Ringkasan layanan pemfilteran URL

Layanan pemfilteran URL untuk Firewall Generasi Berikutnya Cloud memungkinkan Anda mengontrol akses ke situs dan halaman web dengan memblokir atau mengizinkan URL-nya. Layanan ini memungkinkan Anda memfilter traffic beban kerja menggunakan informasi domain dan Server Name Indication (SNI) yang tersedia dalam pesan HTTP(S) keluar.

Karena layanan pemfilteran URL memeriksa header pesan HTTP, Anda dapat menggunakan layanan ini untuk memblokir akses ke domain tertentu meskipun server tujuan menghosting situs tepercaya yang tidak ingin Anda blokir atau saat pembatasan akses berbasis DNS tidak efektif. Anda dapat menggunakan layanan pemfilteran URL bersama dengan layanan deteksi dan pencegahan penyusupan untuk menolak traffic ke URL berbahaya, mencegah akses ke server perintah dan kontrol (C2) berbahaya, dan mendeteksi malware dalam file yang dapat dieksekusi.

Layanan pemfilteran URL Cloud NGFW berfungsi dengan membuat endpoint firewall zonal yang dikelola Google yang menggunakan teknologi pencegatan paket untuk mengalihkan dan memeriksa kecocokan traffic dengan daftar nama domain dan SNI yang dikonfigurasi. Google Cloud

Penyadapan paket adalah kemampuan yang secara transparan menyisipkan peralatan jaringan di jalur traffic jaringan yang dipilih tanpa mengubah kebijakan pemilihan rute yang ada. Google Cloud

Manfaat menggunakan layanan pemfilteran URL

Layanan pemfilteran URL membantu Anda mengurangi pemeliharaan yang diperlukan yang disebabkan oleh alamat IP yang sering berubah, oleh perubahan DNS, dan oleh perubahan firewall berbasis alamat IP lainnya yang memakan waktu. Layanan ini memungkinkan Anda mendapatkan kontrol yang akurat atas URL jarak jauh yang dapat Anda akses. Dengan nama host, Anda dapat memperoleh kontrol yang lebih baik daripada yang dapat dilakukan dengan alamat IP, yang dapat menghosting beberapa layanan dan domain.

Pemeriksaan TLS

Layanan pemfilteran URL dapat memproses traffic terenkripsi dan tidak terenkripsi. Untuk traffic terenkripsi, Anda dapat mengonfigurasi pemeriksaan TLS agar layanan pemfilteran URL dapat mendekripsi header pesan dan memeriksa nama domain di header host pesan.

Layanan pemfilteran URL kemudian dapat menggunakan detail domain bersama dengan SNI plaintext yang dikirim selama negosiasi TLS untuk menemukan kecocokan dengan URL yang dikonfigurasi yang ditentukan oleh profil keamanan terkait.

Tanpa pemeriksaan TLS, layanan pemfilteran URL masih dapat memproses traffic HTTP(S) terenkripsi, tetapi layanan pemfilteran URL hanya mengandalkan SNI dari clientHello selama negosiasi TLS untuk pencocokan URL. Untuk traffic HTTP yang tidak terenkripsi, layanan pemfilteran URL menggunakan header host HTTP untuk pemfilteran URL, terlepas dari apakah Anda telah mengaktifkan pemeriksaan TLS atau tidak.

Cloud NGFW hanya mendukung intersepsi dan dekripsi TLS untuk mengakses informasi domain di header host traffic terenkripsi yang dipilih.

Layanan pemfilteran URL memeriksa koneksi masuk dan keluar, termasuk traffic ke dan dari internet serta traffic dalam Google Cloud.

Untuk mempelajari lebih lanjut pemeriksaan TLS di Cloud NGFW, lihat Ringkasan pemeriksaan TLS.

Untuk mempelajari cara mengaktifkan pemeriksaan TLS di Cloud NGFW, lihat Menyiapkan pemeriksaan TLS.

Model deployment layanan pemfilteran URL

Diagram berikut menunjukkan contoh deployment layanan pemfilteran URL dengan endpoint firewall, yang dikonfigurasi untuk jaringan Virtual Private Cloud (VPC) di dua zona berbeda dalam satu region.

Contoh model deployment layanan pemfilteran URL.
Contoh model deployment layanan pemfilteran URL (klik untuk memperbesar).

Komponen layanan pemfilteran URL

Layanan pemfilteran URL memerlukan tiga entitas utama yang harus Anda konfigurasi. Profil keamanan pemfilteran URL dan grup profil keamanan terkait, endpoint firewall untuk menerima traffic, dan kebijakan firewall yang dilampirkan ke endpoint.

Profil keamanan dan grup profil keamanan

Cloud NGFW menggunakan profil keamanan dan grup profil keamanan untuk menerapkan layanan pemfilteran URL.

  • Profil keamanan pemfilteran URL adalah struktur kebijakan generik berjenis url-filtering yang mencakup filter URL dengan string pencocokan. Layanan pemfilteran URL menggunakan string ini untuk mencocokkan nama domain dan SNI pesan HTTP(S). Setiap filter URL berisi daftar string pencocok, prioritas unik, dan tindakan.

    Untuk mempelajari lebih lanjut profil keamanan pemfilteran URL, lihat Profil keamanan pemfilteran URL.

  • Grup profil keamanan berfungsi sebagai penampung untuk profil keamanan. Setiap grup berisi satu atau beberapa profil keamanan dari berbagai jenis. Misalnya, grup profil keamanan dapat berisi profil keamanan yang termasuk dalam jenis url-filtering dan threat-prevention. Aturan kebijakan firewall mereferensikan grup profil keamanan untuk mengaktifkan layanan pemfilteran URL atau layanan deteksi dan pencegahan intrusi, atau keduanya, untuk traffic jaringan.

    Untuk mempelajari grup profil keamanan lebih lanjut, lihat Ringkasan grup profil keamanan.

Endpoint firewall

Endpoint firewall adalah resource organisasi, yang dibuat di tingkat zonal yang dapat memeriksa traffic Layer 7 di zona yang sama dengan tempat endpoint tersebut di-deploy. Endpoint dikaitkan dengan satu atau beberapa VPC di zona yang sama. Untuk memfilter traffic untuk instance mesin virtual (VM) target, buat endpoint firewall di zona yang sama dengan VPC tempat VM target berada.

Untuk layanan pemfilteran URL, endpoint firewall mencocokkan domain dari header host pesan, atau SNI yang diperoleh selama negosiasi TLS untuk traffic terenkripsi tanpa pemeriksaan TLS, dengan filter URL di profil keamanan pemfilteran URL. Jika endpoint mendeteksi kecocokan, endpoint akan melakukan tindakan yang terkait dengan filter URL pada koneksi. Tindakan ini dapat berupa tindakan default atau tindakan yang dikonfigurasi dalam profil keamanan pemfilteran URL.

Untuk mempelajari lebih lanjut endpoint firewall dan cara mengonfigurasinya, lihat Ringkasan endpoint firewall.

Kebijakan firewall

Kebijakan firewall diterapkan langsung ke semua traffic masuk dan keluar VM. Anda dapat menggunakan kebijakan firewall hierarkis dan kebijakan firewall jaringan global untuk mengonfigurasi aturan kebijakan firewall dengan inspeksi Lapisan 7.

Aturan kebijakan firewall

Aturan kebijakan firewall memungkinkan Anda mengontrol jenis traffic yang dicegat dan diperiksa. Untuk mengonfigurasi layanan pemfilteran URL, buat aturan kebijakan firewall yang melakukan hal berikut:

  • Mengidentifikasi jenis traffic yang akan diperiksa dengan menggunakan beberapa komponen aturan kebijakan firewall Layer 3 dan Layer 4.
  • Menentukan nama grup profil keamanan untuk tindakan apply_security_profile_group pada traffic yang cocok.

Untuk alur kerja layanan pemfilteran URL yang lengkap, lihat Mengonfigurasi layanan pemfilteran URL.

Anda juga dapat menggunakan tag aman dalam aturan firewall untuk mengonfigurasi layanan pemfilteran URL. Anda dapat membangun segmentasi yang telah disiapkan dengan menggunakan tag di jaringan, dan meningkatkan logika pemeriksaan traffic untuk menyertakan layanan pemfilteran URL.

Cara kerja layanan pemfilteran URL

Layanan pemfilteran URL memproses traffic HTTP(S) dalam urutan berikut:

  1. Layanan pemfilteran URL menerapkan aturan kebijakan firewall ke traffic ke dan dari instance VM atau cluster Google Kubernetes Engine (GKE) di jaringan.

  2. Layanan pemfilteran URL mencegat dan mengirimkan traffic yang cocok ke endpoint firewall untuk pemeriksaan Layer 7.

  3. Untuk traffic terenkripsi yang pemeriksaan TLS-nya diaktifkan, layanan pemfilteran URL mendekripsi header pesan dan menggunakan domain yang ditentukan di header host bersama dengan SNI yang dikirim selama negosiasi TLS untuk memeriksa kecocokan dengan URL yang dikonfigurasi.

    Jika lalu lintas dienkripsi, tetapi Pemeriksaan TLS tidak diaktifkan, header pesan akan tetap dienkripsi. Sebagai gantinya, layanan pemfilteran URL menggunakan domain yang ditentukan di SNI selama negosiasi TLS.

    Untuk traffic yang tidak dienkripsi, layanan pemfilteran URL selalu menggunakan domain yang ditentukan di header host untuk memeriksa kecocokan.

  4. Jika informasi URL cocok, layanan pemfilteran URL akan melakukan tindakan yang dikonfigurasi dalam profil keamanan pada koneksi tersebut.

    Jika layanan pemfilteran URL mengizinkan traffic keluar, layanan deteksi dan pencegahan penyusupan (jika diaktifkan) dapat memindai traffic lebih lanjut untuk mendeteksi ancaman.

Batasan

  • Pemfilteran URL hanya mendukung http/1.x dan http/2. Browser ini tidak mendukung QUIC, SNI terenkripsi (ESNI), atau Encrypted Client Hello (ECH) dengan pemeriksaan TLS diaktifkan.

    Jika Anda mengaktifkan inspeksi TLS, Cloud NGFW tidak akan meneruskan traffic QUIC, ESNI, atau ECH. Namun, jika Anda menonaktifkan pemeriksaan TLS, Cloud NGFW akan meneruskan traffic tersebut tanpa akses ke informasi SNI dan domain. Dalam skenario ini, Cloud NGFW hanya mengizinkan traffic QUIC, ESNI, dan ECH jika filter URL izinkan eksplisit tersedia. Jika tidak ada filter izinkan eksplisit, filter URL tolak implisit default akan memblokir traffic QUIC, ESNI, dan ECH. Untuk mengetahui informasi selengkapnya tentang filter URL dengan izin eksplisit dan penolakan implisit, lihat Filter URL dengan penolakan implisit.

Langkah berikutnya