Mengonfigurasi layanan pencegahan penyusupan

Untuk mengaktifkan layanan pencegahan intrusi di jaringan, Anda harus menyiapkan beberapa komponen Firewall Cloud Next Generation. Dokumen ini memberikan alur kerja tingkat tinggi yang menjelaskan cara mengonfigurasi komponen ini serta mengaktifkan deteksi dan pencegahan ancaman.

Mengonfigurasi layanan pencegahan penyusupan tanpa pemeriksaan TLS

Untuk mengonfigurasi layanan pencegahan intrusi di jaringan Anda, lakukan tugas berikut.

  1. Buat profil keamanan jenis Threat prevention. Siapkan penggantian ancaman atau keparahan yang diperlukan oleh jaringan Anda. Anda dapat membuat satu atau beberapa profil. Untuk mempelajari cara membuat profil keamanan, lihat Membuat profil keamanan.

  2. Buat grup profil keamanan dengan profil keamanan yang dibuat pada langkah sebelumnya. Untuk mempelajari cara membuat grup profil keamanan, lihat Membuat grup profil keamanan.

  3. Buat endpoint firewall di zona yang sama dengan beban kerja tempat Anda ingin mengaktifkan pencegahan ancaman. Untuk mempelajari cara membuat endpoint firewall, lihat Membuat endpoint firewall.

  4. Kaitkan endpoint firewall dengan satu atau beberapa jaringan VPC tempat Anda ingin mengaktifkan deteksi dan pencegahan ancaman. Pastikan Anda menjalankan beban kerja di zona yang sama dengan endpoint firewall. Untuk mempelajari cara mengaitkan endpoint firewall dengan jaringan VPC, lihat Membuat asosiasi endpoint firewall.

  5. Anda dapat menggunakan kebijakan firewall jaringan global atau kebijakan firewall hierarkis untuk mengonfigurasi layanan pencegahan intrusi.

    • Dalam kebijakan firewall global yang baru atau yang sudah ada, tambahkan aturan kebijakan firewall dengan pemeriksaan Lapisan 7 diaktifkan (tindakan apply_security_profile_group) dan tentukan nama grup profil keamanan yang Anda buat di langkah sebelumnya. Pastikan kebijakan firewall sudah dikaitkan dengan jaringan VPC yang sama dengan workload yang memerlukan pemeriksaan. Untuk mempelajari lebih lanjut parameter yang diperlukan untuk membuat aturan kebijakan firewall dengan pencegahan ancaman diaktifkan, lihat Membuat aturan kebijakan firewall jaringan global.

    • Anda juga dapat menggunakan kebijakan firewall hierarkis untuk menambahkan aturan kebijakan firewall dengan grup profil keamanan yang telah dikonfigurasi. Untuk mempelajari lebih lanjut parameter yang diperlukan untuk membuat aturan kebijakan firewall hierarkis dengan pencegahan ancaman diaktifkan, baca artikel Membuat aturan firewall.

Mengonfigurasi layanan pencegahan penyusupan dengan pemeriksaan TLS

Untuk mengonfigurasi layanan pencegahan intrusi dengan pemeriksaan Transport Layer Security (TLS) di jaringan Anda, lakukan tugas berikut.

  1. Buat profil keamanan jenis Threat prevention. Siapkan penggantian ancaman atau keparahan yang diperlukan oleh jaringan Anda. Anda dapat membuat satu atau beberapa profil. Untuk mempelajari cara membuat profil keamanan, lihat Membuat profil keamanan.

  2. Buat grup profil keamanan dengan profil keamanan yang dibuat pada langkah sebelumnya. Untuk mempelajari cara membuat grup profil keamanan, lihat Membuat grup profil keamanan.

  3. Buat kumpulan CA dan konfigurasi kepercayaan, lalu tambahkan ke kebijakan pemeriksaan TLS Anda. Untuk mempelajari cara mengaktifkan inspeksi TLS di Cloud NGFW, lihat Menyiapkan inspeksi TLS.

  4. Buat endpoint firewall di zona yang sama dengan beban kerja tempat Anda ingin mengaktifkan pencegahan ancaman. Untuk mempelajari cara membuat endpoint firewall, lihat Membuat endpoint firewall.

  5. Kaitkan endpoint firewall dengan satu atau beberapa jaringan VPC tempat Anda ingin mengaktifkan deteksi dan pencegahan ancaman. Tambahkan kebijakan pemeriksaan TLS yang Anda buat di langkah sebelumnya ke pengaitan endpoint firewall. Pastikan Anda menjalankan beban kerja di zona yang sama dengan endpoint firewall.

    Untuk mempelajari cara mengaitkan endpoint firewall dengan jaringan VPC dan mengaktifkan pemeriksaan TLS, lihat Membuat asosiasi endpoint firewall.

  6. Anda dapat menggunakan kebijakan firewall jaringan global atau kebijakan firewall hierarkis untuk mengonfigurasi layanan pencegahan intrusi.

    • Dalam kebijakan firewall global yang baru atau yang sudah ada, tambahkan aturan kebijakan firewall dengan pemeriksaan Lapisan 7 diaktifkan (tindakan apply_security_profile_group) dan tentukan nama grup profil keamanan yang Anda buat di langkah sebelumnya. Untuk mengaktifkan pemeriksaan TLS, tentukan flag --tls-inspect. Pastikan kebijakan firewall sudah dikaitkan dengan jaringan VPC yang sama dengan workload yang memerlukan pemeriksaan. Untuk mempelajari lebih lanjut parameter yang diperlukan untuk membuat aturan kebijakan firewall dengan pencegahan ancaman diaktifkan, lihat Membuat aturan kebijakan firewall jaringan global.

    • Anda juga dapat menggunakan kebijakan firewall hierarkis untuk menambahkan aturan kebijakan firewall dengan grup profil keamanan yang telah dikonfigurasi. Untuk mempelajari lebih lanjut parameter yang diperlukan untuk membuat aturan kebijakan firewall hierarkis dengan pencegahan ancaman diaktifkan, baca artikel Membuat aturan firewall.

Contoh model deployment

Gambar 1 menunjukkan contoh deployment dengan layanan pencegahan penyusupan yang dikonfigurasi untuk dua jaringan VPC di region yang sama tetapi di dua zona yang berbeda.

Deploy layanan pencegahan intrusi di suatu region.
Gambar 1. Deploy layanan pencegahan penyusupan di suatu region (klik untuk memperbesar).

Contoh deployment memiliki konfigurasi pencegahan ancaman berikut:

  1. Dua grup profil keamanan:

    1. Security profile group 1 dengan profil keamanan Security profile 1.

    2. Security profile group 2 dengan profil keamanan Security profile 2.

  2. VPC Pelanggan 1 (VPC 1) memiliki kebijakan firewall dengan grup profil keamanan yang ditetapkan ke Security profile group 1.

  3. VPC Pelanggan 2 (VPC 2) memiliki kebijakan firewall dengan grup profil keamanan yang ditetapkan ke Security profile group 2.

  4. Endpoint firewall Firewall endpoint 1 melakukan deteksi dan pencegahan ancaman untuk workload yang berjalan di VPC 1danVPC 2 di zona us-west1-a.

  5. Endpoint firewall Firewall endpoint 2 melakukan deteksi dan pencegahan ancaman dengan pemeriksaan TLS yang diaktifkan untuk workload yang berjalan pada VPC 1 dan VPC 2 di zona us-west1-b.

Langkah selanjutnya