Istilah utama

Halaman ini menyediakan terminologi utama yang berlaku untuk Cloud Next Generation Firewall. Tinjau istilah-istilah berikut untuk lebih memahami cara kerja Cloud NGFW dan konsep yang mendasarinya.

Grup alamat

Grup alamat adalah kumpulan logis dari rentang alamat IPv4 atau rentang alamat IPv6 dalam format CIDR. Anda dapat menggunakan grup alamat untuk menentukan sumber atau tujuan yang konsisten yang dirujuk oleh banyak aturan firewall. Untuk mengetahui informasi selengkapnya tentang grup alamat, lihat Grup alamat untuk kebijakan firewall.

Format CIDR

Format atau notasi Classless Inter-Domain Routing (CIDR) adalah metode untuk merepresentasikan alamat IP dan subnetnya. Ini adalah alternatif untuk menulis seluruh subnet mask. URL ini terdiri dari alamat IP, diikuti dengan garis miring depan (/), dan angka. Angka ini menunjukkan jumlah bit dalam alamat IP yang menentukan bagian jaringan.

Cloud NGFW

Cloud Next Generation Firewall adalah layanan firewall yang terdistribusi sepenuhnya dengan kemampuan perlindungan tingkat lanjut, segmentasi mikro, dan cakupan yang luas untuk melindungi workload Google Cloud Anda dari serangan internal dan eksternal. Cloud NGFW tersedia dalam tiga tingkat: Cloud Next Generation Firewall Essentials, Cloud Next Generation Firewall Standard, dan Cloud Next Generation Firewall Enterprise. Untuk informasi selengkapnya, lihat Ringkasan Cloud NGFW.

Cloud NGFW Essentials

Cloud Next Generation Firewall Essentials adalah layanan firewall dasar yang ditawarkan oleh Google Cloud. Fitur ini mencakup fitur dan kemampuan seperti kebijakan firewall jaringan global dan kebijakan firewall jaringan regional, Tag yang diatur Identity and Access Management (IAM), Grup alamat, dan aturan firewall Virtual Private Cloud (VPC). Untuk informasi selengkapnya, lihat Ringkasan Dasar-Dasar Cloud NGFW.

Cloud NGFW Enterprise

Cloud Next Generation Firewall Enterprise menyediakan kemampuan keamanan Lapisan 7 lanjutan yang melindungi workload Google Cloud Anda dari ancaman dan serangan berbahaya. Layanan ini mencakup layanan pencegahan intrusi dengan intersepsi dan dekripsi Transport Layer Security (TLS), yang memberikan deteksi dan pencegahan ancaman dari malware, spyware, dan serangan perintah dan kontrol di jaringan Anda.

Cloud NGFW Standard

Cloud NGFW Standard memperluas fitur Cloud NGFW Essentials untuk memberikan kemampuan yang ditingkatkan guna melindungi infrastruktur cloud Anda dari serangan berbahaya. Fitur ini mencakup fitur dan kemampuan seperti kecerdasan ancaman untuk aturan kebijakan firewall, objek nama domain yang sepenuhnya memenuhi syarat (FQDN), dan objek geolokasi dalam aturan kebijakan firewall.

Endpoint firewall

Endpoint firewall adalah resource Cloud NGFW yang memungkinkan kemampuan perlindungan lanjutan lapisan 7, seperti pencegahan penyusupan, di jaringan Anda. Untuk mengetahui informasi selengkapnya, lihat Ringkasan endpoint firewall.

Aturan firewall

Aturan firewall adalah elemen penyusun keamanan jaringan. Aturan firewall mengontrol traffic yang masuk atau keluar ke instance virtual machine (VM). Secara default, traffic masuk diblokir. Untuk mengetahui informasi selengkapnya, lihat Kebijakan firewall.

Firewall Rules Logging

Logging Aturan Firewall memungkinkan Anda mengaudit, memverifikasi, dan menganalisis efek aturan firewall Anda. Misalnya, Anda dapat menentukan apakah aturan firewall yang dirancang untuk menolak traffic berfungsi sebagaimana mestinya. Logging Aturan Firewall juga berguna jika Anda perlu menentukan jumlah koneksi yang terpengaruh oleh aturan firewall tertentu. Untuk mengetahui informasi selengkapnya, lihat Logging Aturan Firewall.

Kebijakan firewall

Kebijakan firewall memungkinkan Anda mengelompokkan beberapa aturan firewall sehingga Anda dapat memperbaruinya sekaligus, yang dikontrol secara efektif oleh peran IAM. Kebijakan firewall terdiri dari tiga jenis, yaitu Kebijakan firewall hierarkis, kebijakan firewall jaringan global, dan kebijakan firewall jaringan regional. Untuk mengetahui informasi selengkapnya, lihat Kebijakan firewall.

Aturan kebijakan firewall

Saat membuat aturan kebijakan firewall, Anda menentukan serangkaian komponen yang menentukan tindakan aturan. Komponen ini menentukan arah traffic, sumber, tujuan, dan karakteristik Lapisan 4 seperti protokol dan port tujuan (jika protokol menggunakan port). Komponen ini disebut aturan kebijakan firewall. Untuk mengetahui informasi selengkapnya, lihat Aturan kebijakan firewall.

Objek FQDN

Nama domain yang sepenuhnya memenuhi syarat (FQDN) adalah nama lengkap resource tertentu di internet. Misalnya, cloud.google.com. Objek FQDN dalam aturan kebijakan firewall memfilter traffic masuk atau keluar dari atau ke nama domain tertentu. Berdasarkan rute traffic, alamat IP yang terkait dengan nama domain akan dicocokkan dengan sumber atau tujuan traffic. Untuk mengetahui informasi selengkapnya, lihat Objek FQDN.

Objek geolokasi

Gunakan objek geolokasi dalam aturan kebijakan firewall untuk memfilter traffic IPv4 eksternal dan IPv6 eksternal berdasarkan lokasi atau wilayah geografis tertentu. Anda dapat menggunakan objek geolokasi bersama dengan filter sumber atau tujuan lainnya. Untuk mengetahui informasi selengkapnya, lihat Objek geolokasi.

Kebijakan firewall jaringan global

Kebijakan firewall jaringan global memungkinkan Anda mengelompokkan aturan ke dalam objek kebijakan yang berlaku untuk semua region (global). Setelah Anda mengaitkan kebijakan firewall jaringan global dengan jaringan VPC, aturan dalam kebijakan tersebut dapat berlaku untuk resource di jaringan VPC. Untuk mengetahui spesifikasi dan detail kebijakan firewall jaringan global, lihat Kebijakan firewall jaringan global.

Kebijakan firewall hierarkis

Kebijakan firewall hierarkis memungkinkan Anda mengelompokkan aturan ke dalam objek kebijakan yang dapat diterapkan ke banyak jaringan VPC dalam satu atau beberapa project. Anda dapat mengaitkan Kebijakan firewall hierarkis dengan seluruh organisasi atau folder individual. Untuk mengetahui spesifikasi dan detail Kebijakan firewall hierarkis, lihat Kebijakan firewall hierarkis.

Identity and Access Management

IAM Google Cloud memungkinkan Anda memberikan akses terperinci ke resource Google Cloud tertentu dan membantu mencegah akses ke resource lain. IAM memungkinkan Anda menerapkan prinsip keamanan dengan hak istimewa terendah, yang menyatakan tidak ada yang boleh memiliki izin lebih dari yang sebenarnya dibutuhkan. Untuk informasi selengkapnya, lihat Ringkasan IAM.

Aturan tersirat

Setiap jaringan VPC memiliki dua aturan firewall IPv4 tersirat. Jika IPv6 diaktifkan di jaringan VPC, jaringan tersebut juga memiliki dua aturan firewall IPv6 tersirat. Aturan ini tidak ditampilkan di konsol Google Cloud.

Aturan firewall IPv4 tersirat ada di semua jaringan VPC, terlepas dari cara jaringan dibuat atau apakah jaringan tersebut adalah jaringan VPC mode otomatis atau mode kustom. Jaringan default memiliki aturan implisit yang sama. Untuk mengetahui informasi selengkapnya, lihat Aturan tersirat.

Layanan pencegahan penyusupan

Layanan pencegahan penyusupan Cloud NGFW terus memantau traffic beban kerja Google Cloud Anda untuk mendeteksi aktivitas berbahaya dan mengambil tindakan pencegahan untuk mencegahnya. Aktivitas berbahaya dapat mencakup ancaman seperti penyusupan, malware, spyware, dan serangan perintah dan kontrol di jaringan Anda. Untuk informasi selengkapnya, Ringkasan layanan pencegahan penyusupan.

Kebijakan firewall jaringan

Kebijakan firewall jaringan, yang juga dikenal sebagai Kebijakan firewall, memungkinkan Anda mengelompokkan beberapa aturan firewall sehingga Anda dapat memperbaruinya sekaligus, yang dikontrol secara efektif oleh peran IAM. Kebijakan ini berisi aturan yang dapat secara eksplisit menolak atau mengizinkan koneksi, seperti halnya aturan firewall VPC. Hal ini mencakup kebijakan firewall jaringan global dan regional. Untuk mengetahui informasi selengkapnya, lihat Kebijakan firewall.

Network tags

Tag jaringan adalah string karakter yang ditambahkan ke kolom tag dalam resource, seperti instance VM Compute Engine atau template instance. Tag bukanlah resource terpisah, jadi Anda tidak dapat membuatnya secara terpisah. Semua resource dengan string tersebut dianggap memiliki tag tersebut. Tag memungkinkan Anda membuat aturan firewall VPC dan rute yang berlaku untuk instance VM tertentu.

Duplikasi Paket

Duplikasi Paket, layanan out-of-band, meng-clone traffic jaringan berdasarkan kriteria pemfilteran yang ditentukan dalam aturan pencerminan kebijakan firewall. Traffic yang diduplikasi ini kemudian dikirim ke deployment virtual appliance pihak ketiga Anda untuk deep packet inspection. Anda menggunakan Duplikasi Paket untuk menganalisis traffic jaringan beban kerja dalam skala besar. Untuk informasi selengkapnya, lihat Ringkasan integrasi out-of-band.

Pewarisan kebijakan

Secara default, kebijakan organisasi diwarisi oleh turunan resource tempat Anda menerapkan kebijakan tersebut. Misalnya, jika Anda menerapkan kebijakan pada folder, Google Cloud akan menerapkan kebijakan tersebut pada semua project di folder tersebut. Untuk mempelajari lebih lanjut perilaku ini dan cara mengubahnya, lihat Aturan evaluasi hierarki.

Prioritas

Prioritas aturan dalam kebijakan firewall adalah bilangan bulat dari 0 hingga 2.147.483.647, inklusif. Bilangan bulat yang lebih rendah menunjukkan prioritas yang lebih tinggi. Untuk mengetahui informasi selengkapnya, lihat Prioritas.

Kebijakan firewall jaringan regional

Kebijakan firewall jaringan regional memungkinkan Anda mengelompokkan aturan ke dalam objek kebijakan yang berlaku untuk region tertentu. Setelah Anda mengaitkan kebijakan firewall jaringan regional dengan jaringan VPC, aturan dalam kebijakan tersebut dapat diterapkan ke resource dalam region jaringan VPC tersebut. Untuk mengetahui spesifikasi dan detail kebijakan firewall regional, lihat Kebijakan firewall jaringan regional.

Profil aman

Profil aman atau keamanan membantu Anda menentukan kebijakan pemeriksaan Lapisan 7 untuk resource Google Cloud Anda. Ini adalah struktur kebijakan generik yang digunakan oleh endpoint firewall untuk memindai traffic yang dicegat guna menyediakan layanan lapisan aplikasi, seperti pencegahan intrusi. Untuk mengetahui informasi selengkapnya, lihat Ringkasan profil keamanan.

Grup profil keamanan

Grup profil keamanan adalah penampung untuk profil keamanan. Aturan kebijakan firewall mereferensikan grup profil keamanan untuk mengaktifkan pemeriksaan Lapisan 7, seperti pencegahan intrusi, di jaringan Anda. Untuk mengetahui informasi selengkapnya, lihat Ringkasan grup profil keamanan.

Indikasi Nama Server

Server Name Indication (SNI) adalah ekstensi untuk protokol jaringan komputer TLS. SNI memungkinkan beberapa situs HTTPS berbagi sertifikat IP dan TLS, yang lebih efisien dan hemat biaya karena Anda tidak memerlukan sertifikat terpisah untuk setiap situs di server yang sama.

Tag

Hierarki resource Google Cloud adalah cara untuk mengatur resource Anda ke dalam struktur hierarki. Hierarki ini membantu Anda mengelola resource dalam skala besar, tetapi hanya membuat model beberapa dimensi bisnis, termasuk struktur organisasi, region, jenis beban kerja, dan pusat biaya. Hierarki tidak memiliki fleksibilitas untuk menyusun beberapa dimensi bisnis secara bersamaan.

Tag menyediakan cara untuk membuat anotasi untuk resource, dan dalam beberapa kasus, mengizinkan atau menolak kebijakan secara bersyarat berdasarkan apakah resource memiliki tag tertentu. Anda dapat menggunakan tag dan penerapan kebijakan bersyarat untuk mendapatkan kontrol yang terperinci di seluruh hierarki resource.

Tag berbeda dengan tag jaringan. Untuk informasi selengkapnya tentang perbedaan antara Tag dan tag jaringan, lihat Perbandingan Tag dan tag jaringan.

Kecerdasan ancaman

Aturan kebijakan firewall memungkinkan Anda mengamankan jaringan dengan mengizinkan atau memblokir traffic berdasarkan data Intelijen Ancaman. Data Intelijen Ancaman mencakup daftar alamat IP berdasarkan node keluar Tor, alamat IP berbahaya yang diketahui, mesin telusur, dan rentang alamat IP cloud publik. Untuk mengetahui informasinya, lihat Intelijen Ancaman untuk aturan kebijakan firewall.

Tanda tangan ancaman

Deteksi ancaman berbasis tanda tangan adalah salah satu mekanisme yang paling umum digunakan untuk mengidentifikasi perilaku berbahaya, sehingga banyak digunakan untuk mencegah serangan jaringan. Kemampuan deteksi ancaman Cloud NGFW didukung oleh teknologi pencegahan ancaman Palo Alto Networks. Untuk informasi selengkapnya, lihat Ringkasan tanda tangan ancaman.

Pemeriksaan Transport Layer Security

Cloud NGFW menawarkan layanan intersepsi dan dekripsi TLS yang dapat memeriksa traffic terenkripsi dan tidak terenkripsi untuk serangan dan gangguan jaringan. Koneksi TLS diperiksa pada koneksi masuk dan keluar, termasuk traffic ke dan dari internet serta traffic dalam Google Cloud.

Cloud NGFW mendekripsi traffic TLS untuk memungkinkan endpoint firewall melakukan pemeriksaan Lapisan 7, seperti pencegahan intrusi, di jaringan Anda. Setelah pemeriksaan, Cloud NGFW mengenkripsi ulang traffic sebelum mengirimnya ke tujuan. Untuk informasi selengkapnya, lihat Ringkasan pemeriksaan TLS.

Tag untuk firewall

Tag juga disebut sebagai tag aman. Tag memungkinkan Anda menentukan sumber dan target dalam kebijakan firewall jaringan global dan kebijakan firewall jaringan regional. Tag berbeda dengan tag jaringan. Tag jaringan adalah string sederhana, bukan kunci dan nilai, serta tidak menawarkan jenis kontrol akses apa pun. Untuk informasi selengkapnya tentang perbedaan antara Tag dan tag jaringan serta produk yang mendukung masing-masing, lihat Perbandingan Tag dan tag jaringan.

Aturan firewall VPC

Dengan aturan firewall VPC, Anda dapat mengizinkan atau menolak koneksi ke atau dari instance VM di jaringan VPC. Aturan firewall VPC yang diaktifkan selalu diterapkan, sehingga melindungi instance Anda, terlepas dari konfigurasi dan sistem operasinya, meskipun belum dimulai. Aturan ini berlaku untuk project dan jaringan tertentu. Untuk mengetahui informasi selengkapnya, lihat Aturan firewall VPC.

Langkah selanjutnya