Kebijakan keamanan edge jaringan memungkinkan Anda mengonfigurasi aturan untuk mengizinkan atau memblokir traffic di edge jaringan Google. Anda dapat mengonfigurasi kebijakan keamanan edge jaringan untuk jenis frontend berikut:
- Load Balancer Jaringan passthrough eksternal
- Penerusan protokol
- VM dengan alamat IP publik
Anda dapat menggunakan kebijakan keamanan edge jaringan untuk memfilter berdasarkan rentang alamat IP sumber dan tujuan, sama seperti Firewall Cloud Next Generation, tetapi tanpa menghabiskan resource Anda. Selain itu, kebijakan keamanan edge jaringan adalah satu-satunya jenis kebijakan keamanan dengan dukungan untuk pemfilteran offset byte.
Mengonfigurasi aturan khusus untuk kebijakan keamanan edge jaringan
Seperti kebijakan keamanan edge dan backend, Anda dapat mengonfigurasi aturan khusus untuk kebijakan keamanan edge jaringan. Pada contoh berikut, Anda membuat kebijakan keamanan edge jaringan, mengonfigurasi aturan khusus untuk mengizinkan traffic hanya dari rentang alamat IP sumber tertentu, dan melampirkan kebijakan ke layanan backend Anda.
Kebijakan keamanan edge jaringan mendukung beberapa filter Google Cloud Armor, termasuk filter unik seperti pemfilteran byte-offset. Untuk mengetahui informasi selengkapnya tentang fitur yang didukung oleh kebijakan keamanan edge jaringan, lihat ringkasan kebijakan keamanan. Selain itu, Anda dapat men-deploy kebijakan keamanan edge jaringan dalam mode pratinjau.
Sebelum melanjutkan, Anda harus mendaftar ke Google Cloud Armor Enterprise dan mengonfigurasi perlindungan DDoS jaringan lanjutan. Anda tidak dapat menggunakan aturan kustom untuk kebijakan keamanan edge jaringan tanpa langganan Cloud Armor Enterprise yang aktif dan perlindungan DDoS jaringan lanjutan.
Untuk mengonfigurasi aturan kustom, ikuti langkah-langkah berikut:
Buat kebijakan keamanan edge jaringan baru dengan nama
POLICY_NAMEdi regionREGION. Jangan gunakan kebijakan keamanan yang sama dengan yang Anda gunakan saat mengaktifkan perlindungan DDoS jaringan lanjutan.gcloud compute security-policies create POLICY_NAME \ --type=CLOUD_ARMOR_NETWORK \ --region=REGION
Ubah aturan default kebijakan Anda dari
allowmenjadidenyuntuk memblokir traffic yang tidak secara eksplisit diizinkan oleh aturan lain.gcloud compute security-policies rules update 2147483647 \ --security-policy=POLICY_NAME \ --action=deny \ --region=REGION
Dalam kebijakan keamanan yang sama, tambahkan aturan pada prioritas
RULE_PRIORITYyang mengizinkan permintaan dalam rentang alamat IP sumberRANGE.gcloud compute security-policies rules create RULE_PRIORITY \ --security-policy=POLICY_NAME \ --network-src-ip-ranges=RANGE \ --action=allow \ --region=REGION
Kaitkan kebijakan keamanan dengan layanan backend Anda
BACKEND_SERVICE_NAME.gcloud compute backend-services update BACKEND_SERVICE_NAME \ --security-policy=POLICY_NAME \ --region=REGION
Atau, Anda dapat mengaitkan kebijakan keamanan dengan satu instance VM menggunakan perintah berikut:
gcloud beta compute instances network-interfaces update VM_NAME \ --security-policy=POLICY_NAME \ --security-policy-region=REGION \ --network-interface=NETWORK_INTERFACE \ --zone=ZONE_NAME
Opsional: Anda dapat menggunakan perintah berikut untuk memastikan bahwa kebijakan keamanan telah terpasang. Jika berhasil, kolom
securityPolicydi output memiliki link ke resource kebijakan keamanan Anda.gcloud compute instances describe VM_NAME --zone=ZONE_NAME
Setelah membuat contoh sebelumnya, Anda dapat terus menambahkan aturan ke kebijakan keamanan edge jaringan menggunakan perintah security-policies rules update.
Kolom yang didukung untuk kebijakan keamanan edge jaringan adalah sebagai berikut:
| Kolom | Tanda | Deskripsi |
|---|---|---|
| Alamat IP sumber | --network-src-ip-ranges |
Alamat IPv4/6 sumber atau awalan CIDR, dalam format teks standar. |
| Port sumber | --network-src-ports |
Nomor port sumber untuk TCP/UDP/SCTP. Setiap elemen dapat berupa angka (16 bit) (seperti "80") atau rentang (seperti "0-1023"). |
| Kode wilayah sumber | --network-src-region-codes |
Kode negara dua huruf (ISO 3166-1 alpha-2). |
| ASN Sumber | --network-src-asns |
Nomor Sistem Otonom BGP dari alamat IP sumber. |
| Rentang alamat IP tujuan | --network-dest-ip-ranges |
Alamat IPv4/6 tujuan atau awalan CIDR, dalam format teks standar. |
| Port tujuan | --network-dest-ports |
Nomor port tujuan untuk TCP/UDP/SCTP. Setiap elemen dapat berupa angka (16 bit) (seperti "80") atau rentang (seperti "0-1023"). |
| Protokol alamat IP | --network-ip-protocols |
Header berikutnya protokol IPv4 / IPv6 (setelah header ekstensi). Setiap elemen dapat berupa angka 8 bit (seperti "6"), rentang (seperti "253-254"), atau salah satu dari nama protokol berikut:
|
| Pemfilteran byte-offset | T/A | Lihat bagian berikut. |
Jika menggunakan flag --network-src-region-codes dengan kebijakan keamanan edge jaringan, Anda dapat menggunakan kode wilayah untuk wilayah berikut yang terkena sanksi komprehensif AS:
| Wilayah | Kode yang ditetapkan |
|---|---|
| Krimea | X |
| Wilayah yang disebut sebagai Republik Rakyat Donetsk (DNR), dan wilayah yang disebut Republik Rakyat Luhansk (LNR) |
XD |
Mengonfigurasi pemfilteran byte-offset
Jika Anda menggunakan Load Balancer Jaringan passthrough eksternal, penerusan protokol, atau VM dengan alamat IP publik, Google Cloud Armor dapat melakukan pemeriksaan paket mendalam pada traffic masuk. Anda dapat mengonfigurasi aturan kebijakan keamanan yang cocok dengan nilai offset byte TCP/UDP tertentu. Anda dapat mengonfigurasi aturan untuk menerapkan tindakan aturan saat nilai yang dikonfigurasi ada, atau jika nilai tersebut tidak ada.
Contoh berikut mengizinkan traffic saat nilai tersebut ada, dan menolak semua traffic lainnya:
Buat kebijakan keamanan edge jaringan baru. Anda dapat melewati langkah ini jika sudah memiliki kebijakan keamanan edge jaringan.
gcloud compute security-policies create POLICY_NAME \ --type=CLOUD_ARMOR_NETWORK \ --region=REGION_NAME
Update kebijakan keamanan edge jaringan untuk menambahkan kolom yang ditentukan pengguna menggunakan parameter berikut:
- Basis: nilai dapat berupa
IPv4,IPv6,TCP, atauUDP - Offset: offset kolom dari dasar dalam byte
- Ukuran: ukuran kolom dalam byte (nilai maksimum adalah
4) - Tambahkan Mask: mask untuk bit di kolom yang akan dicocokkan
Anda dapat menggunakan hingga delapan kolom buatan pengguna per kebijakan. Pada contoh berikut, Anda membuat dua kolom buatan pengguna.
gcloud compute security-policies add-user-defined-field POLICY_NAME \ --user-defined-field-name=USER_DEFINED_FIELD_NAME_TCP \ --base=TCP \ --offset=OFFSET \ --size=SIZE \ --mask=MASK \ --region=REGION_NAME
gcloud compute security-policies add-user-defined-field POLICY_NAME \ --user-defined-field-name=USER_DEFINED_FIELD_NAME_UDP \ --base=UDP \ --offset=OFFSET \ --size=SIZE \ --mask=MASK \ --region=REGION_NAME
- Basis: nilai dapat berupa
Dalam kebijakan keamanan edge jaringan, tambahkan aturan dengan nama kolom kustom yang sama dengan yang Anda gunakan di contoh sebelumnya. Ganti
VALUE1danVALUE2dengan nilai yang cocok dengan traffic yang ingin Anda izinkan.gcloud compute security-policies rules create RULE_PRIORITY \ --security-policy=POLICY_NAME \ --network-user-defined-fields="USER_DEFINED_FIELD_NAME_TCP;VALUE1:VALUE2,USER_DEFINED_FIELD_NAME_UDP;VALUE1:VALUE2,USER_DEFINED_FIELD_NAME_UDP;VALUE1,VALUE2" \ --action=allow \ --region=REGION_NAME
Tetapkan aturan default dalam kebijakan keamanan edge jaringan Anda sebagai aturan tolak. Anda dapat melewati langkah ini jika aturan default dalam kebijakan keamanan Anda sudah berupa aturan penolakan.
gcloud compute security-policies rules update 2147483647 \ --security-policy=POLICY_NAME \ --action=deny \ --region=REGION_NAME
Kaitkan kebijakan keamanan edge jaringan Anda dengan layanan backend Load Balancer Jaringan passthrough eksternal Anda.
gcloud compute backend-services update BACKEND_SERVICE_NAME \ --security-policy=POLICY_NAME \ --region=REGION_NAME
Pemantauan
Google Cloud Armor mengekspor metrik berikut ke Cloud Monitoring untuk setiap aturan kebijakan keamanan edge jaringan Anda:
packet_countBlocked: nilai boolean yang mewakili hasil tindakan aturanallowataudeny
Count: nilaipacket_countbertambah satu kali untuk setiap 10.000 paket. Misalnya, nilaipacket_count5berarti setidaknya 50.000 paket telah cocok dengan aturan Anda
preview_packet_count: sama sepertipacket_count, digunakan untuk aturan dalam mode pratinjau
Untuk melihat metrik untuk kebijakan keamanan edge jaringan, Anda harus mengaktifkan Network Security API (networksecurity.googleapis.com) terlebih dahulu. Izin ini disertakan dalam peran Compute Security Admin (roles/compute.securityAdmin). Setelah mengaktifkan Network Security API, Anda dapat melihat metrik di Monitoring di konsol Google Cloud.