Mengonfigurasi layanan pencegahan penyusupan

Untuk mengaktifkan layanan pencegahan intrusi di jaringan, Anda harus menyiapkan beberapa komponen Cloud Next Generation Firewall. Dokumen ini memberikan alur kerja tingkat tinggi yang menjelaskan cara mengonfigurasi komponen ini dan mengaktifkan deteksi dan pencegahan ancaman.

Mengonfigurasi layanan pencegahan penyusupan tanpa pemeriksaan TLS

Untuk mengonfigurasi layanan pencegahan penyusupan di jaringan Anda, lakukan tugas berikut.

  1. Buat profil keamanan jenis Threat prevention. Siapkan penggantian ancaman atau keparahan sesuai dengan yang diperlukan oleh jaringan Anda. Anda dapat membuat satu atau beberapa profil. Untuk mempelajari cara membuat profil keamanan, lihat Membuat profil keamanan.

  2. Buat grup profil keamanan dengan profil keamanan yang dibuat di langkah sebelumnya. Untuk mempelajari cara membuat grup profil keamanan, lihat Membuat grup profil keamanan.

  3. Buat endpoint firewall di zona yang sama dengan workload tempat Anda ingin mengaktifkan pencegahan ancaman. Untuk mempelajari cara membuat endpoint firewall, lihat Membuat endpoint firewall.

  4. Kaitkan endpoint firewall dengan satu atau beberapa jaringan VPC tempat Anda ingin mengaktifkan deteksi dan pencegahan ancaman. Pastikan Anda menjalankan beban kerja di zona yang sama dengan endpoint firewall. Untuk mempelajari cara mengaitkan endpoint firewall dengan jaringan VPC, lihat Membuat pengaitan endpoint firewall.

  5. Anda dapat menggunakan kebijakan firewall jaringan global atau kebijakan firewall hierarkis untuk mengonfigurasi layanan pencegahan intrusi.

    • Dalam kebijakan firewall global baru atau yang sudah ada, tambahkan aturan kebijakan firewall dengan pemeriksaan Lapisan 7 diaktifkan (tindakan apply_security_profile_group) dan tentukan nama grup profil keamanan yang Anda buat pada langkah sebelumnya. Pastikan kebijakan firewall dikaitkan dengan jaringan VPC yang sama dengan workload yang memerlukan pemeriksaan. Untuk mempelajari kebijakan firewall jaringan global dan parameter yang diperlukan untuk membuat aturan kebijakan firewall dengan pencegahan ancaman diaktifkan lebih lanjut, lihat Membuat kebijakan firewall jaringan global dan Membuat aturan kebijakan firewall jaringan global.

    • Anda juga dapat menggunakan kebijakan firewall hierarkis untuk menambahkan aturan kebijakan firewall dengan grup profil keamanan yang dikonfigurasi. Untuk mempelajari lebih lanjut parameter yang diperlukan untuk membuat aturan kebijakan firewall hierarkis dengan pencegahan ancaman yang diaktifkan, lihat Membuat aturan firewall.

Mengonfigurasi layanan pencegahan penyusupan dengan pemeriksaan TLS

Untuk mengonfigurasi layanan pencegahan intrusi dengan pemeriksaan Transport Layer Security (TLS) di jaringan Anda, lakukan tugas berikut.

  1. Buat profil keamanan jenis Threat prevention. Siapkan penggantian ancaman atau keparahan sesuai dengan yang diperlukan oleh jaringan Anda. Anda dapat membuat satu atau beberapa profil. Untuk mempelajari cara membuat profil keamanan, lihat Membuat profil keamanan.

  2. Buat grup profil keamanan dengan profil keamanan yang dibuat di langkah sebelumnya. Untuk mempelajari cara membuat grup profil keamanan, lihat Membuat grup profil keamanan.

  3. Buat kumpulan CA dan konfigurasi kepercayaan, lalu tambahkan ke kebijakan pemeriksaan TLS Anda. Untuk mempelajari cara mengaktifkan pemeriksaan TLS di Cloud NGFW, lihat Menyiapkan pemeriksaan TLS.

  4. Buat endpoint firewall di zona yang sama dengan workload tempat Anda ingin mengaktifkan pencegahan ancaman. Untuk mempelajari cara membuat endpoint firewall, lihat Membuat endpoint firewall.

  5. Kaitkan endpoint firewall dengan satu atau beberapa jaringan VPC tempat Anda ingin mengaktifkan deteksi dan pencegahan ancaman. Tambahkan kebijakan pemeriksaan TLS yang Anda buat di langkah sebelumnya ke pengaitan endpoint firewall. Pastikan Anda menjalankan workload di zona yang sama dengan endpoint firewall.

    Untuk mempelajari cara mengaitkan endpoint firewall dengan jaringan VPC dan mengaktifkan pemeriksaan TLS, lihat Membuat pengaitan endpoint firewall.

  6. Anda dapat menggunakan kebijakan firewall jaringan global atau kebijakan firewall hierarkis untuk mengonfigurasi layanan pencegahan intrusi.

    • Dalam kebijakan firewall global baru atau yang sudah ada, tambahkan aturan kebijakan firewall dengan pemeriksaan Lapisan 7 diaktifkan (tindakan apply_security_profile_group) dan tentukan nama grup profil keamanan yang Anda buat pada langkah sebelumnya. Untuk mengaktifkan pemeriksaan TLS, tentukan tanda --tls-inspect. Pastikan kebijakan firewall dikaitkan dengan jaringan VPC yang sama dengan workload yang memerlukan pemeriksaan. Untuk mempelajari kebijakan firewall jaringan global dan parameter yang diperlukan untuk membuat aturan kebijakan firewall dengan pencegahan ancaman diaktifkan lebih lanjut, lihat Membuat kebijakan firewall jaringan global dan Membuat aturan kebijakan firewall jaringan global.

    • Anda juga dapat menggunakan kebijakan firewall hierarkis untuk menambahkan aturan kebijakan firewall dengan grup profil keamanan yang dikonfigurasi. Untuk mempelajari lebih lanjut parameter yang diperlukan untuk membuat aturan kebijakan firewall hierarkis dengan pencegahan ancaman yang diaktifkan, lihat Membuat aturan firewall.

Contoh model deployment

Gambar 1 menunjukkan contoh deployment dengan layanan pencegahan intrusi yang dikonfigurasi untuk dua jaringan VPC di region yang sama, tetapi dua zona yang berbeda.

Men-deploy layanan pencegahan penyusupan di suatu region.
Gambar 1. Men-deploy layanan pencegahan penyusupan di suatu region (klik untuk memperbesar).

Contoh deployment memiliki konfigurasi pencegahan ancaman berikut:

  1. Dua grup profil keamanan:

    1. Security profile group 1 dengan profil keamanan Security profile 1.

    2. Security profile group 2 dengan profil keamanan Security profile 2.

  2. VPC Pelanggan 1 (VPC 1) memiliki kebijakan firewall dengan grup profil keamanan ditetapkan ke Security profile group 1.

  3. VPC Pelanggan 2 (VPC 2) memiliki kebijakan firewall dengan grup profil keamanan ditetapkan ke Security profile group 2.

  4. Endpoint firewall Firewall endpoint 1 melakukan deteksi dan pencegahan ancaman untuk workload yang berjalan di VPC 1danVPC 2 di zona us-west1-a.

  5. Endpoint firewall Firewall endpoint 2 melakukan deteksi dan pencegahan ancaman dengan pemeriksaan TLS yang diaktifkan untuk workload yang berjalan di VPC 1 dan VPC 2 di zona us-west1-b.

Langkah selanjutnya