Untuk mengaktifkan layanan pencegahan intrusi di jaringan, Anda harus menyiapkan beberapa komponen Firewall Cloud Next Generation. Dokumen ini memberikan alur kerja tingkat tinggi yang menjelaskan cara mengonfigurasi komponen ini serta mengaktifkan deteksi dan pencegahan ancaman.
Mengonfigurasi layanan pencegahan penyusupan tanpa pemeriksaan TLS
Untuk mengonfigurasi layanan pencegahan intrusi di jaringan Anda, lakukan tugas berikut.
Buat profil keamanan jenis
Threat prevention
. Siapkan penggantian ancaman atau keparahan yang diperlukan oleh jaringan Anda. Anda dapat membuat satu atau beberapa profil. Untuk mempelajari cara membuat profil keamanan, lihat Membuat profil keamanan.Buat grup profil keamanan dengan profil keamanan yang dibuat pada langkah sebelumnya. Untuk mempelajari cara membuat grup profil keamanan, lihat Membuat grup profil keamanan.
Buat endpoint firewall di zona yang sama dengan beban kerja tempat Anda ingin mengaktifkan pencegahan ancaman. Untuk mempelajari cara membuat endpoint firewall, lihat Membuat endpoint firewall.
Kaitkan endpoint firewall dengan satu atau beberapa jaringan VPC tempat Anda ingin mengaktifkan deteksi dan pencegahan ancaman. Pastikan Anda menjalankan beban kerja di zona yang sama dengan endpoint firewall. Untuk mempelajari cara mengaitkan endpoint firewall dengan jaringan VPC, lihat Membuat asosiasi endpoint firewall.
Anda dapat menggunakan kebijakan firewall jaringan global atau kebijakan firewall hierarkis untuk mengonfigurasi layanan pencegahan intrusi.
Dalam kebijakan firewall global yang baru atau yang sudah ada, tambahkan aturan kebijakan firewall dengan pemeriksaan Lapisan 7 diaktifkan (tindakan
apply_security_profile_group
) dan tentukan nama grup profil keamanan yang Anda buat di langkah sebelumnya. Pastikan kebijakan firewall sudah dikaitkan dengan jaringan VPC yang sama dengan workload yang memerlukan pemeriksaan. Untuk mempelajari lebih lanjut parameter yang diperlukan untuk membuat aturan kebijakan firewall dengan pencegahan ancaman diaktifkan, lihat Membuat aturan kebijakan firewall jaringan global.Anda juga dapat menggunakan kebijakan firewall hierarkis untuk menambahkan aturan kebijakan firewall dengan grup profil keamanan yang telah dikonfigurasi. Untuk mempelajari lebih lanjut parameter yang diperlukan untuk membuat aturan kebijakan firewall hierarkis dengan pencegahan ancaman diaktifkan, baca artikel Membuat aturan firewall.
Mengonfigurasi layanan pencegahan penyusupan dengan pemeriksaan TLS
Untuk mengonfigurasi layanan pencegahan intrusi dengan pemeriksaan Transport Layer Security (TLS) di jaringan Anda, lakukan tugas berikut.
Buat profil keamanan jenis
Threat prevention
. Siapkan penggantian ancaman atau keparahan yang diperlukan oleh jaringan Anda. Anda dapat membuat satu atau beberapa profil. Untuk mempelajari cara membuat profil keamanan, lihat Membuat profil keamanan.Buat grup profil keamanan dengan profil keamanan yang dibuat pada langkah sebelumnya. Untuk mempelajari cara membuat grup profil keamanan, lihat Membuat grup profil keamanan.
Buat kumpulan CA dan konfigurasi kepercayaan, lalu tambahkan ke kebijakan pemeriksaan TLS Anda. Untuk mempelajari cara mengaktifkan inspeksi TLS di Cloud NGFW, lihat Menyiapkan inspeksi TLS.
Buat endpoint firewall di zona yang sama dengan beban kerja tempat Anda ingin mengaktifkan pencegahan ancaman. Untuk mempelajari cara membuat endpoint firewall, lihat Membuat endpoint firewall.
Kaitkan endpoint firewall dengan satu atau beberapa jaringan VPC tempat Anda ingin mengaktifkan deteksi dan pencegahan ancaman. Tambahkan kebijakan pemeriksaan TLS yang Anda buat di langkah sebelumnya ke pengaitan endpoint firewall. Pastikan Anda menjalankan beban kerja di zona yang sama dengan endpoint firewall.
Untuk mempelajari cara mengaitkan endpoint firewall dengan jaringan VPC dan mengaktifkan pemeriksaan TLS, lihat Membuat asosiasi endpoint firewall.
Anda dapat menggunakan kebijakan firewall jaringan global atau kebijakan firewall hierarkis untuk mengonfigurasi layanan pencegahan intrusi.
Dalam kebijakan firewall global yang baru atau yang sudah ada, tambahkan aturan kebijakan firewall dengan pemeriksaan Lapisan 7 diaktifkan (tindakan
apply_security_profile_group
) dan tentukan nama grup profil keamanan yang Anda buat di langkah sebelumnya. Untuk mengaktifkan pemeriksaan TLS, tentukan flag--tls-inspect
. Pastikan kebijakan firewall sudah dikaitkan dengan jaringan VPC yang sama dengan workload yang memerlukan pemeriksaan. Untuk mempelajari lebih lanjut parameter yang diperlukan untuk membuat aturan kebijakan firewall dengan pencegahan ancaman diaktifkan, lihat Membuat aturan kebijakan firewall jaringan global.Anda juga dapat menggunakan kebijakan firewall hierarkis untuk menambahkan aturan kebijakan firewall dengan grup profil keamanan yang telah dikonfigurasi. Untuk mempelajari lebih lanjut parameter yang diperlukan untuk membuat aturan kebijakan firewall hierarkis dengan pencegahan ancaman diaktifkan, baca artikel Membuat aturan firewall.
Contoh model deployment
Gambar 1 menunjukkan contoh deployment dengan layanan pencegahan penyusupan yang dikonfigurasi untuk dua jaringan VPC di region yang sama tetapi di dua zona yang berbeda.
Contoh deployment memiliki konfigurasi pencegahan ancaman berikut:
Dua grup profil keamanan:
Security profile group 1
dengan profil keamananSecurity profile 1
.Security profile group 2
dengan profil keamananSecurity profile 2
.
VPC Pelanggan 1 (
VPC 1
) memiliki kebijakan firewall dengan grup profil keamanan yang ditetapkan keSecurity profile group 1
.VPC Pelanggan 2 (
VPC 2
) memiliki kebijakan firewall dengan grup profil keamanan yang ditetapkan keSecurity profile group 2
.Endpoint firewall
Firewall endpoint 1
melakukan deteksi dan pencegahan ancaman untuk workload yang berjalan diVPC 1
danVPC 2
di zonaus-west1-a
.Endpoint firewall
Firewall endpoint 2
melakukan deteksi dan pencegahan ancaman dengan pemeriksaan TLS yang diaktifkan untuk workload yang berjalan padaVPC 1
danVPC 2
di zonaus-west1-b
.