Center
- Duplikasi Paket: Memvisualisasikan dan melindungi jaringan cloud Anda
- Menggunakan Duplikasi Paket untuk deteksi penyusupan
- Menggunakan Duplikasi Paket dengan solusi IDS partner