Istilah utama

Halaman ini menyediakan terminologi utama yang berlaku untuk Cloud Next Generation Firewall. Tinjau istilah ini untuk lebih memahami cara kerja Cloud NGFW dan konsep yang mendasari pembuatannya.

Grup alamat

Grup alamat adalah kumpulan logis rentang alamat IPv4 atau rentang alamat IPv6 dalam format CIDR. Anda dapat menggunakan grup alamat untuk menentukan sumber atau tujuan yang konsisten yang dirujuk oleh banyak aturan firewall. Untuk mengetahui informasi selengkapnya tentang grup alamat, lihat Grup alamat untuk kebijakan firewall.

Format CIDR

Format atau notasi Classless Inter-Domain Routing (CIDR) adalah metode untuk mewakili alamat IP dan subnetnya. Ini adalah alternatif untuk menuliskan seluruh {i>subnet mask<i}. Terdiri dari alamat IP, diikuti dengan garis miring (/), dan angka. Angka tersebut menunjukkan jumlah bit di dalam alamat IP yang menentukan bagian jaringan.

NGFW Cloud

Cloud Next Generation Firewall adalah layanan firewall yang terdistribusi sepenuhnya dengan kemampuan perlindungan lanjutan, segmentasi mikro, dan cakupan terpadu untuk melindungi workload Google Cloud Anda dari serangan internal dan eksternal. Cloud NGFW tersedia dalam tiga tingkat: Cloud Next Generation Firewall Essentials, Cloud Next Generation Firewall Standard, dan Cloud Next Generation Firewall Enterprise. Untuk mengetahui informasi selengkapnya, lihat Ringkasan Cloud NGFW.

Dasar-Dasar Cloud NGFW

Cloud Next Generation Firewall Essentials adalah layanan firewall dasar yang ditawarkan oleh Google Cloud. Layanan ini mencakup fitur dan kemampuan seperti kebijakan firewall jaringan global dan kebijakan firewall jaringan regional, Tag yang diatur oleh Identity and Access Management (IAM), Grup alamat, dan aturan firewall Virtual Private Cloud (VPC). Untuk mengetahui informasi selengkapnya, lihat Ringkasan Cloud NGFW Essentials.

Cloud NGFW Enterprise

Cloud Next Generation Firewall Enterprise memberikan kemampuan keamanan lapisan 7 lanjutan yang melindungi workload Google Cloud Anda dari ancaman dan serangan berbahaya. Layanan ini mencakup layanan pencegahan intrusi dengan intersepsi dan dekripsi Transport Layer Security (TLS), yang menyediakan deteksi ancaman dan pencegahan dari malware, spyware, serta serangan perintah dan kontrol di jaringan Anda.

Cloud NGFW Standar

Cloud NGFW Standard memperluas fitur Cloud NGFW Essentials untuk memberikan kemampuan yang ditingkatkan guna melindungi infrastruktur cloud Anda dari serangan berbahaya. API ini mencakup fitur dan kemampuan seperti kecerdasan ancaman untuk aturan kebijakan firewall, objek nama domain yang sepenuhnya memenuhi syarat (FQDN), dan objek geolokasi dalam aturan kebijakan firewall.

Endpoint firewall

Endpoint firewall adalah resource Cloud NGFW yang mengaktifkan kemampuan perlindungan lanjutan lapisan 7, seperti pencegahan intrusi, di jaringan Anda. Untuk mengetahui informasi selengkapnya, lihat Ringkasan endpoint firewall.

Aturan firewall

Aturan {i>firewall<i} adalah elemen penyusun keamanan jaringan. Aturan firewall mengontrol traffic masuk atau keluar ke instance virtual machine (VM). Secara default, traffic masuk akan diblokir. Untuk mengetahui informasi selengkapnya, lihat Kebijakan firewall.

Firewall Rules Logging

dengan Firewall Rules Logging, Anda dapat mengaudit, memverifikasi, dan menganalisis efek aturan firewall Anda. Misalnya, Anda dapat menentukan apakah aturan firewall yang dirancang untuk menolak traffic berfungsi sebagaimana mestinya. Firewall Rules Logging juga berguna jika Anda perlu menentukan jumlah koneksi yang terpengaruh oleh aturan firewall tertentu. Untuk mengetahui informasi lebih lanjut, lihat Logging Aturan Firewall.

Kebijakan firewall

Dengan kebijakan firewall, Anda dapat mengelompokkan beberapa aturan firewall, sehingga Anda dapat memperbaruinya sekaligus, yang dikontrol secara efektif melalui peran IAM. Kebijakan firewall terdiri dari tiga jenis, Kebijakan firewall hierarkis, kebijakan firewall jaringan global, dan kebijakan firewall jaringan regional. Untuk mengetahui informasi selengkapnya, lihat Kebijakan firewall.

Aturan kebijakan firewall

Saat membuat aturan kebijakan firewall, Anda menetapkan sekumpulan komponen yang menentukan fungsi aturan. Komponen ini menentukan karakteristik arah traffic, sumber, tujuan, dan lapisan 4 seperti protokol dan port tujuan (jika protokol menggunakan port). Komponen-komponen ini disebut aturan kebijakan {i>firewall<i}. Untuk mengetahui informasi lebih lanjut, lihat Aturan kebijakan firewall.

Objek FQDN

Nama domain yang sepenuhnya memenuhi syarat (FQDN) adalah nama lengkap resource tertentu di internet. Misalnya, cloud.google.com. Objek FQDN dalam aturan kebijakan firewall memfilter traffic masuk atau keluar dari atau ke nama domain tertentu. Berdasarkan arah traffic, alamat IP yang terkait dengan nama domain dicocokkan dengan sumber atau tujuan traffic. Untuk mengetahui informasi selengkapnya, lihat Objek FQDN.

Objek geolokasi

Gunakan objek geolokasi dalam aturan kebijakan firewall untuk memfilter traffic IPv4 eksternal dan IPv6 eksternal berdasarkan lokasi geografis atau region tertentu. Anda dapat menggunakan objek geolokasi bersama dengan filter sumber atau tujuan lainnya. Untuk mengetahui informasi selengkapnya, lihat Objek geolokasi.

Kebijakan firewall jaringan global

Kebijakan firewall jaringan global memungkinkan Anda mengelompokkan aturan ke dalam objek kebijakan yang berlaku untuk semua wilayah (global). Setelah Anda mengaitkan kebijakan firewall jaringan global dengan jaringan VPC, aturan dalam kebijakan tersebut dapat diterapkan ke resource dalam jaringan VPC. Untuk spesifikasi dan detail kebijakan firewall jaringan global, lihat Kebijakan firewall jaringan global.

Kebijakan firewall hierarkis

Dengan kebijakan firewall hierarkis, Anda dapat mengelompokkan aturan ke dalam objek kebijakan yang dapat diterapkan ke banyak jaringan VPC dalam satu atau beberapa project. Anda dapat mengaitkan Kebijakan firewall hierarkis dengan seluruh organisasi atau masing-masing folder. Untuk spesifikasi dan detail kebijakan firewall hierarkis, lihat Kebijakan firewall hierarkis.

Identity and Access Management

IAM Google Cloud memungkinkan Anda memberikan akses terperinci ke resource Google Cloud tertentu dan membantu mencegah akses ke resource lain. IAM memungkinkan Anda menerapkan prinsip keamanan dengan hak istimewa terendah, yang menyatakan bahwa tidak boleh ada orang yang memiliki izin lebih dari yang sebenarnya diperlukan. Untuk mengetahui informasi selengkapnya, lihat Ringkasan IAM.

Aturan tersirat

Setiap jaringan VPC memiliki dua aturan firewall IPv4 tersirat. Jika IPv6 diaktifkan di jaringan VPC, jaringan ini juga memiliki dua aturan firewall IPv6 tersirat. Aturan ini tidak ditampilkan di Konsol Google Cloud.

Aturan firewall IPv4 tersirat ada di semua jaringan VPC, terlepas dari cara jaringan dibuat atau apakah jaringan tersebut mode otomatis atau jaringan VPC mode kustom. Jaringan default memiliki aturan implisit yang sama. Untuk informasi selengkapnya, lihat Aturan tersirat.

Layanan pencegahan penyusupan

Layanan pencegahan intrusi Cloud NGFW terus-menerus memantau traffic workload Google Cloud Anda untuk mendeteksi aktivitas berbahaya apa pun dan mengambil tindakan preemtif untuk mencegahnya. Aktivitas berbahaya tersebut dapat mencakup ancaman seperti intrusi, malware, spyware, serta serangan perintah dan kontrol di jaringan Anda. Untuk mengetahui informasi selengkapnya, Ringkasan layanan pencegahan penyusupan.

Kebijakan firewall jaringan

Kebijakan firewall jaringan yang juga dikenal sebagai Kebijakan firewall, memungkinkan Anda mengelompokkan beberapa aturan firewall sehingga Anda dapat memperbarui semuanya sekaligus, yang dikontrol secara efektif oleh peran IAM. Kebijakan ini berisi aturan yang dapat secara eksplisit menolak atau mengizinkan koneksi, seperti halnya aturan firewall VPC. Hal ini termasuk kebijakan firewall jaringan global dan regional. Untuk mengetahui informasi selengkapnya, lihat Kebijakan firewall.

Network tags

Tag jaringan adalah string karakter yang ditambahkan ke kolom tag dalam resource, seperti instance VM Compute Engine atau template instance. Tag bukan resource terpisah, jadi Anda tidak dapat membuatnya secara terpisah. Semua resource dengan string tersebut dianggap memiliki tag tersebut. Tag memungkinkan Anda membuat aturan firewall VPC dan rute yang berlaku untuk instance VM tertentu.

Duplikasi Paket

Duplikasi Paket mengkloning traffic instance VM tertentu di jaringan VPC Anda dan meneruskan traffic untuk diperiksa. Duplikasi Paket mencatat semua data traffic dan paket, termasuk payload dan header. Anda dapat mengonfigurasi pengambilan untuk traffic keluar dan masuk, khusus traffic masuk atau traffic keluar. Duplikasi Paket berguna saat Anda perlu memantau dan menganalisis status keamanan. Fitur ini mengekspor semua traffic, bukan hanya traffic di antara periode pengambilan sampel.

Pewarisan kebijakan

Secara default, kebijakan organisasi diwarisi oleh turunan resource tempat Anda menerapkan kebijakan tersebut. Misalnya, jika Anda menerapkan kebijakan pada folder, Google Cloud akan menerapkan kebijakan tersebut pada semua project di folder tersebut. Untuk mempelajari perilaku ini lebih lanjut dan cara mengubahnya, lihat Aturan evaluasi hierarki.

Prioritas

Prioritas aturan dalam kebijakan firewall adalah bilangan bulat dari 0 hingga 2.147.483.647, inklusif. Bilangan bulat yang lebih rendah menunjukkan prioritas yang lebih tinggi. Untuk mengetahui informasi selengkapnya, lihat Prioritas.

Kebijakan firewall jaringan regional

Dengan kebijakan firewall jaringan regional, Anda dapat mengelompokkan aturan ke dalam objek kebijakan yang berlaku untuk region tertentu. Setelah Anda mengaitkan kebijakan firewall jaringan regional dengan jaringan VPC, aturan dalam kebijakan tersebut dapat diterapkan ke resource dalam region jaringan VPC tersebut. Untuk mengetahui spesifikasi dan detail kebijakan firewall regional, lihat Kebijakan firewall jaringan regional.

Mengamankan profil

Profil aman atau keamanan membantu Anda menentukan kebijakan pemeriksaan lapisan 7 untuk resource Google Cloud. Ini adalah struktur kebijakan umum yang digunakan oleh endpoint firewall untuk memindai traffic yang disadap guna menyediakan layanan lapisan aplikasi, seperti pencegahan intrusi. Untuk mengetahui informasi selengkapnya, lihat Ringkasan profil keamanan.

Grup profil keamanan

Grup profil keamanan adalah penampung untuk profil keamanan. Aturan kebijakan firewall merujuk pada grup profil keamanan untuk mengaktifkan pemeriksaan lapisan 7, seperti pencegahan intrusi, di jaringan Anda. Untuk mengetahui informasi selengkapnya, lihat Ringkasan grup profil keamanan.

Indikasi Nama Server

Server Name Indication (SNI) adalah ekstensi dari protokol jaringan komputer TLS. SNI memungkinkan beberapa situs HTTPS berbagi IP dan sertifikat TLS, sehingga lebih efisien dan hemat biaya karena Anda tidak memerlukan sertifikat individual untuk setiap situs di server yang sama.

Tag

Hierarki resource Google Cloud adalah cara untuk mengatur resource Anda ke dalam struktur pohon. Hierarki ini membantu Anda mengelola resource dalam skala besar, tetapi hanya memodelkan beberapa dimensi bisnis, termasuk struktur organisasi, region, jenis workload, dan pusat biaya. Hierarki tidak memiliki fleksibilitas untuk menyusun beberapa dimensi bisnis bersama-sama.

Tag menyediakan cara untuk membuat anotasi untuk resource, dan dalam beberapa kasus, mengizinkan atau menolak kebijakan secara bersyarat berdasarkan apakah resource memiliki tag tertentu atau tidak. Anda dapat menggunakan tag dan penegakan bersyarat kebijakan untuk kontrol terperinci di seluruh hierarki resource.

Tag berbeda dari tag jaringan. Untuk mengetahui informasi lebih lanjut tentang perbedaan antara Tag dan tag jaringan, lihat Perbandingan Tag dan tag jaringan.

Kecerdasan ancaman

Dengan aturan kebijakan firewall, Anda dapat mengamankan jaringan dengan mengizinkan atau memblokir traffic berdasarkan data Threat Intelligence. Data Threat Intelligence mencakup daftar alamat IP berdasarkan node keluar Tor, alamat IP berbahaya yang diketahui, mesin telusur, dan rentang alamat IP cloud publik. Untuk mengetahui informasi selengkapnya, baca artikel Kecerdasan Ancaman untuk aturan kebijakan firewall.

Tanda tangan ancaman

Deteksi ancaman berbasis tanda tangan adalah salah satu mekanisme yang paling umum digunakan untuk mengidentifikasi perilaku berbahaya, sehingga banyak digunakan untuk mencegah serangan jaringan. Kemampuan deteksi ancaman Cloud NGFW didukung oleh teknologi pencegahan ancaman Pao Alto Networks. Untuk mengetahui informasi selengkapnya, lihat Ringkasan tanda tangan ancaman.

Pemeriksaan Keamanan Lapisan Transport

Cloud NGFW menawarkan layanan intersepsi dan dekripsi TLS yang dapat memeriksa traffic terenkripsi dan tidak terenkripsi untuk mendeteksi serangan dan gangguan jaringan. Koneksi TLS diperiksa pada koneksi masuk dan keluar, termasuk traffic ke dan dari internet, serta traffic dalam Google Cloud.

Cloud NGFW mendekripsi traffic TLS agar endpoint firewall dapat melakukan pemeriksaan lapisan 7, seperti pencegahan intrusi, di jaringan Anda. Setelah pemeriksaan, Cloud NGFW akan mengenkripsi ulang traffic sebelum mengirimkannya ke tujuannya. Untuk informasi selengkapnya, lihat Ringkasan pemeriksaan TLS.

Tag untuk firewall

Tag juga disebut sebagai tag aman. Tag memungkinkan Anda menentukan sumber dan target dalam kebijakan firewall jaringan global dan kebijakan firewall jaringan regional. Tag berbeda dari tag jaringan. Tag jaringan adalah string sederhana, bukan kunci dan nilai, serta tidak menawarkan jenis kontrol akses apa pun. Untuk informasi selengkapnya tentang perbedaan antara Tag dan tag jaringan serta produk yang mendukung masing-masing tag, lihat Perbandingan Tag dan tag jaringan.

Aturan firewall VPC

Dengan aturan firewall VPC, Anda dapat mengizinkan atau menolak koneksi ke atau dari instance VM di jaringan VPC Anda. Aturan firewall VPC yang aktif akan selalu diterapkan, sehingga melindungi instance Anda, terlepas dari konfigurasi dan sistem operasinya, meskipun belum dimulai. Aturan ini berlaku untuk project dan jaringan tertentu. Untuk mengetahui informasi selengkapnya, lihat Aturan firewall VPC.

Langkah selanjutnya