Dengan Kebijakan firewall jaringan global, Anda dapat memperbarui semua aturan firewall sekaligus dengan mengelompokkannya ke dalam satu objek kebijakan. Anda dapat menetapkan kebijakan firewall jaringan ke jaringan Virtual Private Cloud (VPC). Kebijakan ini berisi aturan yang dapat secara eksplisit menolak atau mengizinkan koneksi.
Spesifikasi
- Kebijakan firewall jaringan global adalah resource container untuk aturan firewall.
Setiap resource kebijakan firewall jaringan global ditentukan dalam sebuah project.
- Setelah membuat kebijakan firewall jaringan global, Anda dapat menambahkan, memperbarui, dan menghapus aturan firewall dalam kebijakan tersebut.
- Untuk mengetahui informasi spesifikasi tentang aturan dalam kebijakan firewall jaringan global, lihat Aturan kebijakan firewall.
- Untuk menerapkan aturan kebijakan firewall jaringan global ke jaringan VPC, Anda harus associate kebijakan firewall dengan jaringan VPC tersebut.
- Anda dapat mengaitkan kebijakan firewall jaringan global dengan beberapa jaringan VPC. Pastikan kebijakan firewall dan jaringan terkait termasuk dalam project yang sama.
- Setiap jaringan VPC hanya dapat dikaitkan dengan satu kebijakan firewall jaringan global.
- Jika kebijakan firewall tersebut tidak terkait dengan jaringan VPC apa pun, aturan dalam kebijakan tersebut tidak akan berpengaruh. Kebijakan firewall yang tidak dikaitkan dengan jaringan apa pun merupakan kebijakan firewall jaringan global yang tidak dikaitkan.
- Ketika kebijakan firewall jaringan global dikaitkan dengan satu atau beberapa jaringan VPC, aturan kebijakan firewall akan diterapkan dengan cara berikut:
- Aturan yang ada diterapkan terhadap resource yang berlaku dalam jaringan VPC terkait.
- Setiap perubahan yang dibuat pada aturan akan diterapkan terhadap resource yang berlaku di jaringan VPC terkait.
- Aturan dalam kebijakan firewall jaringan global diterapkan bersama dengan aturan firewall lainnya seperti yang dijelaskan dalam Urutan evaluasi kebijakan dan aturan.
Aturan kebijakan firewall jaringan global digunakan untuk mengonfigurasi pemeriksaan lapisan 7 dari traffic yang cocok, misalnya saat menggunakan layanan pencegahan intrusi.
Anda membuat aturan kebijakan firewall dengan tindakan
apply_security_profile_groupdan nama grup profil keamanan. Traffic yang cocok dengan aturan kebijakan firewall secara transparan diteruskan ke endpoint firewall untuk pemeriksaan lapisan 7. Untuk mempelajari cara membuat aturan kebijakan firewall, lihat Membuat aturan firewall jaringan global.
Detail aturan kebijakan firewall jaringan global
Untuk mengetahui informasi lebih lanjut tentang komponen dan parameter aturan dalam kebijakan firewall jaringan global, baca Aturan kebijakan firewall.
Tabel berikut merangkum perbedaan utama antara aturan kebijakan firewall jaringan global dan aturan firewall VPC:
| Aturan kebijakan firewall jaringan global | Aturan firewall VPC | |
|---|---|---|
| Nomor prioritas | Harus unik di dalam kebijakan | Prioritas duplikat diizinkan |
| Akun layanan sebagai target | Ya | Ya |
| Akun layanan sebagai sumber (khusus aturan masuk) |
Tidak | Ya |
| Jenis tag | Tag aman | Tag jaringan |
| Nama dan deskripsi | Nama kebijakan, kebijakan, dan deskripsi aturan | Nama dan deskripsi aturan |
| Update massal | Ya—untuk fungsi clone, edit, dan penggantian kebijakan | Tidak |
| Gunakan lagi | Ya | Tidak |
| Kuota | Jumlah atribut—berdasarkan total kompleksitas dari setiap aturan dalam kebijakan | Jumlah aturan—aturan firewall yang kompleks dan sederhana memiliki dampak kuota yang sama |
Aturan yang telah ditetapkan
Saat Anda membuat kebijakan firewall jaringan global, Cloud Next Generation Firewall akan menambahkan aturan yang telah ditetapkan dengan prioritas terendah ke kebijakan tersebut. Aturan ini diterapkan ke setiap koneksi yang tidak cocok dengan aturan yang didefinisikan secara eksplisit dalam kebijakan, sehingga menyebabkan koneksi tersebut diteruskan ke kebijakan atau aturan jaringan di tingkat yang lebih rendah.
Untuk mempelajari berbagai jenis aturan standar dan karakteristiknya, lihat Aturan standar.
Peran Identity and Access Management (IAM)
Peran IAM mengatur tindakan berikut sehubungan dengan kebijakan firewall jaringan global:
- Membuat kebijakan {i>firewall<i} jaringan global
- Mengaitkan kebijakan dengan jaringan
- Memodifikasi kebijakan yang sudah ada
- Melihat aturan firewall yang efektif untuk jaringan atau VM tertentu
Tabel berikut menjelaskan peran yang diperlukan untuk setiap tindakan:
| Tindakan | Peran yang diperlukan |
|---|---|
| Membuat kebijakan firewall jaringan global baru | Peran compute.securityAdmin pada project tempat kebijakan tersebut diterapkan |
| Mengaitkan kebijakan dengan jaringan | Peran compute.networkAdmin pada project tempat kebijakan diterapkan |
| Mengubah kebijakan dengan menambahkan, memperbarui, atau menghapus aturan firewall kebijakan | peran compute.securityAdmin pada project tempat kebijakan diterapkan |
| Menghapus kebijakan | Peran compute.networkAdmin pada project tempat kebijakan diterapkan |
| Melihat aturan firewall yang efektif untuk jaringan VPC | Salah satu peran berikut untuk jaringan: compute.networkAdmin compute.networkViewer compute.securityAdmin compute.viewer |
| Melihat aturan firewall yang efektif untuk VM di jaringan | Salah satu peran berikut untuk VM: compute.instanceAdmin compute.securityAdmin compute.viewer |
Peran berikut relevan dengan kebijakan firewall jaringan global.
| Nama peran | Deskripsi |
|---|---|
| compute.securityAdmin | Dapat diberikan pada level project atau kebijakan. Jika diizinkan untuk sebuah project, pengguna akan diizinkan membuat, memperbarui, dan menghapus kebijakan firewall jaringan global beserta aturannya. Di tingkat kebijakan, memungkinkan pengguna memperbarui aturan kebijakan, tetapi tidak membuat atau menghapus kebijakan. Peran ini juga memungkinkan pengguna mengaitkan kebijakan dengan jaringan. |
| compute.networkAdmin | Diberikan pada level project atau level jaringan. Jika diizinkan untuk jaringan, izinkan pengguna melihat daftar kebijakan firewall jaringan global. |
|
compute.viewer compute.networkUser compute.networkViewer |
Mengizinkan pengguna melihat aturan firewall yang diterapkan pada jaringan atau instance. Mencakup izin compute.networks.getEffectiveFirewalls untuk jaringan dan compute.instances.getEffectiveFirewalls untuk instance. |