Kebijakan firewall hierarkis

Kebijakan firewall hierarkis memungkinkan Anda membuat dan menerapkan kebijakan firewall yang konsisten di seluruh organisasi. Anda dapat menetapkan kebijakan firewall hierarkis ke organisasi secara keseluruhan atau ke folder individual. Kebijakan ini berisi aturan yang dapat secara eksplisit menolak atau mengizinkan koneksi, seperti halnya aturan firewall Virtual Private Cloud (VPC). Selain itu, aturan kebijakan firewall hierarkis dapat mendelegasikan evaluasi ke kebijakan tingkat rendah atau aturan firewall jaringan VPC dengan tindakan goto_next.

Aturan tingkat yang lebih rendah tidak dapat mengganti aturan dari tempat yang lebih tinggi dalam hierarki resource. Hal ini memungkinkan admin di seluruh organisasi mengelola aturan firewall penting di satu tempat.

Spesifikasi

  • Kebijakan firewall hierarkis dibuat di tingkat organisasi dan folder. Membuat kebijakan tidak otomatis menerapkan aturan ke organisasi atau folder.
  • Setelah dibuat, kebijakan dapat diterapkan ke (dikaitkan dengan) resource apa pun di organisasi.
  • Kebijakan firewall hierarkis adalah penampung untuk aturan firewall. Saat Anda mengaitkan kebijakan dengan organisasi atau folder, semua aturan akan segera diterapkan. Anda dapat menukar kebijakan untuk resource, yang secara otomatis menukar semua aturan firewall yang diterapkan ke instance virtual machine (VM) di resource tersebut.
  • Evaluasi aturan bersifat hierarkis berdasarkan hierarki resource. Semua aturan yang terkait dengan organisasi dievaluasi, diikuti dengan aturan folder tingkat pertama, dan seterusnya.
  • Aturan kebijakan firewall hierarkis memiliki tindakan goto_next baru yang dapat Anda gunakan untuk mendelegasikan evaluasi koneksi ke tingkat hierarki yang lebih rendah.
  • Aturan kebijakan firewall hierarkis dapat digunakan untuk mengonfigurasi pemeriksaan Lapisan 7 pada traffic yang cocok, seperti layanan pencegahan intrusi.

    Anda membuat aturan kebijakan firewall menggunakan tindakan apply_security_profile_group dan nama grup profil keamanan. Traffic yang cocok dengan aturan kebijakan firewall akan dicegat dan diteruskan secara transparan ke endpoint firewall untuk pemeriksaan Lapisan 7, dan kembali. Untuk mempelajari cara membuat aturan kebijakan firewall, lihat Membuat aturan firewall.

  • Aturan kebijakan firewall hierarkis dapat ditargetkan ke jaringan VPC dan VM tertentu menggunakan resource target untuk jaringan dan akun layanan target untuk VM. Hal ini memungkinkan Anda membuat pengecualian untuk grup VM. Aturan kebijakan firewall hierarkis tidak mendukung penargetan berdasarkan tag instance.
  • Setiap aturan kebijakan firewall hierarkis dapat menyertakan rentang IPv4 atau IPv6, tetapi tidak keduanya.
  • Untuk membantu kepatuhan dan proses debug, aturan firewall yang diterapkan ke instance VM dapat diaudit menggunakan halaman detail jaringan VPC dan halaman detail antarmuka jaringan instance VM.

Hierarki resource

Anda membuat dan menerapkan kebijakan firewall sebagai langkah terpisah. Anda dapat membuat dan menerapkan kebijakan firewall di tingkat organisasi atau folder dalam hierarki resource. Aturan kebijakan firewall dapat memblokir koneksi, mengizinkan koneksi, atau menunda evaluasi aturan firewall ke folder tingkat rendah atau aturan firewall VPC yang ditentukan di jaringan VPC.

  • Organisasi adalah resource tingkat teratas dalam hierarki resource di Google Cloud tempat Anda dapat membuat atau mengaitkan kebijakan firewall hierarkis. Semua folder dan jaringan VPC di organisasi mewarisi kebijakan ini.

  • Folder adalah resource tingkat menengah dalam hierarki resource Google Cloud, antara organisasi dan project, tempat Anda dapat membuat atau menetapkan kebijakan firewall hierarkis. Semua folder dan jaringan VPC dalam folder mewarisi kebijakan terkait.

  • Project berada di folder atau organisasi. Anda dapat memindahkan project di antara resource dalam organisasi. Project berisi jaringan VPC. Kebijakan firewall hierarkis tidak dapat ditetapkan ke project, hanya ke organisasi atau folder.

  • Jaringan VPC adalah partisi Google Cloud untuk komunikasi ruang IP internal yang terisolasi. Ini adalah tingkat tempat rute, kebijakan firewall jaringan, dan aturan firewall VPC tradisional ditentukan dan diterapkan. Aturan kebijakan firewall hierarkis dapat mengganti atau mendelegasikan evaluasi koneksi ke kebijakan dan aturan firewall jaringan global.

Secara default, semua aturan kebijakan firewall hierarkis berlaku untuk semua VM di semua project dalam organisasi atau folder tempat kebijakan dikaitkan. Namun, Anda dapat membatasi VM mana yang mendapatkan aturan tertentu dengan menentukan jaringan target atau akun layanan target.

Tingkat hierarki tempat aturan firewall kini dapat diterapkan ditampilkan dalam diagram berikut. Kotak kuning mewakili kebijakan firewall hierarkis yang berisi aturan firewall, sedangkan kotak putih mewakili aturan firewall VPC.

Kebijakan firewall hierarkis yang berisi aturan (kotak kuning)
        di tingkat organisasi dan folder serta aturan
        firewall VPC di tingkat jaringan VPC
Kebijakan firewall hierarkis yang berisi aturan (kotak kuning) diterapkan di tingkat organisasi dan folder. Aturan firewall VPC diterapkan di tingkat jaringan VPC.

Detail kebijakan firewall hierarkis

Aturan kebijakan firewall hierarkis ditentukan dalam resource kebijakan firewall yang bertindak sebagai penampung untuk aturan firewall. Aturan yang ditentukan dalam kebijakan firewall tidak diterapkan hingga kebijakan dikaitkan dengan resource (organisasi atau folder).

Satu kebijakan dapat dikaitkan dengan beberapa resource. Jika Anda mengubah aturan dalam kebijakan, perubahan aturan tersebut akan berlaku untuk semua resource terkait.

Hanya satu kebijakan firewall yang dapat dikaitkan dengan resource. Aturan kebijakan firewall hierarkis dan aturan firewall VPC dievaluasi dalam urutan yang telah ditentukan dengan baik.

Kebijakan firewall yang tidak dikaitkan dengan resource apa pun adalah kebijakan firewall hierarkis tidak terkait.

Nama kebijakan

Saat Anda membuat kebijakan baru, Google Cloud akan otomatis membuat ID untuk kebijakan tersebut. Selain itu, Anda juga menentukan nama singkat untuk kebijakan. Saat menggunakan antarmuka gcloud untuk memperbarui kebijakan yang ada, Anda dapat mereferensikan ID yang dibuat sistem atau kombinasi nama singkat dan ID organisasi Anda. Saat menggunakan API untuk memperbarui kebijakan, Anda harus memberikan ID yang dibuat sistem.

Detail aturan kebijakan firewall hierarkis

Aturan kebijakan firewall hierarkis berfungsi sama seperti aturan kebijakan firewall dan aturan firewall VPC, tetapi ada beberapa perbedaan:

  • Kebijakan firewall hierarkis mendukung jaringan target, sedangkan kebijakan firewall jaringan global tidak. Anda dapat menentukan jaringan target untuk membatasi aturan kebijakan firewall ke VM di jaringan yang ditentukan. Dengan menentukan jaringan VPC dalam aturan, Anda dapat mengontrol jaringan mana yang dikonfigurasi dengan aturan tersebut.

    Jika digabungkan dengan goto_next atau allow, menentukan jaringan target memungkinkan Anda membuat pengecualian untuk jaringan tertentu saat Anda ingin menentukan kebijakan yang membatasi.

  • Kebijakan firewall hierarkis tidak memiliki integrasi tag aman.

  • Kebijakan firewall hierarkis adalah resource tingkat organisasi, sedangkan kebijakan firewall jaringan global adalah resource tingkat project.

Aturan standar

Saat Anda membuat kebijakan firewall hierarkis, Cloud Next Generation Firewall akan menambahkan aturan standar dengan prioritas terendah ke kebijakan. Aturan ini diterapkan ke koneksi apa pun yang tidak cocok dengan aturan yang ditentukan secara eksplisit dalam kebijakan, sehingga menyebabkan koneksi tersebut diteruskan ke kebijakan tingkat rendah atau aturan jaringan.

Untuk mempelajari berbagai jenis aturan standar dan karakteristiknya, lihat Aturan standar.

Peran Identity and Access Management (IAM)

Peran IAM mengatur tindakan berikut sehubungan dengan kebijakan firewall hierarkis:

  • Membuat kebijakan yang berada di resource tertentu
  • Mengaitkan kebijakan dengan resource tertentu
  • Mengubah kebijakan yang ada
  • Melihat aturan firewall yang efektif untuk jaringan atau VM tertentu

Tabel berikut menjelaskan peran yang diperlukan untuk setiap langkah:

Kemampuan Peran yang diperlukan
Membuat kebijakan firewall hierarkis baru Peran compute.orgFirewallPolicyAdmin pada resource tempat kebijakan akan diterapkan
Mengaitkan kebijakan dengan resource Peran compute.orgSecurityResourceAdmin pada resource target, dan peran compute.orgFirewallPolicyAdmin atau compute.orgFirewallPolicyUser pada resource tempat kebijakan berada atau pada kebijakan itu sendiri
Ubah kebijakan dengan menambahkan, memperbarui, atau menghapus aturan firewall kebijakan peran compute.orgFirewallPolicyAdmin di resource tempat kebijakan berada atau di kebijakan itu sendiri
Menghapus kebijakan peran compute.orgFirewallPolicyAdmin di resource tempat kebijakan berada atau di kebijakan itu sendiri
Melihat aturan firewall yang efektif untuk jaringan VPC Salah satu peran berikut untuk jaringan:
compute.networkAdmin
compute.networkViewer
compute.securityAdmin
compute.viewer
Melihat aturan firewall yang efektif untuk VM di jaringan Salah satu peran berikut untuk VM:
compute.instanceAdmin
compute.securityAdmin
compute.viewer

Peran berikut relevan dengan kebijakan firewall hierarkis.

Nama peran Deskripsi
compute.orgFirewallPolicyAdmin Dapat diberikan pada resource atau pada kebijakan individual. Jika diberikan di resource, pengguna dapat membuat, memperbarui, dan menghapus kebijakan firewall hierarkis serta aturannya. Jika diberikan pada kebijakan individual, izin ini memungkinkan pengguna memperbarui aturan kebijakan, tetapi tidak membuat atau menghapus kebijakan. Peran ini juga memungkinkan pengguna mengaitkan kebijakan dengan resource jika mereka juga memiliki peran compute.orgSecurityResourceAdmin di resource tersebut.
compute.orgSecurityResourceAdmin Diberikan di tingkat organisasi atau ke folder, memungkinkan administrator tingkat folder untuk mengaitkan kebijakan dengan resource tersebut. Administrator juga harus memiliki peran compute.orgFirewallPolicyUser atau compute.orgFirewallPolicyAdmin di resource yang memiliki kebijakan atau di kebijakan itu sendiri agar dapat menggunakannya.
compute.orgFirewallPolicyUser Diberikan pada resource atau kebijakan individual, memungkinkan administrator untuk menggunakan kebijakan individual atau kebijakan yang terkait dengan resource. Pengguna juga harus memiliki peran compute.orgSecurityResourceAdmin di resource target untuk mengaitkan kebijakan dengan resource tersebut.
compute.securityAdmin
compute.viewer
compute.networkUser
compute.networkViewer
Memungkinkan pengguna melihat aturan firewall yang diterapkan ke jaringan atau instance.
Menyertakan izin compute.networks.getEffectiveFirewalls untuk jaringan dan compute.instances.getEffectiveFirewalls untuk instance.

Dalam contoh berikut, Joe dapat membuat, mengubah, dan menghapus kebijakan firewall hierarkis di folder policies, tetapi ia tidak dapat melampirkan kebijakan firewall hierarkis ke folder karena ia tidak memiliki peran orgSecurityResourceAdmin di folder mana pun.

Namun, karena Joko memberikan izin kepada Maria untuk menggunakan policy-1, ia dapat mencantumkan dan mengaitkan kebijakan firewall hierarkis tersebut dengan folder dev-projects atau turunan mana pun. Peran orgFirewallPolicyUser tidak memberikan izin untuk mengaitkan kebijakan ke folder mana pun; pengguna juga harus memiliki peran orgSecurityResourceAdmin di folder target.

contoh policy-1
contoh policy-1

Mengelola resource kebijakan firewall hierarkis

Karena kebijakan firewall hierarkis hanya menentukan serangkaian aturan firewall dan bukan tempat penerapannya, Anda dapat membuat resource ini di bagian hierarki yang berbeda dari resource yang menjadi tempat penerapannya. Dengan demikian, Anda dapat mengaitkan satu resource kebijakan firewall hierarkis dengan beberapa folder di organisasi.

Dalam contoh berikut, policy-1 diterapkan ke folder dev-projects dan corp-projects sehingga diterapkan pada semua project di folder tersebut.

Lokasi dan pengaitan kebijakan
Lokasi dan pengaitan kebijakan

Mengubah aturan kebijakan

Anda dapat menambahkan, menghapus, dan mengubah aturan dalam kebijakan. Setiap perubahan dilakukan secara terpisah; tidak ada mekanisme untuk memperbarui aturan secara massal dalam kebijakan. Perubahan diterapkan kira-kira sesuai urutan perintah dieksekusi, meskipun hal ini tidak dijamin.

Jika Anda membuat perubahan yang ekstensif pada kebijakan firewall hierarkis dan perlu memastikan bahwa kebijakan tersebut diterapkan secara bersamaan, Anda dapat meng-clone kebijakan ke kebijakan sementara dan menetapkan kebijakan sementara ke resource yang sama. Kemudian, Anda dapat melakukan perubahan pada versi asli, lalu menetapkan versi asli kembali ke resource. Untuk mengetahui langkah-langkah melakukannya, lihat Mengkloning aturan dari satu kebijakan ke kebijakan lain.

Dalam contoh berikut, policy-1 dilampirkan ke folder dev-projects, dan Anda ingin membuat beberapa perubahan yang diterapkan secara atomik. Buat kebijakan baru bernama scratch-policy, lalu salin semua aturan yang ada dari policy-1 ke scratch-policy untuk diedit. Setelah selesai mengedit, salin semua aturan dari scratch-policy kembali ke policy-1.

Mengubah kebijakan
Ubah kebijakan

Memindahkan kebijakan

Kebijakan firewall hierarkis, seperti project, memiliki induk berupa folder atau resource organisasi. Seiring berkembangnya skema folder, Anda mungkin perlu memindahkan kebijakan firewall hierarkis ke folder baru, mungkin sebelum penghapusan folder. Kebijakan yang dimiliki oleh folder akan dihapus jika folder dihapus.

Diagram berikut mengilustrasikan pemindahan kebijakan antar-asosiasi resource atau evaluasi aturan dalam kebijakan.

Memindahkan kebijakan
Pindahkan kebijakan

Mengaitkan kebijakan firewall hierarkis dengan folder

Kebijakan firewall hierarkis tidak diterapkan kecuali jika dikaitkan dengan organisasi atau folder. Setelah dikaitkan, kebijakan akan diterapkan ke semua VM di semua jaringan dalam organisasi atau folder tersebut.

Menghubungkan kebijakan
Mengaitkan kebijakan

Perubahan pada hierarki resource

Perubahan pada hierarki resource mungkin memerlukan waktu beberapa saat untuk diterapkan di seluruh sistem. Sebaiknya hindari pembaruan serentak pada lampiran kebijakan firewall hierarkis dan hierarki resource karena jaringan mungkin tidak langsung mewarisi kebijakan firewall hierarkis yang ditentukan di lokasi baru dalam hierarki.

Memindahkan kebijakan
Memindahkan kebijakan

Misalnya, jika Anda memindahkan folder dept-A dari folder dev-projects ke folder eng-projects dan mengubah pengaitan policy-1 ke eng-projects, bukan dev-projects, pastikan untuk tidak membatalkan pengaitan policy-1 dari dev-projects secara bersamaan. Jika folder dev-projects kehilangan pengaitan kebijakan firewall hierarkisnya sebelum semua jaringan VPC di bawahnya memperbarui asal-usulnya, selama jangka waktu yang singkat, jaringan VPC tersebut tidak dilindungi oleh policy-1.

Menggunakan kebijakan firewall hierarkis dengan VPC Bersama

Dalam skenario VPC Bersama, antarmuka VM yang terhubung ke jaringan project host diatur oleh aturan kebijakan firewall hierarkis project host, bukan project layanan.

VM di VPC Bersama
VM di Shared VPC

Meskipun project layanan berada dalam folder yang berbeda dengan project host, antarmuka VM di jaringan bersama masih mewarisi dari aturan folder project host.

VM project layanan mewarisi aturan dari project host
VM project layanan mewarisi aturan dari project host

Menggunakan kebijakan firewall hierarkis dengan Peering Jaringan VPC

Dalam skenario Peering Jaringan VPC, antarmuka VM yang terkait dengan setiap jaringan VPC mewarisi kebijakan dalam hierarki di jaringan VPC masing-masing. Berikut adalah contoh VPC Network Peering dengan jaringan peering VPC yang berasal dari organisasi yang berbeda.

VM mewarisi dari masing-masing jaringan
VM mewarisi dari jaringan masing-masing

Langkah selanjutnya