Membuat aturan kebijakan keamanan

Halaman ini mencakup petunjuk bagi Operator Infrastruktur (IO) untuk membuat dan mengonfigurasi aturan kebijakan keamanan guna mengelola traffic dalam organisasi dan mengaktifkan Sistem Deteksi dan Pencegahan Intrusi (IDPS) untuk traffic beban kerja pelanggan. Anda dapat mengonfigurasi aturan kebijakan keamanan menggunakan resource kustom SecurityPolicyRule melalui Firewall API.

Sebelum memulai

Sebelum melanjutkan, pastikan Anda memiliki hal berikut:

• Repositori iac dengan file kustomization.yaml.
• Folder bernama security-policy-rule untuk menyimpan file yang berisi aturan kebijakan keamanan.

Mengizinkan alamat mana pun mengakses organisasi

Ada dua opsi untuk membuat aturan kebijakan keamanan.

• Buat aturan kebijakan keamanan dengan rentang IP atau netmask IP.
• Buat aturan kebijakan keamanan dengan alamat IP tertentu.

Membuat aturan kebijakan keamanan dengan rentang alamat IP atau netmask alamat IP

1. Buat file YAML untuk resource AddressGroup. AddressGroup menyimpan rentang alamat IP atau masker jaringan alamat IP yang dapat digunakan oleh SecurityPolicyRule.

2. Tambahkan konten berikut untuk membuat resource kustom AddressGroup:

   apiVersion: firewall.private.gdc.goog/v1alpha2
   kind: AddressGroup
   metadata:
     labels:
       firewall.private.gdc.goog/type: idps
     name: SOURCE_AG_OBJECT_NAME
     namespace: NAMESPACE
   spec:
     addressGroupName: SOURCE_ADDRESS_GROUP
     firewallVirtualSystemRef:
       name: FIREWALL_VIRTUAL_SYSTEM_NAME
     members:
     - name: SOURCE_MEMBER_NAME
       type: SOURCE_MEMBER_TYPE
       value: SOURCE_MEMBER_VALUE
   ---
   apiVersion: firewall.private.gdc.goog/v1alpha2
   kind: AddressGroup
   metadata:
     labels:
       firewall.private.gdc.goog/type: idps
     name: DESTINATION_AG_OBJECT_NAME
     namespace: NAMESPACE
   spec:
     addressGroupName: DESTINATION_ADDRESS_GROUP
     firewallVirtualSystemRef:
       name: FIREWALL_VIRTUAL_SYSTEM_NAME
     members:
     - name: DESTINATION_MEMBER_NAME
       type: DESTINATION_MEMBER_TYPE
       value: DESTINATION_MEMBER_VALUE
   

3. Simpan dan simpan grup alamat di folder security-policy-rule Anda.

4. Tambahkan konten berikut untuk membuat resource kustom SecurityPolicyRule:

   apiVersion: firewall.private.gdc.goog/v1alpha2
   kind: SecurityPolicyRule
   metadata:
     labels:
       firewall.private.gdc.goog/policy-type: idps
     name: RULE_NAME
     namespace: NAMESPACE
   spec:
     firewallVirtualSystemRef:
       name: FIREWALL_VIRTUAL_SYSTEM_NAME
     priority: PRIORITY
     source:
       zones:
       - SOURCE_ZONE
       addresses:
       - SOURCE_ADDRESS_GROUP
     destination:
       zones:
       - DESTINATION_ZONE
       addresses:
       - DESTINATION_ADDRESS_GROUP
     action: ACTION
     service:
       option: OPTION
       ports:
       - protocol: PROTOCOL
         ports: "PORT"
     profile:
       type: PROFILE_TYPE
   

   Ganti variabel berikut:

   Variabel	Deskripsi
   SOURCE_AG_OBJECT_NAME	Nama objek grup alamat. Misalnya, vsys2-org-1-org-infra-group.
   NAMESPACE	Namespace harus cocok dengan nama organisasi. Misalnya, org-1.
   SOURCE_ADDRESS_GROUP	Nama grup alamat yang berisi alamat IP sumber. Misalnya, org-infra-group.
   FIREWALL_VIRTUAL_SYSTEM_NAME	Nama sistem virtual firewall yang terkait dengan organisasi. Misalnya, vsys2-org-1. Gunakan kubectl get firewallvirtualsystems -A untuk mencantumkan semua nama vsys.
   SOURCE_MEMBER_NAME	Nama anggota dalam grup alamat. Misalnya, org-infra-group-0. Dapat ada beberapa anggota, dengan setiap anggota memiliki nama unik.
   SOURCE_MEMBER_TYPE	Jenis anggota dalam grup alamat. Nilai yang tersedia adalah IPRange, IPNetmask.
   SOURCE_MEMBER_VALUE	Alamat IP di anggota. Misalnya, jika jenis anggota adalah IPNetmask, nilainya dapat berupa 169.254.0.0/21. Jika jenis anggota adalah IPrange, nilainya dapat berupa 192.168.1.1-192.168.1.10.
   DESTINATION_AG_OBJECT_NAME	Nama objek grup alamat. Misalnya, vsys2-org-1-org-data-external-all-group.
   DESTINATION_ADDRESS_GROUP	Nama grup alamat yang berisi alamat IP sumber. Misalnya, org-data-external-all-group.
   DESTINATION_MEMBER_NAME	Nama anggota dalam grup alamat. Misalnya, org-data-external-all-group-0. Dapat ada beberapa anggota, dengan setiap anggota memiliki nama unik.
   DESTINATION_MEMBER_TYPE	Jenis anggota dalam grup alamat. Nilai yang tersedia adalah IPRange, IPNetmask.
   DESTINATION_MEMBER_VALUE	Alamat IP di anggota. Misalnya, jika jenis anggota adalah IPNetmask, nilainya dapat berupa 169.254.0.0/21. Jika jenis anggota adalah IPrange, nilainya dapat berupa 192.168.1.1-192.168.1.10.
   RULE_NAME	Nama aturan. Misalnya, allow-ingress-org-1.
   PRIORITY	Bilangan bulat antara 1000 dan 60000 yang menentukan tingkat prioritas. Prioritas tertinggi adalah 1000, sedangkan yang terendah adalah 60000. Contoh ini menggunakan tingkat prioritas tertinggi 1000.
   SOURCE_ZONE	Zona firewall yang menjadi sumber traffic. Misalnya, vsys2-oc.
   DESTINATION_ZONE	Zona firewall yang menjadi tujuan traffic. Misalnya, vsys2-gpc.
   ACTION	Tindakan yang menentukan apakah akan mengizinkan atau menolak traffic. Contohnya menggunakan tindakan allow.
   OPTION	Opsi untuk menyetel layanan. Nilai opsional untuk menyetel layanan mencakup hal berikut: any: menentukan penggunaan port apa pun. application-default: port standar untuk aplikasi. selected: protokol dan port yang Anda pilih.
   PROTOCOL	Protokol jaringan yang Anda tentukan. Misalnya, protokol seperti TCP atau UDP
   PORT	Nomor port. Misalnya, 1234.
   PROFILE_TYPE	Jenis profil, seperti none, group, dan profiles.

5. Simpan dan simpan aturan kebijakan keamanan di folder security-policy-rule Anda.

6. Buka repositori iac Anda dan lakukan commit aturan kebijakan keamanan ke cabang main.

   ls IAC_REPO_PATH/iac/infrastructure/global/orgs/root/kustomization.yaml
   

   Jika file tidak ada, ikuti langkah 8 hingga 12 di Membuat organisasi dengan IAC.

7. Ikuti langkah ketiga Memicu penggantian konfigurasi penuh firewall dalam runbook FW-G0003 untuk memproses penggantian konfigurasi firewall.

Membuat aturan kebijakan keamanan dengan alamat IP tertentu

1. Buat file YAML untuk resource SecurityPolicyRule.

2. Tambahkan konten berikut untuk membuat resource kustom SecurityPolicyRule:

   apiVersion: firewall.private.gdc.goog/v1alpha2
   kind: SecurityPolicyRule
   metadata:
     labels:
       firewall.private.gdc.goog/policy-type: idps
     name: RULE_NAME
     namespace: NAMESPACE
   spec:
     firewallVirtualSystemRef:
       name: FIREWALL_VIRTUAL_SYSTEM_NAME
     priority: PRIORITY
     source:
       zones:
       - SOURCE_ZONE
       addresses:
       - SOURCE_IP_ADDRESS
     destination:
       zones:
       - DESTINATION_ZONE
       addresses:
       - DESTINATION_IP_ADDRESS
     action: ACTION
     service:
       option: OPTION
       ports:
       - protocol: PROTOCOL
         ports: "PORT"
     profile:
       type: PROFILE_TYPE
   

   Ganti variabel berikut:

   Variabel	Deskripsi
   RULE_NAME	Nama aturan. Misalnya, allow-ingress-org-1.
   NAMESPACE	Namespace harus cocok dengan nama organisasi. Misalnya, org-1.
   FIREWALL_VIRTUAL_SYSTEM_NAME	Nama firewall. Misalnya, vsys2-org1.
   PRIORITY	Bilangan bulat antara 1000 dan 60000 yang menentukan tingkat prioritas. Prioritas tertinggi adalah 1000, sedangkan yang terendah adalah 60000. Misalnya, jika aturan memerlukan tingkat prioritas tertinggi, gunakan 1000.
   SOURCE_ZONE	Zona firewall yang menjadi sumber traffic. Misalnya, vsys2-oc.
   SOURCE_IP_ADDRESS	Alamat IP untuk mengizinkan traffic. Format alamat IP dapat berupa alamat IP tunggal 10.250.10.1, classless inter-domain routing (CIDR) 10.250.10.0/27, rentang alamat IP 10.250.10.1-10.250.10.8, atau any. Misalnya, 172.21.0.0/20 menunjukkan bahwa alamat IP sumber apa pun dalam CIDR 172.21.0.0/20 cocok dengan aturan ini.
   DESTINATION_ZONE	Zona firewall yang menjadi tujuan traffic. Misalnya, vsys2-gpc.
   DESTINATION_IP_ADDRESS	Alamat IP untuk mengizinkan traffic. Format alamat IP dapat berupa alamat IP tunggal 10.250.10.1, classless inter-domain routing (CIDR) 10.250.10.0/27, rentang alamat IP 10.250.10.1-10.250.10.8, atau any. Misalnya, nilai any menunjukkan bahwa alamat IP tujuan mana pun akan cocok dengan aturan tersebut.
   ACTION	Tindakan yang menentukan apakah akan allow atau deny lalu lintas. Misalnya, allow mengizinkan traffic.
   OPTION	Opsi untuk menyetel layanan. Nilai opsional untuk menyetel layanan mencakup hal berikut: any: menentukan penggunaan port apa pun. application-default: port standar untuk aplikasi. selected: protokol dan port yang Anda pilih. Informasi selengkapnya tersedia di referensi API.
   PROTOCOL	Protokol jaringan yang Anda tentukan. Misalnya, TCP untuk Transmission Control Protocol.
   PORT	Nomor port. Misalnya, 443.
   PROFILE_TYPE	Jenis profil, seperti none, group, dan profiles. Misalnya, menggunakan jenis profil none berarti tidak ada IDPS yang diterapkan.

3. Simpan dan simpan aturan kebijakan keamanan di folder security-policy-rule Anda.

4. Buka repositori iac Anda dan lakukan commit aturan kebijakan keamanan ke cabang main.

   ls IAC_REPO_PATH/iac/infrastructure/global/orgs/root/kustomization.yaml
   

   Jika file tidak ada, ikuti langkah 8 hingga 12 di Membuat organisasi dengan IAC.

5. Ikuti langkah ketiga Memicu penggantian konfigurasi penuh firewall dalam runbook FW-G0003 untuk memproses penggantian konfigurasi firewall.