Layanan pencegahan penyusupan Cloud Next Generation Firewall terus-menerus memantau traffic workload Google Cloud Anda untuk mendeteksi aktivitas berbahaya dan mengambil tindakan pencegahan untuk mencegahnya. Aktivitas berbahaya dapat mencakup ancaman seperti penyusupan, malware, spyware, dan serangan perintah dan kontrol di jaringan Anda.
Layanan pencegahan penyusupan NGFW Cloud berfungsi dengan membuat endpoint firewall zona yang dikelola Google yang menggunakan teknologi intersepsi paket untuk memeriksa workload secara transparan untuk menemukan tanda tangan ancaman yang dikonfigurasi dan melindunginya dari ancaman. Kemampuan pencegahan ancaman ini didukung oleh teknologi pencegahan ancaman Palo Alto Networks.
Cloud NGFW mendukung kategori tanda tangan ancaman berikut:
- Anti-spyware
- Perlindungan terhadap kerentanan
- Antivirus (hanya pemberitahuan)
Untuk mengetahui informasi selengkapnya tentang kategori ancaman, lihat Signature ancaman default.
Layanan pencegahan penyusupan ditawarkan sebagai bagian dari kemampuan Cloud Next Generation Firewall Enterprise. Untuk mengetahui informasi selengkapnya, lihat Cloud NGFW Enterprise dan harga Cloud NGFW.
Dokumen ini memberikan ringkasan umum tentang berbagai komponen layanan pencegahan intrusi Cloud NGFW dan cara komponen ini memberikan kemampuan perlindungan lanjutan untuk workload Google Cloud Anda di jaringan Virtual Private Cloud (VPC).
Cara kerja layanan pencegahan penyusupan
Layanan pencegahan penyusupan memproses traffic dalam urutan berikut:
Aturan kebijakan firewall diterapkan ke traffic ke dan dari instance virtual machine (VM) atau cluster Google Kubernetes Engine (GKE), di jaringan.
Traffic yang cocok akan dicegat, dan paket dikirim ke endpoint firewall untuk inspeksi Lapisan 7.
Endpoint firewall memindai paket untuk menemukan tanda tangan ancaman yang dikonfigurasi.
Jika ancaman terdeteksi, tindakan yang dikonfigurasi dalam profil keamanan akan dilakukan pada paket tersebut.
Gambar 1 menjelaskan model deployment sederhana layanan pencegahan intrusi.
Bagian lainnya menjelaskan komponen dan konfigurasi yang diperlukan untuk menyiapkan layanan pencegahan intrusi.
Profil keamanan dan grup profil keamanan
Cloud NGFW mereferensikan profil keamanan dan grup profil keamanan untuk menerapkan deep packet inspection untuk layanan pencegahan ancaman.
Profil keamanan adalah struktur kebijakan generik yang digunakan dalam layanan pencegahan intrusi untuk mengganti skenario pencegahan ancaman tertentu. Untuk mengonfigurasi layanan pencegahan penyusupan, Anda menentukan profil keamanan jenis
threat-prevention. Untuk mempelajari profil keamanan lebih lanjut, lihat Ringkasan profil keamanan.Grup profil keamanan berisi profil keamanan jenis
threat prevention. Untuk mengonfigurasi layanan pencegahan intrusi, aturan kebijakan firewall mereferensikan grup profil keamanan ini untuk mengaktifkan deteksi dan pencegahan ancaman untuk traffic jaringan. Untuk mempelajari grup profil keamanan lebih lanjut, lihat Ringkasan grup profil keamanan.
Endpoint firewall
Endpoint firewall adalah resource tingkat organisasi yang dibuat di zona tertentu yang dapat memeriksa traffic di zona yang sama.
Untuk layanan pencegahan intrusi, endpoint firewall memindai
traffic yang dicegat untuk menemukan ancaman. Jika ancaman terdeteksi, tindakan
yang terkait dengan ancaman akan dilakukan pada paket tersebut. Tindakan ini dapat berupa
tindakan default, atau tindakan (jika dikonfigurasi) di profil keamanan threat-prevention.
Untuk mempelajari endpoint firewall dan cara mengonfigurasinya lebih lanjut, lihat Ringkasan endpoint firewall.
Kebijakan firewall
Kebijakan firewall berlaku langsung untuk semua traffic yang masuk dan keluar dari VM. Anda dapat menggunakan kebijakan firewall hierarkis dan kebijakan firewall jaringan global untuk mengonfigurasi aturan kebijakan firewall dengan pemeriksaan Lapisan 7.
Aturan kebijakan firewall
Aturan kebijakan firewall memungkinkan Anda mengontrol jenis traffic yang akan dicegat dan diperiksa. Untuk mengonfigurasi layanan pencegah penetrasi, buat aturan kebijakan firewall untuk melakukan hal berikut:
Identifikasi jenis traffic yang akan diperiksa menggunakan beberapa komponen aturan kebijakan firewall Lapisan 3 dan Lapisan 4.
Untuk traffic yang cocok, tentukan nama grup profil keamanan untuk tindakan
apply_security_profile_group.
Untuk mengetahui alur kerja layanan pencegahan penyusupan lengkap, lihat Mengonfigurasi layanan pencegahan penyusupan.
Anda juga dapat menggunakan tag aman dalam aturan firewall untuk mengonfigurasi layanan pencegahan penyusupan. Anda dapat membuat segmen apa pun yang telah disiapkan dengan menggunakan tag di jaringan, dan meningkatkan logika pemeriksaan traffic untuk menyertakan layanan pencegahan ancaman.
Memeriksa traffic terenkripsi
Cloud NGFW mendukung intersepsi dan dekripsi Transport Layer Security (TLS) untuk memeriksa ancaman pada traffic terenkripsi yang dipilih. TLS memungkinkan Anda memeriksa koneksi masuk dan keluar, termasuk traffic ke dan dari internet serta traffic dalam Google Cloud.
Untuk mempelajari pemeriksaan TLS di Cloud NGFW lebih lanjut, lihat Ringkasan pemeriksaan TLS.
Untuk mempelajari cara mengaktifkan pemeriksaan TLS di Cloud NGFW, lihat Menyiapkan pemeriksaan TLS.
Tanda tangan ancaman
Kemampuan deteksi dan pencegahan ancaman Cloud NGFW didukung oleh teknologi pencegahan ancaman Palo Alto Networks. Cloud NGFW mendukung kumpulan tanda tangan ancaman default dengan tingkat keparahan yang telah ditentukan untuk membantu melindungi jaringan Anda. Anda juga dapat mengganti tindakan default yang terkait dengan tanda tangan ancaman ini menggunakan profil keamanan.
Untuk mempelajari tanda tangan ancaman lebih lanjut, lihat Ringkasan tanda tangan ancaman.
Untuk melihat ancaman yang terdeteksi di jaringan Anda, lihat Melihat ancaman.
Batasan
Cloud NGFW tidak mendukung unit transmisi maksimum (MTU) frame jumbo.
Endpoint firewall mengabaikan header X-Forwarded-For (XFF). Oleh karena itu, header ini tidak disertakan dalam Logging Aturan Firewall.