Mengamankan jaringan Anda

Last reviewed 2023-06-09 UTC

Dokumen dalam Framework Arsitektur Google Cloud ini memberikan praktik terbaik untuk mengamankan jaringan Anda.

Memperluas jaringan Anda yang sudah ada agar mencakup lingkungan cloud yang memiliki banyak implikasi untuk keamanan. Pendekatan lokal Anda terhadap pertahanan berlapis kemungkinan dapat melibatkan perimeter yang berbeda antara internet dan jaringan internal milik Anda. Anda mungkin melindungi perimeter dengan menggunakan mekanisme seperti firewall fisik, router, dan sistem deteksi penyusup. Anda dapat dengan mudah memantau intrusi dan respons yang sesuai, dikarenakan batas telah ditetapkan dengan jelas.

Anda akan dinyatakan melampaui perimeter lokal saat Anda berpindah ke cloud (baik sepenuhnya atau pun dengan pendekatan hybrid). Dokumen ini menjelaskan beberapa cara agar Anda dapat terus mengamankan data serta workload milik organisasi Anda di Google Cloud. Seperti yang telah disebutkan dalam Mengelola risiko dengan kontrol, cara menyiapkan dan mengamankan jaringan Google Cloud bergantung pada persyaratan bisnis dan selera risiko Anda.

Bagian ini mengasumsikan bahwa Anda telah membuat diagram arsitektur dasar dari komponen jaringan Google Cloud Anda. Lihat bagian Hub-and-spoke untuk melihat contoh diagram.

Men-deploy jaringan zero-trust

Pindah ke cloud berarti model kepercayaan jaringan Anda harus berubah. Anda tidak dapat menggunakan perlindungan perimeter dengan cara yang sama untuk membuat jaringan dalam yang tepercaya, karena pengguna dan workload Anda tidak lagi berada dalam perimeter lokal. Model keamanan zero-trust berarti bahwa tidak ada orang yang dapat dipercaya secara default, baik mereka berada di dalam maupun di luar jaringan organisasi Anda. Saat memverifikasi permintaan akses, model keamanan zero-trust mengharuskan Anda untuk memeriksa identitas dan konteks pengguna. Tidak seperti VPN, Anda memindahkan kontrol akses dari perimeter jaringan ke pengguna dan perangkat.

Di Google Cloud, Anda dapat menggunakan Chrome Enterprise Premium sebagai solusi zero-trust Anda. Chrome Enterprise Premium memberikan perlindungan data dan perlindungan terhadap ancaman serta tambahan kontrol akses. Untuk mengetahui informasi selengkapnya tentang cara menyiapkannya, lihat Mulai menggunakan Chrome Enterprise Premium.

Selain Chrome Enterprise Premium, Google Cloud menyertakan Identity-Aware Proxy (IAP). Dengan menggunakan IAP, Anda dapat memperluas keamanan zero-trust ke aplikasi Anda, baik di dalam Google Cloud maupun di infrastruktur lokal milik Anda. IAP menggunakan kebijakan kontrol akses untuk memberikan autentikasi dan otorisasi bagi pengguna yang mengakses aplikasi dan resource Anda.

Koneksi aman ke lingkungan lokal atau multi-cloud Anda

Banyak organisasi yang memiliki beberapa workload, baik di lingkungan cloud maupun di infrastruktur lokal. Selain itu, untuk menjaga ketahanan organisasi mereka, beberapa organisasi menggunakan solusi multicloud. Dalam skenario ini, sangatlah penting untuk mengamankan konektivitas di seluruh lingkungan Anda.

Google Cloud menyertakan metode akses pribadi untuk VM yang didukung oleh Cloud VPN atau Cloud Interconnect, termasuk yang berikut:

Untuk mengetahui perbandingan antara produk satu dengan produk lainnya, lihat Memilih produk Network Connectivity.

Menonaktifkan jaringan default

Saat Anda membuat project Google Cloud yang baru, jaringan default VPC Google Cloud dengan alamat IP mode otomatis dan aturan firewall yang telah terisi otomatis sebelumnya akan secara otomatis disediakan. Untuk deployment produksi, sebaiknya Anda menghapus jaringan default pada project yang sudah ada, dan menonaktifkan pembuatan jaringan default pada project baru.

Jaringan Virtual Private Cloud memungkinkan Anda untuk menggunakan alamat IP internal. Untuk menghindari pembentrokan alamat IP, sebaiknya rencanakan alokasi jaringan dan alamat IP Anda terlebih dahulu di seluruh project dan deployment yang telah terhubung. Sebuah project mengizinkan beberapa jaringan VPC, tetapi biasanya praktik terbaik yang dapat dilakukan adalah membatasi satu jaringan per project untuk menerapkan kontrol akses secara efektif.

Mengamankan perimeter Anda

Di Google Cloud, Anda dapat menggunakan berbagai metode untuk melakukan segmentasi dan mengamankan perimeter cloud Anda, termasuk firewall dan Kontrol Layanan VPC.

Gunakan VPC Bersama untuk membuat deployment produksi yang memberi Anda sebuah jaringan bersama serta yang mengisolasi beberapa workload ke dalam project individual yang dapat dikelola oleh beberapa tim yang berbeda. VPC Bersama menyediakan deployment, pengelolaan, dan kontrol jaringan terpusat terhadap resource keamanan jaringan di beberapa project. VPC Bersama terdiri atas project host dan layanan yang melakukan fungsi berikut:

  • Project host berisi jaringan dan resource terkait keamanan jaringan seperti, jaringan VPC, subnet, aturan firewall, dan konektivitas hybrid.
  • Project layanan terlampir ke project host. Dengan menggunakan Identity and Access Management (IAM), Anda dapat mengisolasi workload dan pengguna di level project, sekaligus membagikan resource jaringan dari project host yang dikelola secara terpusat.

Menetapkan kebijakan dan aturan firewall di tingkat organisasi, folder, dan jaringan VPC. Anda dapat mengonfigurasi aturan firewall untuk mengizinkan atau menolak traffic ke atau dari instance VM. Untuk mengetahui contohnya, lihat Contoh kebijakan firewall jaringan global dan regional serta Contoh kebijakan firewall hierarkis. Selain menentukan aturan berdasarkan alamat IP, protokol, dan port, Anda juga dapat mengelola traffic serta menerapkan aturan firewall berdasarkan akun layanan yang digunakan oleh instance VM atau dengan menggunakan tag aman.

Untuk mengontrol perpindahan data di layanan Google dan untuk menyiapkan keamanan perimeter berbasis kontek, pertimbangkan Kontrol Layanan VPC. Kontrol Layanan VPC memberikan lapisan keamanan tambahan untuk layanan Google Cloud yang independen dari aturan serta kebijakan firewall dan IAM. Misalnya, Kontrol Layanan VPC memungkinkan Anda untuk menyiapkan perimeter antara data rahasia dan non-rahasia, sehingga Anda dapat menerapkan kontrol yang membantu mencegah pemindahan data yang tidak sah.

Menggunakan kebijakan keamanan Google Cloud Armor untuk mengizinkan, menolak, atau mengalihkan permintaan ke Load Balancer Aplikasi eksternal Anda di edge Google Cloud, sedekat mungkin dengan sumber traffic masuk. Kebijakan tersebut dapat mencegah traffic yang tidak diinginkan untuk menggunakan resource atau memasuki jaringan Anda.

Gunakan Secure Web Proxy untuk menerapkan kebijakan akses terperinci ke traffic web keluar dan untuk memantau akses ke layanan web yang tidak tepercaya.

Memeriksa traffic jaringan Anda

Anda dapat menggunakan Cloud Intrusion Detection System (Cloud IDS) dan Duplikasi Paket untuk membantu memastikan keamanan dan kepatuhan workload yang berjalan di Compute Engine dan Google Kubernetes Engine (GKE).

Menggunakan Cloud IDS untuk mendapatkan visibilitas ke traffic yang berpindah ke dan keluar dari jaringan VPC Anda. Cloud IDS membuat jaringan yang di-peering dan dikelola Google yang memiliki VM yang diduplikasi. Teknologi perlindungan terhadap ancaman Palo Alto Networks mencerminkan dan memeriksa traffic. Untuk informasi selengkapnya, lihat Ringkasan Cloud IDS.

Duplikasi Paket mengkloning traffic instance VM yang ditentukan di jaringan VPC Anda dan meneruskannya untuk pengumpulan, retensi, dan pemeriksaan. Setelah mengonfigurasi Duplikasi Paket, Anda dapat menggunakan Cloud IDS atau alat pihak ketiga untuk mengumpulkan dan memeriksa traffic jaringan dalam skala besar. Memeriksa traffic jaringan melalui cara ini dapat membantu memberikan deteksi penyusupan dan pemantauan performa aplikasi.

Menggunakan firewall aplikasi web

Untuk layanan dan aplikasi web eksternal, Anda dapat mengaktifkan Google Cloud Armor untuk memberikan perlindungan terhadap Distributed Denial of Service (DDoS) dan kemampuan firewall aplikasi web (WAF). Google Cloud Armor mendukung workload Google Cloud yang diekspos menggunakan Load Balancing HTTP(S) eksternal, Load Balancing Proxy TCP, atau Load Balancing Proxy SSL.

Google Cloud Armor ditawarkan dalam dua paket layanan:, Standar dan Managed Protection Plus. Untuk memanfaatkan sepenuhnya kemampuan Google Cloud Armor yang canggih, Anda harus berinvestasi pada Managed Protection Plus untuk workload penting Anda.

Mengotomatiskan penyediaan infrastruktur

Otomatisasi memungkinkan Anda membuat infrastruktur yang tidak dapat diubah, yang berarti bahwa infrastruktur tersebut tidak dapat diubah setelah penyediaan. Pengukuran ini memberi tim operasi Anda keadaan yang baik, rollback yang cepat, dan kemampuan pemecahan masalah. Untuk otomatisasi, Anda dapat menggunakan beberapa alat seperti: Terraform, Jenkins, dan Cloud Build.

Untuk membantu Anda membangun lingkungan yang menggunakan otomatisasi, Google Cloud menyediakan serangkaian blueprint keamanan yang pada gilirannya dibuat berdasarkan blueprint fondasi perusahaan. Blueprint security foundation memberikan desain berdasarkan opini Google untuk lingkungan aplikasi yang aman dan menjelaskan langkah demi langkah terkait cara mengonfigurasi serta men-deploy estate Google Cloud Anda. Dengan menggunakan petunjuk dan skrip yang merupakan bagian dari blueprint security foundation, Anda dapat mengonfigurasi sebuah lingkungan yang memenuhi pedoman dan praktik terbaik keamanan kami. Anda dapat mengembangkan blueprint tersebut dengan blueprint tambahan atau merancang otomatisasi Anda sendiri.

Untuk informasi selengkapnya tentang otomatisasi, lihat Menggunakan pipeline CI/CD untuk alur kerja pemrosesan data.

Memantau jaringan Anda

Memantau jaringan dan traffic Anda menggunakan telemetri.

VPC Flow Logs dan Firewall Rules Logging memberikan visibilitas yang mendekati real-time ke traffic dan penggunaan firewall di lingkungan Google Cloud Anda. Misalnya, Firewall Rules Logging catat traffic ke dan dari instance VM Compute Engine. Saat Anda menggabungkan beberapa alat ini dengan Cloud Logging dan Cloud Monitoring, Anda dapat melacak, memberi tahu, serta memvisualisasikan traffic dan pola akses untuk meningkatkan keamanan operasional deployment Anda.

Analisis Firewall memungkinkan Anda meninjau aturan firewall mana yang cocok dengan koneksi masuk dan keluar, serta apakah koneksi tersebut diizinkan atau ditolak. Fitur aturan yang dibayangi membantu Anda menyesuaikan konfigurasi firewall dengan menunjukkan aturan mana yang tidak pernah dipicu, karena aturan yang lain selalu dipicu terlebih dahulu.

Gunakan Network Intelligence Center untuk melihat performa topologi dan arsitektur jaringan Anda. Anda dapat memperoleh insight terperinci tentang performa jaringan dan kemudian Anda dapat mengoptimalkan deployment milik Anda untuk menghilangkan kemacetan dalam layanan. Uji Konektivitas memberi Anda insight tentang aturan dan kebijakan firewall yang diterapkan pada jalur jaringan.

Untuk mengetahui informasi selengkapnya tentang monitoring, lihat Menerapkan kontrol logging dan detektif.

Langkah selanjutnya

Mempelajari keamanan jaringan lebih lanjut dengan resource berikut: