Mengonfigurasi layanan pemfilteran URL

Layanan pemfilteran URL memungkinkan Anda mengontrol akses ke domain web tertentu dengan memblokir atau mengizinkannya. Untuk mengaktifkan layanan pemfilteran URL di jaringan Anda, Anda harus menyiapkan beberapa komponen Cloud Next Generation Firewall, termasuk endpoint firewall, profil keamanan, dan grup profil keamanan. Dokumen ini memberikan alur kerja tingkat tinggi yang menjelaskan cara mengonfigurasi komponen ini dan mengaktifkan layanan pemfilteran URL.

Untuk mempelajari lebih lanjut layanan pemfilteran URL, lihat Ringkasan layanan pemfilteran URL.

Mengonfigurasi layanan pemfilteran URL tanpa pemeriksaan TLS

Untuk mengonfigurasi layanan pemfilteran URL di jaringan Anda, lakukan tugas berikut.

  1. Buat profil keamanan untuk pemfilteran URL.

    Untuk mengizinkan atau menolak akses ke domain tertentu, buat profil keamanan berjenis url-filtering dan gunakan daftar URL untuk menentukan string pencocokan Anda.

    Untuk mengetahui informasi selengkapnya, lihat Membuat profil keamanan pemfilteran URL.

  2. Secara opsional, Anda dapat membuat profil keamanan untuk memindai traffic dari ancaman.

    Untuk memindai traffic guna mendeteksi ancaman keamanan, buat profil keamanan lain dengan jenis threat-prevention. Tinjau daftar tanda tangan ancaman, evaluasi respons default, dan sesuaikan tindakan untuk tanda tangan yang dipilih sesuai dengan kebutuhan Anda.

    Untuk mengetahui informasi selengkapnya, lihat Membuat profil keamanan pencegahan ancaman. Untuk mempelajari lebih lanjut layanan deteksi dan pencegahan penyusupan, lihat Ringkasan layanan deteksi dan pencegahan penyusupan.

  3. Buat grup profil keamanan.

    Grup profil keamanan berfungsi sebagai penampung untuk profil keamanan. Buat grup profil keamanan untuk menyertakan profil keamanan yang Anda buat di langkah-langkah sebelumnya.

    Untuk mengetahui informasi selengkapnya, lihat Membuat grup profil keamanan.

  4. Buat endpoint firewall.

    Endpoint firewall adalah resource zonal yang harus Anda buat di zona yang sama dengan beban kerja yang ingin Anda lindungi dengan layanan pemfilteran URL.

    Untuk mengetahui informasi selengkapnya, lihat Membuat endpoint firewall.

  5. Kaitkan endpoint firewall dengan jaringan VPC Anda.

    Untuk mengaktifkan layanan pemfilteran URL, kaitkan endpoint firewall dengan jaringan VPC Anda. Pastikan Anda menjalankan workload di zona yang sama dengan endpoint firewall.

    Untuk mengetahui informasi selengkapnya, lihat Membuat asosiasi endpoint firewall.

  6. Konfigurasi dan terapkan layanan pemfilteran URL ke traffic jaringan Anda.

    Untuk mengonfigurasi layanan pemfilteran URL, buat kebijakan firewall jaringan global atau kebijakan firewall hierarkis dengan inspeksi Layer 7.

    • Jika Anda membuat kebijakan firewall global baru atau menggunakan kebijakan yang sudah ada, tambahkan aturan kebijakan firewall dengan tindakan apply_security_profile_group dan tentukan nama grup profil keamanan yang Anda buat sebelumnya. Pastikan kebijakan firewall dikaitkan dengan jaringan VPC yang sama dengan workload yang memerlukan pemeriksaan.

      Untuk mengetahui informasi selengkapnya, lihat Membuat kebijakan firewall jaringan global dan Membuat aturan firewall jaringan global.

    • Jika Anda membuat kebijakan firewall hierarkis baru atau menggunakan kebijakan yang sudah ada, tambahkan aturan kebijakan firewall dengan tindakan apply_security_profile_group. Pastikan kebijakan firewall dikaitkan dengan jaringan VPC yang sama dengan workload yang memerlukan pemeriksaan.

      Untuk mengetahui informasi selengkapnya, lihat Membuat aturan firewall.

Mengonfigurasi layanan pemfilteran URL dengan pemeriksaan TLS

Untuk mengonfigurasi layanan pemfilteran URL dengan pemeriksaan Transport Layer Security (TLS) di jaringan Anda, lakukan tugas berikut.

  1. Buat profil keamanan untuk pemfilteran URL.

    Untuk mengizinkan atau menolak akses ke domain tertentu, buat profil keamanan berjenis url-filtering dan gunakan daftar URL untuk menentukan string pencocokan Anda.

    Untuk mengetahui informasi selengkapnya, lihat Membuat profil keamanan pemfilteran URL.

  2. Secara opsional, Anda dapat membuat profil keamanan untuk memindai traffic dari ancaman.

    Untuk memindai traffic guna mengetahui ancaman keamanan, buat profil keamanan lain dengan jenis threat-prevention. Tinjau daftar tanda tangan ancaman, evaluasi respons default, dan sesuaikan tindakan untuk tanda tangan yang dipilih sesuai dengan kebutuhan Anda.

    Untuk mengetahui informasi selengkapnya, lihat Membuat profil keamanan pencegahan ancaman. Untuk mempelajari lebih lanjut layanan deteksi dan pencegahan penyusupan, lihat Ringkasan layanan deteksi dan pencegahan penyusupan.

  3. Buat grup profil keamanan.

    Grup profil keamanan berfungsi sebagai penampung untuk profil keamanan. Buat grup profil keamanan untuk menyertakan profil keamanan yang Anda buat di langkah-langkah sebelumnya.

    Untuk mengetahui informasi selengkapnya, lihat Membuat grup profil keamanan.

  4. Buat endpoint firewall.

    Endpoint firewall adalah resource zonal yang harus Anda buat di zona yang sama dengan beban kerja yang ingin Anda lindungi dengan layanan pemfilteran URL.

    Untuk mengetahui informasi selengkapnya, lihat Membuat endpoint firewall.

  5. Buat dan konfigurasi resource untuk memeriksa traffic terenkripsi.

    1. Buat kumpulan certificate authority (CA).

      Kumpulan CA adalah kumpulan CA dengan kebijakan penerbitan sertifikat umum dan kebijakan Identity and Access Management (IAM). Kumpulan CA regional harus ada sebelum Anda dapat mengonfigurasi pemeriksaan TLS.

      Untuk mengetahui informasi selengkapnya, lihat Membuat kumpulan CA.

    2. Buat CA root.

      Untuk menggunakan pemeriksaan TLS, Anda harus memiliki setidaknya satu CA root. CA root menandatangani CA perantara, yang kemudian menandatangani semua sertifikat leaf untuk klien. Untuk mengetahui informasi selengkapnya, lihat dokumentasi referensi untuk perintah gcloud privateca roots create.

    3. Berikan izin yang diperlukan kepada Agen Layanan Keamanan Jaringan (P4SA).

      Cloud NGFW memerlukan P4SA untuk membuat CA perantara bagi pemeriksaan TLS. Agen layanan memerlukan izin yang diperlukan untuk meminta sertifikat untuk kumpulan CA.

      Untuk mengetahui informasi selengkapnya, lihat Membuat akun layanan.

  6. Buat kebijakan pemeriksaan TLS regional.

    Kebijakan pemeriksaan TLS menentukan cara mencegat traffic terenkripsi. Kebijakan pemeriksaan TLS regional dapat menyimpan konfigurasi untuk pemeriksaan TLS.

    Untuk mengetahui informasi selengkapnya, lihat Membuat kebijakan pemeriksaan TLS.

  7. Kaitkan endpoint firewall dengan jaringan VPC Anda.

    Untuk mengaktifkan layanan pemfilteran URL, kaitkan endpoint firewall dengan jaringan VPC Anda. Pastikan Anda menjalankan workload di zona yang sama dengan endpoint firewall.

    Selain itu, kaitkan endpoint firewall dengan kebijakan pemeriksaan TLS.

    Untuk mengetahui informasi selengkapnya, lihat Membuat asosiasi endpoint firewall.

  8. Konfigurasi dan terapkan layanan pemfilteran URL ke traffic jaringan Anda.

    Untuk mengonfigurasi layanan pemfilteran URL, buat kebijakan firewall jaringan global atau kebijakan firewall hierarkis dengan inspeksi Layer 7.

    • Jika Anda membuat kebijakan firewall global baru atau menggunakan kebijakan yang sudah ada, tambahkan aturan kebijakan firewall dengan tindakan apply_security_profile_group dan tentukan nama grup profil keamanan yang Anda buat sebelumnya. Pastikan kebijakan firewall dikaitkan dengan jaringan VPC yang sama dengan workload yang memerlukan pemeriksaan.

      Untuk mengetahui informasi selengkapnya, lihat Membuat kebijakan firewall jaringan global dan Membuat aturan kebijakan firewall jaringan global.

    • Jika Anda membuat kebijakan firewall hierarkis baru atau menggunakan kebijakan yang sudah ada, tambahkan aturan kebijakan firewall dengan tindakan apply_security_profile_group yang dikonfigurasi. Pastikan kebijakan firewall dikaitkan dengan jaringan VPC yang sama dengan workload yang memerlukan pemeriksaan.

      Untuk mengetahui informasi selengkapnya, lihat Membuat aturan firewall.

Contoh model deployment

Diagram berikut menunjukkan contoh deployment layanan pemfilteran URL dengan beberapa endpoint firewall, yang dikonfigurasi untuk dua jaringan VPC di region yang sama, tetapi dua zona yang berbeda.

Deploy layanan pemfilteran URL di suatu region.
Men-deploy layanan pemfilteran URL di suatu wilayah (klik untuk memperbesar).

Contoh deployment memiliki konfigurasi berikut:

  1. Dua grup profil keamanan:

    1. Security profile group 1 dengan profil keamanan Security profile 1.

    2. Security profile group 2 dengan profil keamanan Security profile 2.

  2. VPC Pelanggan 1 (VPC 1) memiliki kebijakan firewall dengan grup profil keamanannya yang ditetapkan ke Security profile group 1.

  3. Customer VPC 2 (VPC 2) memiliki kebijakan firewall dengan grup profil keamanannya ditetapkan ke Security profile group 2.

  4. Endpoint firewall Firewall endpoint 1 melakukan pemfilteran URL untuk beban kerja yang berjalan di VPC 1 dan VPC 2 di zona us-west1-a.

  5. Endpoint firewall Firewall endpoint 2 melakukan pemfilteran URL dengan pemeriksaan TLS diaktifkan untuk workload yang berjalan di VPC 1 dan VPC 2 di zona us-west1-b.

Langkah berikutnya