Contoh kebijakan firewall hierarkis

Halaman ini menunjukkan contoh penerapan kebijakan firewall hierarkis. Halaman ini mengasumsikan bahwa Anda telah memahami konsep yang dijelaskan dalam Kebijakan firewall hierarkis.

Contoh 1: Mengizinkan pemeriksa mengakses semua VM

Dalam kasus penggunaan ini, semua instance virtual machine (VM) di organisasi harus dipindai dan diinventariskan menggunakan probe dari alamat IP tertentu (10.100.0.1) ke port tujuan tertentu (123). Administrator keamanan organisasi memastikan bahwa tidak ada administrator jaringan atau administrator keamanan lain yang dapat memblokir port tersebut di instance VM mana pun di organisasi.

Contoh ini mengasumsikan bahwa tidak ada kebijakan firewall tingkat folder yang di-deploy.

Penyiapan konfigurasi untuk kasus penggunaan ini dijelaskan dalam diagram berikut.

Mengizinkan pemeriksa mengakses semua VM
Izinkan pemeriksa mengakses semua VM

Kebijakan efektif yang diterapkan di VM

Dalam contoh ini, kebijakan firewall VM yang efektif setelah penilaian aturan di seluruh hierarki adalah sebagai berikut.

Koneksi ingress

  • Koneksi masuk dengan IP sumber 10.100.0.1 dan port tujuan 123 diizinkan, seperti yang ditentukan dalam kebijakan. Setelah kecocokan dalam kebijakan organisasi, koneksi probe diizinkan dan tidak ada aturan lebih lanjut yang dievaluasi dalam hierarki.

  • Untuk koneksi masuk selain dari IP sumber 10.100.0.1 dan port tujuan 123, tidak ada kecocokan; oleh karena itu, aturan masuk default dalam aturan firewall VPC akan berlaku, yang menolak koneksi.

Koneksi egress

  • Tidak ada kecocokan di seluruh aturan yang ditentukan hierarki. Oleh karena itu, aturan keluar default dalam aturan firewall VPC berlaku, yang mengizinkan koneksi keluar.

Cara mengonfigurasi

  1. Buat kebijakan firewall untuk memuat aturan:

    gcloud compute firewall-policies create \
     --organization=123456789012 \
     --short-name="example-firewall-policy" \
     --description="rules that apply to all VMs in the organization"

  2. Tambahkan aturan ke kebijakan firewall:

    gcloud compute firewall-policies rules create 1000 \
    --action=allow \
    --description="allow-scan-probe" \
    --layer4-configs=tcp:123 \
    --firewall-policy=example-firewall-policy \
    --organization=123456789012 \
    --src-ip-ranges=10.100.0.1/32

  3. Kaitkan kebijakan firewall dengan organisasi:

    gcloud compute firewall-policies associations create \
    --firewall-policy=example-firewall-policy \
    --organization=123456789012

Contoh 2: Menolak semua koneksi eksternal kecuali ke port tertentu

Dalam kasus penggunaan ini, kebijakan firewall memblokir semua koneksi dari sumber internet eksternal, kecuali koneksi di port tujuan 80, 443, dan 22. Koneksi internet masuk di port apa pun yang bukan 80, 443, dan 22 akan diblokir, apa pun aturan firewall di tingkat jaringan VPC. Untuk koneksi apa pun di port 80, 443, atau 22, kebijakan ini mendelegasikan perilaku yang ingin diterapkan di jaringan VPC masing-masing untuk port tersebut kepada administrator keamanan VPC.

Penyiapan konfigurasi untuk kasus penggunaan ini dijelaskan dalam diagram berikut.

Menolak semua koneksi eksternal kecuali port tujuan tertentu
Menolak semua koneksi eksternal kecuali port tujuan tertentu

Kebijakan efektif yang diterapkan di VM

Dalam contoh ini, kebijakan firewall VM yang efektif setelah penilaian aturan di seluruh hierarki adalah sebagai berikut.

Koneksi ingress

  • Setiap koneksi masuk dari 10.0.0.0/8 cocok dengan aturan tingkat organisasi prioritas tertinggi delegate-internal-traffic dan mengabaikan aturan lainnya dalam kebijakan organisasi yang akan dievaluasi berdasarkan aturan firewall yang dikonfigurasi di tingkat jaringan VPC. Dalam aturan firewall VPC, koneksi dari 10.2.0.0/16 diizinkan, dan koneksi lainnya dievaluasi berdasarkan aturan masuk tersirat, yaitu deny.

  • Koneksi masuk dengan rentang IP sumber yang bukan 10.0.0.0/8 untuk port tujuan 22, 80, dan 443 didelegasikan ke tingkat berikutnya, dengan port 80 dan 443 diizinkan, tetapi 22 tidak.

  • Semua koneksi lainnya diblokir.

Koneksi egress

  • Tidak ada kecocokan di seluruh aturan yang ditentukan hierarki. Oleh karena itu, aturan keluar default dalam aturan firewall VPC berlaku, yang mengizinkan koneksi keluar.

Cara mengonfigurasi

  1. Buat kebijakan firewall untuk memuat aturan:

    gcloud compute firewall-policies create \
    --organization=123456789012 \
    --short-name="example-firewall-policy" \
    --description="rules that apply to all VMs in the organization"

  2. Tambahkan aturan untuk mendelegasikan koneksi internal kepada pemilik project:

    gcloud compute firewall-policies rules create 1000 \
    --action=goto_next \
    --description="delegate-internal-traffic" \
    --organization=123456789012 \
    --firewall-policy="example-firewall-policy" \
    --src-ip-ranges=10.0.0.0/8

  3. Tambahkan aturan untuk mendelegasikan aturan koneksi eksternal ke port 80/443/22 kepada pemilik project:

    gcloud compute firewall-policies rules create 2000 \
    --action=goto_next \
    --description="delegate-external-traffic-spec-ports" \
    --src-ip-ranges=0.0.0.0/0 \
    --layer4-configs=tcp:80,tcp:443,tcp:22 \
    --organization=123456789012 \
    --firewall-policy="example-firewall-policy"

  4. Tambahkan aturan untuk menolak semua koneksi eksternal lainnya:

    gcloud compute firewall-policies rules create 3000 \
    --action=deny \
    --description="block-other-external-traffic-spec-ports" \
    --organization=123456789012 \
    --firewall-policy="example-firewall-policy" \
    --src-ip-ranges=0.0.0.0/0

  5. Kaitkan kebijakan firewall dengan organisasi:

    gcloud compute firewall-policies associations create \
    --organization=123456789012 \
    --firewall-policy="example-firewall-policy"

  6. Dalam project, tambahkan aturan firewall untuk mengizinkan koneksi internal dari subnet yang ditetapkan:

    gcloud compute firewall-rules create allow-internal-traffic \
    --action=allow \
    --priority=1000 \
    --source-ranges=10.2.0.0/16

  7. Dalam project, tambahkan aturan firewall untuk mengizinkan koneksi TCP 80/443 eksternal:

    gcloud compute firewall-rules create allow-external-traffic \
    --action=allow \
    --priority=2000 \
    --rules=tcp:80,tcp:443

Contoh 3: Menolak koneksi keluar kecuali dari jaringan VPC tertentu

Dalam kasus penggunaan ini, administrator keamanan organisasi tidak mengizinkan koneksi eksternal di jaringan VPC mana pun, kecuali untuk koneksi yang berasal dari jaringan VPC myvpc. Administrator mendelegasikan keputusan untuk membuka traffic keluar ke server publik 203.0.113.1 kepada administrator keamanan myvpc.

Contoh ini mengasumsikan bahwa tidak ada kebijakan firewall tingkat folder yang di-deploy. Penyiapan konfigurasi untuk kasus penggunaan ini dijelaskan dalam diagram berikut.

Menolak koneksi keluar kecuali dari jaringan tertentu
Menolak koneksi keluar kecuali dari jaringan tertentu

Kebijakan efektif yang diterapkan di VM

Dalam contoh ini, kebijakan firewall VM yang efektif setelah penilaian aturan di seluruh hierarki adalah sebagai berikut.

Koneksi ingress

  • Tidak ada kecocokan di seluruh aturan yang ditentukan hierarki. Oleh karena itu, aturan masuk default dalam aturan firewall VPC akan berlaku, yang menolak koneksi masuk.

Koneksi egress

  • Semua koneksi keluar yang ditujukan ke 203.0.113.1 diizinkan; koneksi lainnya ditolak. Semua koneksi keluar yang dituju ke 203.0.113.1 cocok dengan aturan delegate-egress-my-vpc dan mengabaikan aturan lainnya dalam kebijakan organisasi.

  • Koneksi keluar kemudian dievaluasi berdasarkan aturan firewall yang dikonfigurasi di myvpc. Aturan default mengizinkan koneksi keluar. Aturan block-egress-traffic-sepc-ports dalam kebijakan tingkat organisasi menolak koneksi lainnya.

Cara mengonfigurasi

  1. Buat kebijakan firewall untuk memuat aturan:

    gcloud compute firewall-policies create \
    --organization=123456789012 \
    --short-name="example-firewall-policy" \
    --description="rules that apply to all VMs in the organization"

  2. Tambahkan aturan untuk mendelegasikan koneksi keluar tertentu:

    gcloud compute firewall-policies rules create 1000 \
    --action=goto_next \
    --description="delegate-egress-myvpc" \
    --dest-ip-ranges=203.0.113.1/32
    --direction=egress
    --organization=123456789012 \
    --short-name="example-firewall-policy" \
    --target-resources=projects/PROJECT_ID/networks/myvpc

  3. Tambahkan aturan untuk menolak semua koneksi keluar lainnya:

    gcloud compute firewall-policies rules create 2000 \
    --action=deny \
    --description="block-egress-external-traffic-spec-ports" \
    --direction=egress \
    --dest-ip-ranges=0.0.0.0/0 \
    --organization=123456789012 \
    --short-name="example-firewall-policy"

  4. Kaitkan kebijakan firewall dengan organisasi:

    gcloud compute firewall-policies associations create \
    --organization=123456789012 \
    --short-name="example-firewall-policy"

Contoh 4: Mengonfigurasi aturan khusus folder dan seluruh organisasi

Dalam kasus penggunaan ini, administrator keamanan tidak mengizinkan koneksi masuk ke VM apa pun di organisasi, kecuali koneksi dari rentang yang ditambahkan ke daftar yang diizinkan: 203.0.113.0/24. Administrator mendelegasikan keputusan lebih lanjut tentang tindakan yang harus dilakukan dengan koneksi dari 203.0.113.0/24 ke administrator keamanan di tingkat folder.

Ada dua folder yang berbeda:

  • Folder1, yang kebijakannya hanya mengizinkan koneksi ke port 80 dan 443 di VM backend, dan port lainnya diblokir.
  • Folder2, yang kebijakannya mewajibkan bahwa tidak ada VM di Folder2 yang dapat memblokir port tujuan apa pun untuk traffic dari alamat IP 203.0.113.1. Administrator keamanan Folder2 mendelegasikan keputusan lainnya kepada administrator keamanan VPC, yang memutuskan untuk membuka port 80, 443, dan 22 serta menolak port lainnya.

Penyiapan konfigurasi untuk kasus penggunaan ini dijelaskan dalam diagram berikut.

Aturan seluruh organisasi dan khusus folder
Aturan khusus folder dan seluruh organisasi

Kebijakan efektif yang diterapkan di VM

Dalam contoh ini, kebijakan firewall VM yang efektif setelah penilaian aturan di seluruh hierarki adalah sebagai berikut.

Untuk VM yang dimiliki my-vpc

  • Semua koneksi masuk dari 203.0.113.0/24 dengan port tujuan TCP 80 dan443 diizinkan. Koneksi masuk lainnya akan ditolak.

  • Semua koneksi keluar diterima sesuai dengan aturan firewall VPC yang diterapkan karena tidak ada kecocokan dalam aturan kebijakan firewall tingkat yang lebih tinggi.

Untuk VM yang dimiliki vpc2

  • Semua koneksi masuk dari 203.0.113.1 diizinkan. Koneksi masuk dari sumber 203.0.113.0/24 selain 203.0.113.1 hanya diizinkan ke port 80, 443, dan 22. Semua koneksi masuk lainnya ditolak.

  • Semua koneksi keluar diterima sesuai dengan aturan firewall VPC yang diterapkan karena tidak ada kecocokan dalam aturan kebijakan firewall tingkat yang lebih tinggi.

Cara mengonfigurasi

  1. Buat kebijakan firewall untuk memuat aturan bagi Org_A:

    gcloud compute firewall-policies create \
    --organization=100000000000 \
    --short-name="example-firewall-policy-org-a" \
    --description="rules that apply to all VMs in the organization"

  2. Tambahkan aturan untuk mendelegasikan traffic masuk dari 203.0.113.0/24 ke pemilik project:

    gcloud compute firewall-policies rules create 1000 \
    --action=goto_next \
    --description="delegate-ingress" \
    --organization=100000000000 \
    --short-name="example-firewall-policy-org-a" \
    --src-ip-ranges=203.0.113.0/24

  3. Tambahkan aturan untuk menolak semua koneksi eksternal lainnya:

    gcloud compute firewall-policies rules create 2000 \
    --action=deny
    --description="block-ingress-external-traffic"
    --organization=100000000000 \
    --short-name="example-firewall-policy-org-a" \
    --src-ip-ranges=0.0.0.0/0

  4. Kaitkan kebijakan firewall dengan organisasi:

    gcloud compute firewall-policies associations create \
    --organization=100000000000 \
    --short-name="example-firewall-policy-org-a"

  5. Buat kebijakan firewall untuk memuat aturan Folder1:

    gcloud compute firewall-policies create \
    --organization=100000000000 \
    --short-name="example-firewall-policy-folder1" \
    --description="rules that apply to all VMs under Folder1"

  6. Tambahkan aturan untuk mengizinkan semua traffic masuk HTTP(S):

    gcloud compute firewall-policies rules create 1000 \
    --action=allow \
    --description="allow-http-s-ingress" \
    --layer4-configs=tcp:80,tcp:443 \
    --organization=100000000000 \
    --short-name="example-firewall-policy-folder1"

  7. Tambahkan aturan untuk menolak traffic masuk di semua port atau protokol lainnya:

    gcloud compute firewall-policies rules create 2000 \
    --action=deny \
    --description="block-ingress-external-traffic" \
    --organization=100000000000 \
    --short-name="example-firewall-policy-folder1" \
    --src-ip-ranges=0.0.0.0/0

  8. Kaitkan kebijakan firewall dengan Folder1:

    gcloud compute firewall-policies associations create \
    --organization=100000000000 \
    --short-name="example-firewall-policy-folder1" \
    --folder=200000000000

  9. Buat kebijakan firewall untuk memuat aturan Folder2:

    gcloud compute firewall-policies create \
    --organization=100000000000 \
    --short-name="example-firewall-policy-folder2" \
    --description="rules that apply to all VMs under Folder2"

  10. Tambahkan aturan untuk mengizinkan traffic masuk dari 203.0.113.1:

    gcloud compute firewall-policies rules create 1000 \
    --action=allow \
    --description="allow-vul-scan-ingress" \
    --organization=100000000000 \
    --short-name="example-firewall-policy-folder2" \
    --src-ip-ranges=203.0.113.1/32

  11. Kaitkan kebijakan firewall dengan Folder2:

    gcloud compute firewall-policies associations create \
    --organization=100000000000 \
    --short-name="example-firewall-policy-folder2" \
    --folder=300000000000

  12. Tambahkan aturan firewall untuk mengizinkan traffic masuk koneksi HTTP(S):

    gcloud compute firewall-rules create allow-internal-traffic \
    --action=allow \
    --rules=tcp:80,tcp:443,tcp:22

Langkah selanjutnya