Kebijakan firewall hierarkis memungkinkan Anda membuat dan menerapkan kebijakan
firewall yang konsisten di seluruh organisasi. Anda dapat menetapkan kebijakan firewall hierarkis ke organisasi secara keseluruhan atau ke folder individual. Kebijakan ini berisi aturan yang dapat secara eksplisit menolak atau mengizinkan koneksi, seperti halnya aturan firewall Virtual Private Cloud (VPC).
Selain itu, aturan kebijakan firewall hierarkis dapat mendelegasikan evaluasi ke kebijakan tingkat rendah atau aturan firewall jaringan VPC dengan tindakan goto_next
.
Aturan tingkat yang lebih rendah tidak dapat mengganti aturan dari tempat yang lebih tinggi dalam hierarki resource. Hal ini memungkinkan admin di seluruh organisasi mengelola aturan firewall penting di satu tempat.
Spesifikasi
- Kebijakan firewall hierarkis dibuat di tingkat organisasi dan folder. Membuat kebijakan tidak otomatis menerapkan aturan ke organisasi atau folder.
- Setelah dibuat, kebijakan dapat diterapkan ke (dikaitkan dengan) resource apa pun di organisasi.
- Kebijakan firewall hierarkis adalah penampung untuk aturan firewall. Saat Anda mengaitkan kebijakan dengan organisasi atau folder, semua aturan akan segera diterapkan. Anda dapat menukar kebijakan untuk resource, yang secara otomatis menukar semua aturan firewall yang diterapkan ke instance virtual machine (VM) di resource tersebut.
- Evaluasi aturan bersifat hierarkis berdasarkan hierarki resource. Semua aturan yang terkait dengan organisasi dievaluasi, diikuti dengan aturan folder tingkat pertama, dan seterusnya.
- Aturan kebijakan firewall hierarkis memiliki tindakan
goto_next
baru yang dapat Anda gunakan untuk mendelegasikan evaluasi koneksi ke tingkat hierarki yang lebih rendah.
Aturan kebijakan firewall hierarkis dapat digunakan untuk mengonfigurasi pemeriksaan Lapisan 7 pada traffic yang cocok, seperti layanan pencegahan intrusi.
Anda membuat aturan kebijakan firewall menggunakan tindakan
apply_security_profile_group
dan nama grup profil keamanan. Traffic yang cocok dengan aturan kebijakan firewall akan dicegat dan diteruskan secara transparan ke endpoint firewall untuk pemeriksaan Lapisan 7, dan kembali. Untuk mempelajari cara membuat aturan kebijakan firewall, lihat Membuat aturan firewall.
- Aturan kebijakan firewall hierarkis dapat ditargetkan ke jaringan VPC dan VM tertentu menggunakan resource target untuk jaringan dan akun layanan target untuk VM. Hal ini memungkinkan Anda membuat pengecualian untuk grup VM. Aturan kebijakan firewall hierarkis tidak mendukung penargetan berdasarkan tag instance.
- Setiap aturan kebijakan firewall hierarkis dapat menyertakan rentang IPv4 atau IPv6, tetapi tidak keduanya.
- Untuk membantu kepatuhan dan proses debug, aturan firewall yang diterapkan ke instance VM dapat diaudit menggunakan halaman detail jaringan VPC dan halaman detail antarmuka jaringan instance VM.
Hierarki resource
Anda membuat dan menerapkan kebijakan firewall sebagai langkah terpisah. Anda dapat membuat dan menerapkan kebijakan firewall di tingkat organisasi atau folder dalam hierarki resource. Aturan kebijakan firewall dapat memblokir koneksi, mengizinkan koneksi, atau menunda evaluasi aturan firewall ke folder tingkat rendah atau aturan firewall VPC yang ditentukan di jaringan VPC.
Organisasi adalah resource tingkat teratas dalam hierarki resource di Google Cloud tempat Anda dapat membuat atau mengaitkan kebijakan firewall hierarkis. Semua folder dan jaringan VPC di organisasi mewarisi kebijakan ini.
Folder adalah resource tingkat menengah dalam hierarki resource Google Cloud, antara organisasi dan project, tempat Anda dapat membuat atau menetapkan kebijakan firewall hierarkis. Semua folder dan jaringan VPC dalam folder mewarisi kebijakan terkait.
Project berada di folder atau organisasi. Anda dapat memindahkan project di antara resource dalam organisasi. Project berisi jaringan VPC. Kebijakan firewall hierarkis tidak dapat ditetapkan ke project, hanya ke organisasi atau folder.
Jaringan VPC adalah partisi Google Cloud untuk komunikasi ruang IP internal yang terisolasi. Ini adalah tingkat tempat rute, kebijakan firewall jaringan, dan aturan firewall VPC tradisional ditentukan dan diterapkan. Aturan kebijakan firewall hierarkis dapat mengganti atau mendelegasikan evaluasi koneksi ke kebijakan dan aturan firewall jaringan global.
Secara default, semua aturan kebijakan firewall hierarkis berlaku untuk semua VM di semua project dalam organisasi atau folder tempat kebijakan dikaitkan. Namun, Anda dapat membatasi VM mana yang mendapatkan aturan tertentu dengan menentukan jaringan target atau akun layanan target.
Tingkat hierarki tempat aturan firewall kini dapat diterapkan ditampilkan dalam diagram berikut. Kotak kuning mewakili kebijakan firewall hierarkis yang berisi aturan firewall, sedangkan kotak putih mewakili aturan firewall VPC.
Detail kebijakan firewall hierarkis
Aturan kebijakan firewall hierarkis ditentukan dalam resource kebijakan firewall yang bertindak sebagai penampung untuk aturan firewall. Aturan yang ditentukan dalam kebijakan firewall tidak diterapkan hingga kebijakan dikaitkan dengan resource (organisasi atau folder).
Satu kebijakan dapat dikaitkan dengan beberapa resource. Jika Anda mengubah aturan dalam kebijakan, perubahan aturan tersebut akan berlaku untuk semua resource terkait.
Hanya satu kebijakan firewall yang dapat dikaitkan dengan resource. Aturan kebijakan firewall hierarkis dan aturan firewall VPC dievaluasi dalam urutan yang telah ditentukan dengan baik.
Kebijakan firewall yang tidak dikaitkan dengan resource apa pun adalah kebijakan firewall hierarkis tidak terkait.
Nama kebijakan
Saat Anda membuat kebijakan baru, Google Cloud akan otomatis membuat ID untuk kebijakan tersebut. Selain itu, Anda juga menentukan nama singkat untuk kebijakan.
Saat menggunakan antarmuka gcloud
untuk memperbarui kebijakan yang ada, Anda dapat mereferensikan
ID yang dibuat sistem atau kombinasi nama singkat dan
ID organisasi Anda. Saat menggunakan API untuk memperbarui kebijakan, Anda harus memberikan
ID yang dibuat sistem.
Detail aturan kebijakan firewall hierarkis
Aturan kebijakan firewall hierarkis berfungsi sama seperti aturan kebijakan firewall dan aturan firewall VPC, tetapi ada beberapa perbedaan:
Kebijakan firewall hierarkis mendukung jaringan target, sedangkan kebijakan firewall jaringan global tidak. Anda dapat menentukan jaringan target untuk membatasi aturan kebijakan firewall ke VM di jaringan yang ditentukan. Dengan menentukan jaringan VPC dalam aturan, Anda dapat mengontrol jaringan mana yang dikonfigurasi dengan aturan tersebut.
Jika digabungkan dengan
goto_next
atauallow
, menentukan jaringan target memungkinkan Anda membuat pengecualian untuk jaringan tertentu saat Anda ingin menentukan kebijakan yang membatasi.Kebijakan firewall hierarkis tidak memiliki integrasi tag aman.
Kebijakan firewall hierarkis adalah resource tingkat organisasi, sedangkan kebijakan firewall jaringan global adalah resource tingkat project.
Aturan standar
Saat Anda membuat kebijakan firewall hierarkis, Cloud Next Generation Firewall akan menambahkan aturan standar dengan prioritas terendah ke kebijakan. Aturan ini diterapkan ke koneksi apa pun yang tidak cocok dengan aturan yang ditentukan secara eksplisit dalam kebijakan, sehingga menyebabkan koneksi tersebut diteruskan ke kebijakan tingkat rendah atau aturan jaringan.
Untuk mempelajari berbagai jenis aturan standar dan karakteristiknya, lihat Aturan standar.
Peran Identity and Access Management (IAM)
Peran IAM mengatur tindakan berikut sehubungan dengan kebijakan firewall hierarkis:
- Membuat kebijakan yang berada di resource tertentu
- Mengaitkan kebijakan dengan resource tertentu
- Mengubah kebijakan yang ada
- Melihat aturan firewall yang efektif untuk jaringan atau VM tertentu
Tabel berikut menjelaskan peran yang diperlukan untuk setiap langkah:
Kemampuan | Peran yang diperlukan |
---|---|
Membuat kebijakan firewall hierarkis baru | Peran compute.orgFirewallPolicyAdmin pada resource tempat kebijakan akan diterapkan |
Mengaitkan kebijakan dengan resource | Peran compute.orgSecurityResourceAdmin pada resource target, dan peran compute.orgFirewallPolicyAdmin atau compute.orgFirewallPolicyUser pada resource tempat kebijakan berada atau pada kebijakan itu sendiri |
Ubah kebijakan dengan menambahkan, memperbarui, atau menghapus aturan firewall kebijakan | peran compute.orgFirewallPolicyAdmin di resource tempat kebijakan berada atau di kebijakan itu sendiri |
Menghapus kebijakan | peran compute.orgFirewallPolicyAdmin di resource tempat kebijakan berada atau di kebijakan itu sendiri |
Melihat aturan firewall yang efektif untuk jaringan VPC | Salah satu peran berikut untuk jaringan: compute.networkAdmin compute.networkViewer compute.securityAdmin compute.viewer |
Melihat aturan firewall yang efektif untuk VM di jaringan | Salah satu peran berikut untuk VM: compute.instanceAdmin compute.securityAdmin compute.viewer |
Peran berikut relevan dengan kebijakan firewall hierarkis.
Nama peran | Deskripsi |
---|---|
compute.orgFirewallPolicyAdmin | Dapat diberikan pada resource atau pada kebijakan individual. Jika diberikan di resource,
pengguna dapat membuat, memperbarui, dan menghapus kebijakan firewall hierarkis serta
aturannya. Jika diberikan pada kebijakan individual, izin ini memungkinkan pengguna memperbarui
aturan kebijakan, tetapi tidak membuat atau menghapus kebijakan. Peran ini juga memungkinkan
pengguna mengaitkan kebijakan dengan resource jika mereka juga memiliki
peran compute.orgSecurityResourceAdmin di resource tersebut. |
compute.orgSecurityResourceAdmin | Diberikan di tingkat organisasi atau ke folder, memungkinkan administrator tingkat folder untuk mengaitkan kebijakan dengan resource tersebut. Administrator juga harus
memiliki peran compute.orgFirewallPolicyUser atau
compute.orgFirewallPolicyAdmin di resource yang
memiliki kebijakan atau di kebijakan itu sendiri agar dapat menggunakannya. |
compute.orgFirewallPolicyUser | Diberikan pada resource atau kebijakan individual, memungkinkan administrator untuk
menggunakan kebijakan individual atau kebijakan yang terkait dengan resource. Pengguna juga harus memiliki peran compute.orgSecurityResourceAdmin di resource target untuk mengaitkan kebijakan dengan resource tersebut. |
compute.securityAdmin compute.viewer compute.networkUser compute.networkViewer |
Memungkinkan pengguna melihat aturan firewall yang diterapkan ke jaringan atau instance. Menyertakan izin compute.networks.getEffectiveFirewalls
untuk jaringan dan compute.instances.getEffectiveFirewalls untuk instance. |
Dalam contoh berikut, Joe dapat membuat, mengubah, dan menghapus kebijakan
firewall hierarkis di folder policies
, tetapi ia tidak dapat melampirkan kebijakan
firewall hierarkis ke folder karena ia tidak memiliki
peran orgSecurityResourceAdmin
di folder mana pun.
Namun, karena Joko memberikan izin kepada Maria untuk menggunakan policy-1
, ia dapat mencantumkan dan
mengaitkan kebijakan firewall hierarkis tersebut dengan folder dev-projects
atau
turunan mana pun. Peran orgFirewallPolicyUser
tidak memberikan izin untuk mengaitkan kebijakan ke folder mana pun; pengguna juga harus memiliki peran orgSecurityResourceAdmin
di folder target.
Mengelola resource kebijakan firewall hierarkis
Karena kebijakan firewall hierarkis hanya menentukan serangkaian aturan firewall dan bukan tempat penerapannya, Anda dapat membuat resource ini di bagian hierarki yang berbeda dari resource yang menjadi tempat penerapannya. Dengan demikian, Anda dapat mengaitkan satu resource kebijakan firewall hierarkis dengan beberapa folder di organisasi.
Dalam contoh berikut, policy-1
diterapkan ke folder dev-projects
dan corp-projects
sehingga diterapkan pada semua project di folder tersebut.
Mengubah aturan kebijakan
Anda dapat menambahkan, menghapus, dan mengubah aturan dalam kebijakan. Setiap perubahan dilakukan secara terpisah; tidak ada mekanisme untuk memperbarui aturan secara massal dalam kebijakan. Perubahan diterapkan kira-kira sesuai urutan perintah dieksekusi, meskipun hal ini tidak dijamin.
Jika Anda membuat perubahan yang ekstensif pada kebijakan firewall hierarkis dan perlu memastikan bahwa kebijakan tersebut diterapkan secara bersamaan, Anda dapat meng-clone kebijakan ke kebijakan sementara dan menetapkan kebijakan sementara ke resource yang sama. Kemudian, Anda dapat melakukan perubahan pada versi asli, lalu menetapkan versi asli kembali ke resource. Untuk mengetahui langkah-langkah melakukannya, lihat Mengkloning aturan dari satu kebijakan ke kebijakan lain.
Dalam contoh berikut, policy-1
dilampirkan ke folder dev-projects
,
dan Anda ingin membuat beberapa perubahan yang diterapkan secara atomik. Buat kebijakan baru
bernama scratch-policy
, lalu salin semua aturan yang ada dari
policy-1
ke scratch-policy
untuk diedit. Setelah selesai mengedit, salin semua aturan dari scratch-policy
kembali ke policy-1
.
Memindahkan kebijakan
Kebijakan firewall hierarkis, seperti project, memiliki induk berupa folder atau resource organisasi. Seiring berkembangnya skema folder, Anda mungkin perlu memindahkan kebijakan firewall hierarkis ke folder baru, mungkin sebelum penghapusan folder. Kebijakan yang dimiliki oleh folder akan dihapus jika folder dihapus.
Diagram berikut mengilustrasikan pemindahan kebijakan antar-asosiasi resource atau evaluasi aturan dalam kebijakan.
Mengaitkan kebijakan firewall hierarkis dengan folder
Kebijakan firewall hierarkis tidak diterapkan kecuali jika dikaitkan dengan organisasi atau folder. Setelah dikaitkan, kebijakan akan diterapkan ke semua VM di semua jaringan dalam organisasi atau folder tersebut.
Perubahan pada hierarki resource
Perubahan pada hierarki resource mungkin memerlukan waktu beberapa saat untuk diterapkan di seluruh sistem. Sebaiknya hindari pembaruan serentak pada lampiran kebijakan firewall hierarkis dan hierarki resource karena jaringan mungkin tidak langsung mewarisi kebijakan firewall hierarkis yang ditentukan di lokasi baru dalam hierarki.
Misalnya, jika Anda memindahkan folder dept-A
dari folder dev-projects
ke folder eng-projects
dan mengubah pengaitan policy-1
ke eng-projects
, bukan dev-projects
, pastikan untuk tidak membatalkan pengaitan
policy-1
dari dev-projects
secara bersamaan. Jika folder dev-projects
kehilangan pengaitan kebijakan firewall hierarkisnya sebelum semua jaringan VPC
di bawahnya memperbarui asal-usulnya, selama jangka waktu yang singkat, jaringan VPC tersebut tidak dilindungi oleh policy-1
.
Menggunakan kebijakan firewall hierarkis dengan VPC Bersama
Dalam skenario VPC Bersama, antarmuka VM yang terhubung ke jaringan project host diatur oleh aturan kebijakan firewall hierarkis project host, bukan project layanan.
Meskipun project layanan berada dalam folder yang berbeda dengan project host, antarmuka VM di jaringan bersama masih mewarisi dari aturan folder project host.
Menggunakan kebijakan firewall hierarkis dengan Peering Jaringan VPC
Dalam skenario Peering Jaringan VPC, antarmuka VM yang terkait dengan setiap jaringan VPC mewarisi kebijakan dalam hierarki di jaringan VPC masing-masing. Berikut adalah contoh VPC Network Peering dengan jaringan peering VPC yang berasal dari organisasi yang berbeda.
Langkah selanjutnya
- Untuk membuat dan mengubah kebijakan dan aturan firewall hierarkis, lihat Menggunakan kebijakan firewall hierarkis.
- Untuk melihat contoh penerapan kebijakan firewall hierarkis, lihat Contoh kebijakan firewall hierarkis.