Kebijakan keamanan edge jaringan memungkinkan Anda mengonfigurasi aturan untuk mengizinkan atau memblokir traffic di edge jaringan Google. Anda dapat mengonfigurasi kebijakan keamanan edge jaringan untuk jenis frontend berikut:
- Load Balancer Jaringan passthrough eksternal
- Penerusan protokol
- VM dengan alamat IP publik
Anda dapat menggunakan kebijakan keamanan edge jaringan untuk memfilter menurut rentang alamat IP sumber dan tujuan, seperti halnya Cloud Next Generation Firewall, tetapi tanpa menggunakan resource Anda. Selain itu, kebijakan keamanan edge jaringan adalah satu-satunya jenis kebijakan keamanan dengan dukungan untuk pemfilteran offset byte.
Mengonfigurasi aturan kustom untuk kebijakan keamanan edge jaringan
Seperti kebijakan keamanan backend dan edge, Anda dapat mengonfigurasi aturan kustom untuk kebijakan keamanan edge jaringan. Pada contoh berikut, Anda membuat kebijakan keamanan tepi jaringan, mengonfigurasi aturan kustom untuk mengizinkan traffic hanya dari rentang alamat IP sumber tertentu, dan melampirkan kebijakan ke layanan backend Anda.
Kebijakan keamanan edge jaringan mendukung beberapa filter Google Cloud Armor, termasuk filter unik seperti pemfilteran byte-offset. Untuk informasi selengkapnya tentang fitur yang didukung kebijakan keamanan edge jaringan, lihat ringkasan kebijakan keamanan. Selain itu, Anda dapat men-deploy kebijakan keamanan edge jaringan dalam mode pratinjau.
Sebelum melanjutkan, Anda harus mendaftar ke Google Cloud Armor Enterprise dan mengonfigurasi perlindungan DDoS jaringan lanjutan. Anda tidak dapat menggunakan aturan kustom untuk kebijakan keamanan edge jaringan tanpa langganan Cloud Armor Enterprise yang aktif dan perlindungan DDoS jaringan lanjutan.
Untuk mengonfigurasi aturan kustom, ikuti langkah-langkah berikut:
Buat kebijakan keamanan edge jaringan baru dengan nama
POLICY_NAMEdi regionREGION. Jangan gunakan kebijakan keamanan yang sama dengan yang Anda gunakan saat mengaktifkan perlindungan DDoS jaringan lanjutan.gcloud compute security-policies create POLICY_NAME \ --type=CLOUD_ARMOR_NETWORK \ --region=REGION
Ubah aturan default kebijakan Anda dari
allowmenjadidenyuntuk memblokir traffic yang tidak diizinkan secara eksplisit oleh aturan lain.gcloud compute security-policies rules update 2147483647 \ --security-policy=POLICY_NAME \ --action=deny \ --region=REGION
Dalam kebijakan keamanan yang sama, tambahkan aturan dengan prioritas
RULE_PRIORITYyang mengizinkan permintaan dalam rentang alamat IP sumberRANGE.gcloud compute security-policies rules create RULE_PRIORITY \ --security-policy=POLICY_NAME \ --network-src-ip-ranges=RANGE \ --action=allow \ --region=REGION
Kaitkan kebijakan keamanan dengan
BACKEND_SERVICE_NAMElayanan backend Anda.gcloud compute backend-services update BACKEND_SERVICE_NAME \ --security-policy=POLICY_NAME \ --region=REGION
Atau, Anda dapat mengaitkan kebijakan keamanan dengan satu instance VM menggunakan perintah berikut:
gcloud beta compute instances network-interfaces update VM_NAME \ --security-policy=POLICY_NAME \ --security-policy-region=REGION \ --network-interface=NETWORK_INTERFACE \ --zone=ZONE_NAME
Opsional: Anda dapat memverifikasi bahwa kebijakan keamanan dilampirkan menggunakan perintah berikut. Jika berhasil, kolom
securityPolicydalam output akan memiliki link ke resource kebijakan keamanan Anda.gcloud compute instances describe VM_NAME --zone=ZONE_NAME
Setelah membuat contoh sebelumnya, Anda dapat terus menambahkan aturan ke
kebijakan keamanan edge jaringan menggunakan perintah security-policies rules update.
Kolom yang didukung untuk kebijakan keamanan edge jaringan adalah sebagai berikut:
| Kolom | Flag | Deskripsi |
|---|---|---|
| Alamat IP sumber | --network-src-ip-ranges |
Alamat IPv4/6 sumber atau awalan CIDR, dalam format teks standar. |
| Port sumber | --network-src-ports |
Nomor port sumber untuk TCP/UDP/SCTP. Setiap elemen dapat berupa angka (16-bit) (seperti "80") atau rentang (seperti "0-1023"). |
| Kode wilayah sumber | --network-src-region-codes |
Kode negara dua huruf (ISO 3166-1 alpha-2). |
| ASN Sumber | --network-src-asns |
Nomor Sistem Otonom BGP dari alamat IP sumber. |
| Rentang alamat IP tujuan | --network-dest-ip-ranges |
Alamat IPv4/6 tujuan atau awalan CIDR, dalam format teks standar. |
| Port tujuan | --network-dest-ports |
Nomor port tujuan untuk TCP/UDP/SCTP. Setiap elemen dapat berupa angka (16-bit) (seperti "80") atau rentang (seperti "0-1023"). |
| Protokol alamat IP | --network-ip-protocols |
Header berikutnya IPv4 / IPv6 (setelah header ekstensi). Setiap
elemen dapat berupa angka 8-bit (seperti "6"), rentang (seperti "253-254"), atau
salah satu nama protokol berikut:
|
| Pemfilteran offset byte | T/A | Lihat bagian berikut. |
Saat menggunakan flag --network-src-region-codes dengan kebijakan keamanan tepi jaringan, Anda dapat menggunakan kode wilayah untuk wilayah berikut yang tunduk pada sanksi Amerika Serikat yang komprehensif:
| Wilayah | Kode yang ditetapkan |
|---|---|
| Krimea | XC |
| Wilayah yang disebut sebagai Republik Rakyat Donetsk (DNR), dan wilayah yang disebut sebagai Republik Rakyat Luhansk (LNR) |
XD |
Mengonfigurasi pemfilteran offset byte
Jika Anda menggunakan Load Balancer Jaringan passthrough eksternal, penerusan protokol, atau VM dengan alamat IP publik, Google Cloud Armor dapat melakukan deep packet inspection pada traffic yang masuk. Anda dapat mengonfigurasi aturan kebijakan keamanan yang cocok dengan nilai offset byte TCP/UDP tertentu. Anda dapat mengonfigurasi aturan untuk menerapkan tindakan aturan saat nilai yang dikonfigurasi ada, atau jika tidak ada.
Contoh berikut mengizinkan traffic jika nilainya ada, dan menolak semua traffic lainnya:
Buat kebijakan keamanan edge jaringan baru. Anda dapat melewati langkah ini jika sudah memiliki kebijakan keamanan edge jaringan.
gcloud compute security-policies create POLICY_NAME \ --type=CLOUD_ARMOR_NETWORK \ --region=REGION_NAME
Perbarui kebijakan keamanan edge jaringan untuk menambahkan kolom yang ditentukan pengguna menggunakan parameter berikut:
- Base: nilai dapat berupa
IPv4,IPv6,TCP, atauUDP - Offset: offset kolom dari basis dalam byte
- Ukuran: ukuran kolom dalam byte (nilai maksimum adalah
4) - Mask: mask untuk bit di kolom yang akan dicocokkan
Anda dapat menggunakan hingga delapan kolom yang ditentukan pengguna per kebijakan. Dalam contoh berikut, Anda membuat dua kolom yang ditentukan pengguna.
gcloud compute security-policies add-user-defined-field POLICY_NAME \ --user-defined-field-name=USER_DEFINED_FIELD_NAME_TCP \ --base=TCP \ --offset=OFFSET \ --size=SIZE \ --mask=MASK \ --region=REGION_NAME
gcloud compute security-policies add-user-defined-field POLICY_NAME \ --user-defined-field-name=USER_DEFINED_FIELD_NAME_UDP \ --base=UDP \ --offset=OFFSET \ --size=SIZE \ --mask=MASK \ --region=REGION_NAME
- Base: nilai dapat berupa
Dalam kebijakan keamanan edge jaringan, tambahkan aturan dengan nama kolom kustom yang sama dengan yang Anda gunakan dalam contoh sebelumnya. Ganti
VALUE1danVALUE2dengan nilai yang cocok dengan traffic yang ingin Anda izinkan.gcloud compute security-policies rules create RULE_PRIORITY \ --security-policy=POLICY_NAME \ --network-user-defined-fields="USER_DEFINED_FIELD_NAME_TCP;VALUE1:VALUE2,USER_DEFINED_FIELD_NAME_UDP;VALUE1:VALUE2,USER_DEFINED_FIELD_NAME_UDP;VALUE1,VALUE2" \ --action=allow \ --region=REGION_NAME
Tetapkan aturan default dalam kebijakan keamanan edge jaringan Anda menjadi aturan tolak. Anda dapat melewati langkah ini jika aturan default dalam kebijakan keamanan Anda sudah berupa aturan tolak.
gcloud compute security-policies rules update 2147483647 \ --security-policy=POLICY_NAME \ --action=deny \ --region=REGION_NAME
Kaitkan kebijakan keamanan edge jaringan dengan layanan backend Load Balancer Jaringan passthrough eksternal Anda.
gcloud compute backend-services update BACKEND_SERVICE_NAME \ --security-policy=POLICY_NAME \ --region=REGION_NAME
Pemantauan
Google Cloud Armor mengekspor metrik berikut ke Cloud Monitoring untuk setiap aturan kebijakan keamanan edge jaringan Anda:
packet_countBlocked: nilai boolean yang mewakili hasil tindakan aturanallowataudeny
Count: nilaipacket_countbertambah satu kali untuk setiap 10.000 paket—misalnya, nilaipacket_count5berarti setidaknya 50.000 paket telah cocok dengan aturan Anda
preview_packet_count: sama denganpacket_count, digunakan untuk aturan dalam mode pratinjau
Untuk melihat metrik kebijakan keamanan edge jaringan, Anda harus mengaktifkan
Network Security API
(networksecurity.googleapis.com) terlebih dahulu. Izin ini disertakan dalam
peran Compute Security Admin
(roles/compute.securityAdmin). Setelah mengaktifkan Network Security API,
Anda dapat melihat metrik di Monitoring di konsol Google Cloud.