Untuk mengaktifkan layanan pencegahan intrusi di jaringan, Anda harus menyiapkan beberapa komponen Cloud Next Generation Firewall. Dokumen ini memberikan alur kerja tingkat tinggi yang menjelaskan cara mengonfigurasi komponen ini dan mengaktifkan deteksi dan pencegahan ancaman.
Mengonfigurasi layanan pencegahan penyusupan tanpa pemeriksaan TLS
Untuk mengonfigurasi layanan pencegahan penyusupan di jaringan Anda, lakukan tugas berikut.
Buat profil keamanan jenis
Threat prevention
. Siapkan penggantian ancaman atau keparahan sesuai dengan yang diperlukan oleh jaringan Anda. Anda dapat membuat satu atau beberapa profil. Untuk mempelajari cara membuat profil keamanan, lihat Membuat profil keamanan.Buat grup profil keamanan dengan profil keamanan yang dibuat di langkah sebelumnya. Untuk mempelajari cara membuat grup profil keamanan, lihat Membuat grup profil keamanan.
Buat endpoint firewall di zona yang sama dengan workload tempat Anda ingin mengaktifkan pencegahan ancaman. Untuk mempelajari cara membuat endpoint firewall, lihat Membuat endpoint firewall.
Kaitkan endpoint firewall dengan satu atau beberapa jaringan VPC tempat Anda ingin mengaktifkan deteksi dan pencegahan ancaman. Pastikan Anda menjalankan beban kerja di zona yang sama dengan endpoint firewall. Untuk mempelajari cara mengaitkan endpoint firewall dengan jaringan VPC, lihat Membuat pengaitan endpoint firewall.
Anda dapat menggunakan kebijakan firewall jaringan global atau kebijakan firewall hierarkis untuk mengonfigurasi layanan pencegahan intrusi.
Dalam kebijakan firewall global baru atau yang sudah ada, tambahkan aturan kebijakan firewall dengan pemeriksaan Lapisan 7 diaktifkan (tindakan
apply_security_profile_group
) dan tentukan nama grup profil keamanan yang Anda buat pada langkah sebelumnya. Pastikan kebijakan firewall dikaitkan dengan jaringan VPC yang sama dengan workload yang memerlukan pemeriksaan. Untuk mempelajari kebijakan firewall jaringan global dan parameter yang diperlukan untuk membuat aturan kebijakan firewall dengan pencegahan ancaman diaktifkan lebih lanjut, lihat Membuat kebijakan firewall jaringan global dan Membuat aturan kebijakan firewall jaringan global.Anda juga dapat menggunakan kebijakan firewall hierarkis untuk menambahkan aturan kebijakan firewall dengan grup profil keamanan yang dikonfigurasi. Untuk mempelajari lebih lanjut parameter yang diperlukan untuk membuat aturan kebijakan firewall hierarkis dengan pencegahan ancaman yang diaktifkan, lihat Membuat aturan firewall.
Mengonfigurasi layanan pencegahan penyusupan dengan pemeriksaan TLS
Untuk mengonfigurasi layanan pencegahan intrusi dengan pemeriksaan Transport Layer Security (TLS) di jaringan Anda, lakukan tugas berikut.
Buat profil keamanan jenis
Threat prevention
. Siapkan penggantian ancaman atau keparahan sesuai dengan yang diperlukan oleh jaringan Anda. Anda dapat membuat satu atau beberapa profil. Untuk mempelajari cara membuat profil keamanan, lihat Membuat profil keamanan.Buat grup profil keamanan dengan profil keamanan yang dibuat di langkah sebelumnya. Untuk mempelajari cara membuat grup profil keamanan, lihat Membuat grup profil keamanan.
Buat kumpulan CA dan konfigurasi kepercayaan, lalu tambahkan ke kebijakan pemeriksaan TLS Anda. Untuk mempelajari cara mengaktifkan pemeriksaan TLS di Cloud NGFW, lihat Menyiapkan pemeriksaan TLS.
Buat endpoint firewall di zona yang sama dengan workload tempat Anda ingin mengaktifkan pencegahan ancaman. Untuk mempelajari cara membuat endpoint firewall, lihat Membuat endpoint firewall.
Kaitkan endpoint firewall dengan satu atau beberapa jaringan VPC tempat Anda ingin mengaktifkan deteksi dan pencegahan ancaman. Tambahkan kebijakan pemeriksaan TLS yang Anda buat di langkah sebelumnya ke pengaitan endpoint firewall. Pastikan Anda menjalankan workload di zona yang sama dengan endpoint firewall.
Untuk mempelajari cara mengaitkan endpoint firewall dengan jaringan VPC dan mengaktifkan pemeriksaan TLS, lihat Membuat pengaitan endpoint firewall.
Anda dapat menggunakan kebijakan firewall jaringan global atau kebijakan firewall hierarkis untuk mengonfigurasi layanan pencegahan intrusi.
Dalam kebijakan firewall global baru atau yang sudah ada, tambahkan aturan kebijakan firewall dengan pemeriksaan Lapisan 7 diaktifkan (tindakan
apply_security_profile_group
) dan tentukan nama grup profil keamanan yang Anda buat pada langkah sebelumnya. Untuk mengaktifkan pemeriksaan TLS, tentukan tanda--tls-inspect
. Pastikan kebijakan firewall dikaitkan dengan jaringan VPC yang sama dengan workload yang memerlukan pemeriksaan. Untuk mempelajari kebijakan firewall jaringan global dan parameter yang diperlukan untuk membuat aturan kebijakan firewall dengan pencegahan ancaman diaktifkan lebih lanjut, lihat Membuat kebijakan firewall jaringan global dan Membuat aturan kebijakan firewall jaringan global.Anda juga dapat menggunakan kebijakan firewall hierarkis untuk menambahkan aturan kebijakan firewall dengan grup profil keamanan yang dikonfigurasi. Untuk mempelajari lebih lanjut parameter yang diperlukan untuk membuat aturan kebijakan firewall hierarkis dengan pencegahan ancaman yang diaktifkan, lihat Membuat aturan firewall.
Contoh model deployment
Gambar 1 menunjukkan contoh deployment dengan layanan pencegahan intrusi yang dikonfigurasi untuk dua jaringan VPC di region yang sama, tetapi dua zona yang berbeda.
Contoh deployment memiliki konfigurasi pencegahan ancaman berikut:
Dua grup profil keamanan:
Security profile group 1
dengan profil keamananSecurity profile 1
.Security profile group 2
dengan profil keamananSecurity profile 2
.
VPC Pelanggan 1 (
VPC 1
) memiliki kebijakan firewall dengan grup profil keamanan ditetapkan keSecurity profile group 1
.VPC Pelanggan 2 (
VPC 2
) memiliki kebijakan firewall dengan grup profil keamanan ditetapkan keSecurity profile group 2
.Endpoint firewall
Firewall endpoint 1
melakukan deteksi dan pencegahan ancaman untuk workload yang berjalan diVPC 1
danVPC 2
di zonaus-west1-a
.Endpoint firewall
Firewall endpoint 2
melakukan deteksi dan pencegahan ancaman dengan pemeriksaan TLS yang diaktifkan untuk workload yang berjalan diVPC 1
danVPC 2
di zonaus-west1-b
.