Ringkasan migrasi aturan firewall VPC

Aturan firewall Virtual Private Cloud (VPC) berlaku untuk satu jaringan VPC. Untuk memiliki kontrol yang lebih baik atas traffic yang dikirim atau diterima oleh instance virtual machine (VM) di jaringan VPC, Anda dapat menggunakan tag jaringan atau akun layanan pada aturan firewall VPC. Namun, aturan firewall VPC memiliki batasan berikut:

• Tanpa Pengeditan Batch: Aturan firewall VPC diterapkan per aturan dan harus diedit satu per satu, sehingga mungkin tidak efisien.

• Kontrol Pengelolaan Akses dan Identitas (IAM) Terbatas: Tag jaringan tidak menawarkan kontrol IAM kuat yang diperlukan untuk segmentasi traffic yang ketat.

Untuk mengatasi keterbatasan aturan firewall VPC, Firewall Cloud Next Generation mendukung kebijakan firewall jaringan global dan regional. Anda dapat menentukan dan menerapkan kebijakan firewall jaringan ke banyak jaringan VPC di berbagai region. Kebijakan ini juga mendukung Tag aman yang diatur IAM dan memungkinkan Anda menerapkan kontrol terperinci pada tingkat VM untuk segmentasi mikro yang aman dan andal dari semua jenis traffic jaringan.

Untuk informasi selengkapnya, lihat Manfaat memigrasikan aturan firewall VPC ke kebijakan firewall jaringan.

Untuk memanfaatkan kemampuan kebijakan firewall jaringan guna mengontrol akses ke jaringan VPC Anda secara efektif, Anda dapat memigrasikan aturan firewall VPC yang sudah ada ke kebijakan firewall jaringan global.

Manfaat memigrasikan aturan firewall VPC ke kebijakan firewall jaringan

Kebijakan firewall jaringan menghadirkan pengalaman firewall yang konsisten di seluruh hierarki resource Google Cloud dan menawarkan beberapa manfaat operasional dibandingkan aturan firewall VPC.

• Memberikan keamanan dan kontrol akses terperinci menggunakan Tag yang diatur oleh IAM. Dengan Google Cloud, Anda dapat melampirkan Tag terpisah ke setiap antarmuka jaringan VM. Berdasarkan Tag, Anda dapat menentukan aturan kebijakan firewall untuk membatasi akses tidak sah ke resource dan traffic beban kerja Anda. Jadi, Anda mendapatkan tingkat kontrol yang lebih terbatas atas resource, yang membantu memastikan lingkungan layanan mandiri dengan hak istimewa terendah untuk setiap grup pengguna atau aplikasi. Aturan firewall VPC menggunakan tag jaringan, yang tidak mendukung kontrol akses IAM.

• Mengaktifkan pengelolaan aturan yang disederhanakan. Kebijakan firewall jaringan mendukung pengeditan batch, yang memungkinkan Anda mengedit beberapa aturan dalam satu kebijakan. Aturan firewall VPC hanya beroperasi pada level per aturan.

• Mempermudah pengoperasian. Kebijakan firewall jaringan mendukung penggunaan fitur, seperti grup alamat, objek nama domain yang sepenuhnya memenuhi syarat (FQDN), objek geolokasi, deteksi ancaman, dan pencegahan penyusupan. Aturan firewall VPC tidak mendukung fitur lanjutan ini.

• Mendukung residensi data yang fleksibel. Kebijakan {i>firewall<i} jaringan dapat diterapkan ke beberapa region atau satu region jaringan. Aturan firewall VPC hanya dapat diterapkan secara global.

Alat migrasi aturan firewall VPC

Alat migrasi aturan firewall VPC dapat otomatis memigrasikan aturan firewall VPC ke kebijakan firewall jaringan global. Alat ini adalah utilitas command line yang dapat Anda akses menggunakan Google Cloud CLI.

Spesifikasi

• Alat migrasi membuat kebijakan firewall jaringan global, mengonversi aturan firewall VPC yang ada menjadi aturan kebijakan firewall, dan menambahkan aturan baru ke kebijakan tersebut.

• Jika dua atau beberapa aturan firewall VPC memiliki prioritas yang sama, alat migrasi akan otomatis memperbarui prioritas aturan untuk menghindari tumpang-tindih. Aturan dengan tindakan deny diberi prioritas lebih tinggi daripada aturan dengan tindakan allow. Saat memperbarui prioritas, alat ini mempertahankan urutan relatif dari aturan firewall VPC asli.

  Misalnya, jika Anda memiliki empat aturan firewall VPC dengan prioritas 1000 dan aturan kelima dengan prioritas 2000, alat migrasi akan menetapkan nomor prioritas unik ke empat aturan pertama dengan urutan—1000, 1001, 1002, dan 1003. Aturan kelima dengan prioritas 2000 diberi prioritas unik baru, yaitu 1004. Cara ini memastikan bahwa prioritas baru untuk empat aturan pertama lebih tinggi daripada prioritas semua aturan yang memiliki prioritas lebih rendah dari 1000.

• Jika aturan firewall VPC Anda berisi dependensi, seperti tag jaringan atau akun layanan, alat migrasi dapat memanfaatkan Tag yang diatur IAM yang berfungsi sebagai pengganti tag jaringan dan akun layanan tersebut.

• Jika jaringan VPC Anda berisi aturan firewall VPC dan kebijakan firewall jaringan terkait, alat migrasi akan memindahkan aturan firewall VPC yang kompatibel serta aturan kebijakan firewall jaringan ke kebijakan firewall jaringan global yang baru.

• Alat migrasi tidak memigrasikan aturan firewall VPC yang dibuat secara otomatis oleh layanan Google, seperti Google Kubernetes Engine (GKE). Aturan ini tetap ada di jaringan Anda sebagai aturan firewall VPC. Jadi, jika jaringan VPC Anda berisi resource GKE, hubungi Dukungan Google Cloud guna mengidentifikasi strategi terbaik untuk memigrasikan aturan firewall VPC yang dihasilkan GKE.

• Alat migrasi mempertahankan setelan log aturan firewall VPC yang sudah ada. Jika aturan firewall VPC mengaktifkan logging, alat migrasi akan tetap mengaktifkannya. Jika logging tidak aktif, alat migrasi akan membuatnya tetap menonaktifkannya.

• Alat migrasi hanya membuat kebijakan firewall jaringan global. Alat ini tidak menghapus aturan firewall VPC yang ada, atau mengaitkan kebijakan firewall jaringan global yang baru dengan jaringan VPC yang diperlukan. Anda harus secara manual mengaitkan kebijakan firewall jaringan global dengan jaringan VPC yang diperlukan, lalu menghapus pengaitan antara aturan firewall VPC dan jaringan VPC.

• Setelah mengaitkan kebijakan firewall jaringan global dengan jaringan VPC yang diperlukan, Anda dapat menonaktifkan aturan firewall VPC jika aturan kebijakan di kebijakan firewall jaringan global berfungsi sebagaimana mestinya.

  Anda dapat mengaitkan kebijakan firewall jaringan global yang baru serta aturan firewall VPC dengan jaringan VPC yang sama karena aturan tersebut diterapkan sesuai dengan urutan evaluasi aturan dan kebijakan. Namun, sebaiknya nonaktifkan aturan firewall VPC.

Skenario migrasi

Pertimbangkan skenario berikut saat Anda memigrasikan aturan firewall VPC ke kebijakan firewall jaringan global:

• Aturan firewall VPC tidak berisi tag jaringan atau akun layanan.
• Aturan firewall VPC berisi tag jaringan atau akun layanan target, atau keduanya.

Diagram berikut menunjukkan alur kerja migrasi untuk kombinasi konfigurasi sebelumnya. Pilih alur kerja yang sesuai dengan persyaratan jaringan Anda.

Langkah selanjutnya

• Memigrasikan aturan firewall VPC yang tidak menggunakan tag jaringan dan akun layanan
• Memigrasikan aturan firewall VPC yang menggunakan tag jaringan dan akun layanan