Kebijakan firewall hierarkis

Kebijakan firewall hierarkis memungkinkan Anda membuat dan menerapkan kebijakan firewall yang konsisten di seluruh organisasi. Kebijakan {i>firewall<i} hierarkis dapat ditetapkan ke organisasi secara keseluruhan atau ke masing-masing folder. Kebijakan ini berisi aturan yang dapat secara eksplisit menolak atau mengizinkan koneksi, seperti halnya aturan firewall Virtual Private Cloud (VPC). Selain itu, aturan kebijakan firewall hierarkis dapat mendelegasikan evaluasi ke kebijakan tingkat rendah atau aturan firewall jaringan VPC dengan tindakan goto_next.

Aturan tingkat yang lebih rendah tidak dapat mengganti aturan dari tempat yang lebih tinggi dalam hierarki resource. Dengan begitu, admin seluruh organisasi dapat mengelola aturan firewall penting di satu tempat.

Spesifikasi

Kebijakan firewall hierarkis dibuat di node organisasi dan folder. Membuat kebijakan tidak akan otomatis menerapkan aturan ke node tersebut.
Kebijakan, setelah dibuat, dapat diterapkan ke (dikaitkan dengan) setiap node di organisasi.
Kebijakan firewall hierarkis adalah penampung untuk aturan firewall. Saat Anda mengaitkan kebijakan dengan organisasi atau folder, semua aturan akan langsung diterapkan. Anda dapat menukar kebijakan untuk node, yang menukar semua aturan firewall yang diterapkan ke instance virtual machine (VM) secara atomik dalam node tersebut.
Evaluasi aturan bersifat hierarkis berdasarkan hierarki resource. Semua aturan yang terkait dengan node organisasi dievaluasi, diikuti oleh aturan level pertama folder, dan seterusnya.
Aturan kebijakan firewall hierarkis memiliki tindakan goto_next baru yang dapat Anda gunakan untuk mendelegasikan evaluasi koneksi ke tingkat hierarki yang lebih rendah.

Aturan kebijakan firewall hierarkis dapat digunakan untuk mengonfigurasi pemeriksaan lapisan 7 dari traffic yang cocok, seperti layanan pencegahan intrusi.

Anda membuat aturan kebijakan firewall menggunakan tindakan apply_security_profile_group dan nama grup profil keamanan. Traffic yang cocok dengan aturan kebijakan firewall dicegat dan secara transparan diteruskan ke endpoint firewall untuk diperiksa kembali oleh lapisan 7. Untuk mempelajari cara membuat aturan kebijakan firewall, lihat Membuat aturan firewall.

Aturan kebijakan firewall hierarkis dapat ditargetkan ke jaringan VPC dan VM tertentu menggunakan resource target untuk jaringan dan akun layanan target untuk VM. Dengan begitu, Anda dapat membuat pengecualian untuk grup VM. Aturan kebijakan firewall hierarkis tidak mendukung penargetan berdasarkan tag instance.
Setiap aturan kebijakan firewall hierarkis dapat mencakup rentang IPv4 atau IPv6, tetapi tidak keduanya.
Untuk membantu terkait kepatuhan dan proses debug, aturan firewall yang diterapkan ke instance VM dapat diaudit menggunakan halaman detail jaringan VPC dan halaman detail antarmuka jaringan instance VM.

Hierarki resource

Buatlah dan terapkan kebijakan firewall sebagai langkah terpisah. Anda dapat membuat dan menerapkan kebijakan firewall pada node organisasi atau folder pada hierarki resource. Aturan kebijakan firewall dapat memblokir koneksi, mengizinkan koneksi, atau menunda evaluasi aturan firewall ke folder di level yang lebih rendah atau aturan firewall VPC yang ditentukan dalam jaringan VPC.

Organisasi adalah node tingkat teratas dalam hierarki resource di Google Cloud tempat Anda dapat membuat atau mengaitkan kebijakan firewall hierarkis. Semua folder dan jaringan VPC di organisasi mewarisi kebijakan ini.
Folder adalah node tingkat menengah dalam hierarki resource Google Cloud, antara organisasi dan project, tempat Anda dapat membuat atau menetapkan kebijakan firewall hierarkis. Semua folder dan jaringan VPC di dalam folder mewarisi kebijakan terkaitnya.
Proyek berada di bawah folder atau organisasi. Anda dapat memindahkan project antar-node dalam suatu organisasi. Project berisi jaringan VPC. Kebijakan firewall hierarkis tidak dapat ditetapkan ke project, hanya ke organisasi atau folder.
Jaringan VPC adalah partisi Google Cloud untuk komunikasi ruang IP internal yang terisolasi. Ini adalah tingkat tempat rute, kebijakan firewall jaringan, dan aturan firewall VPC tradisional ditentukan dan diterapkan. Aturan kebijakan firewall hierarkis dapat menggantikan atau mendelegasikan evaluasi koneksi ke kebijakan dan aturan firewall jaringan global.

Secara default, semua aturan kebijakan firewall hierarkis berlaku untuk semua VM di semua project dalam organisasi atau folder tempat kebijakan dikaitkan. Namun, Anda dapat membatasi VM yang mendapatkan aturan tertentu dengan menentukan jaringan target atau akun layanan target.

Tingkat hierarki tempat aturan firewall kini dapat diterapkan diwakili dalam diagram berikut. Kotak kuning mewakili kebijakan firewall hierarkis yang berisi aturan firewall, sedangkan kotak putih mewakili aturan firewall VPC.

Kebijakan firewall hierarkis yang berisi aturan (kotak kuning) di tingkat organisasi dan folder, serta aturan firewall VPC di tingkat jaringan VPC — Kebijakan firewall hierarkis yang berisi aturan (kotak kuning) diterapkan di tingkat organisasi dan folder. Aturan firewall VPC diterapkan di level jaringan VPC.

Detail kebijakan firewall hierarkis

Aturan kebijakan firewall hierarkis ditentukan dalam resource kebijakan firewall yang berfungsi sebagai container untuk aturan firewall. Aturan yang ditetapkan dalam kebijakan firewall tidak diterapkan hingga kebijakan tersebut dikaitkan dengan node (organisasi atau folder).

Satu kebijakan dapat dikaitkan dengan beberapa node. Jika Anda mengubah aturan dalam kebijakan, perubahan aturan tersebut akan berlaku untuk semua node yang saat ini terkait.

Hanya satu kebijakan firewall yang dapat dikaitkan dengan sebuah node. Aturan kebijakan firewall hierarkis dan aturan firewall VPC dievaluasi dalam urutan yang ditetapkan dengan baik.

Kebijakan firewall yang tidak terkait dengan node mana pun adalah kebijakan firewall hierarkis yang tidak dikaitkan.

Nama kebijakan

Saat Anda membuat kebijakan baru, Google Cloud akan otomatis membuat ID untuk kebijakan tersebut. Selain itu, Anda juga menentukan nama pendek untuk kebijakan. Saat menggunakan antarmuka gcloud untuk memperbarui kebijakan yang ada, Anda dapat merujuk ID yang dihasilkan sistem atau kombinasi nama pendek dan ID organisasi Anda. Saat menggunakan API untuk memperbarui kebijakan, Anda harus memberikan ID yang dibuat sistem.

Detail aturan kebijakan firewall hierarkis

Aturan kebijakan firewall hierarkis berfungsi sama seperti aturan kebijakan firewall dan aturan firewall VPC, tetapi ada beberapa perbedaan:

Kebijakan firewall hierarkis mendukung jaringan target, sedangkan kebijakan firewall jaringan global tidak. Anda dapat menentukan jaringan target untuk membatasi aturan kebijakan firewall ke VM pada jaringan yang ditentukan. Menentukan jaringan VPC dalam aturan tersebut memberi Anda kontrol atas jaringan mana yang dikonfigurasi dengan aturan tersebut.

Bersama dengan goto_next atau allow, menentukan jaringan target memungkinkan Anda membuat pengecualian untuk jaringan tertentu saat Anda ingin menentukan kebijakan yang dibatasi.
Kebijakan firewall hierarkis tidak memiliki integrasi tag yang aman.
Kebijakan firewall hierarkis adalah resource level organisasi, sedangkan kebijakan firewall jaringan global adalah resource level project.

Aturan yang telah ditetapkan

Saat Anda membuat kebijakan firewall hierarkis, Cloud Next Generation Firewall akan menambahkan aturan standar dengan prioritas terendah ke kebijakan tersebut. Aturan ini diterapkan ke setiap koneksi yang tidak cocok dengan aturan yang didefinisikan secara eksplisit dalam kebijakan, sehingga menyebabkan koneksi tersebut diteruskan ke kebijakan atau aturan jaringan di tingkat yang lebih rendah.

Untuk mempelajari berbagai jenis aturan standar dan karakteristiknya, lihat Aturan standar.

Peran Identity and Access Management (IAM)

Peran IAM mengatur tindakan berikut sehubungan dengan kebijakan firewall hierarkis:

Membuat kebijakan yang berada di node tertentu
Mengaitkan kebijakan dengan node tertentu
Memodifikasi kebijakan yang sudah ada
Melihat aturan firewall yang efektif untuk jaringan atau VM tertentu

Tabel berikut menjelaskan peran yang diperlukan untuk setiap langkah:

Kemampuan	Peran yang diperlukan
Membuat kebijakan firewall hierarkis baru	Peran compute.orgFirewallPolicyAdmin di node tempat kebijakan diterapkan
Mengaitkan kebijakan dengan node	Peran compute.orgSecurityResourceAdmin di node target, dan peran compute.orgFirewallPolicyAdmin atau compute.orgFirewallPolicyUser di node tempat kebijakan berada atau di kebijakan itu sendiri
Mengubah kebijakan dengan menambahkan, memperbarui, atau menghapus aturan firewall kebijakan	Peran compute.orgFirewallPolicyAdmin di node tempat kebijakan berada atau di kebijakan itu sendiri
Menghapus kebijakan	Peran compute.orgFirewallPolicyAdmin di node tempat kebijakan berada atau di kebijakan itu sendiri
Melihat aturan firewall yang efektif untuk jaringan VPC	Salah satu peran berikut untuk jaringan: compute.networkAdmin compute.networkViewer compute.securityAdmin compute.viewer
Melihat aturan firewall yang efektif untuk VM di jaringan	Salah satu peran berikut untuk VM: compute.instanceAdmin compute.securityAdmin compute.viewer

Peran berikut relevan dengan kebijakan firewall hierarkis.

Nama peran	Deskripsi
compute.orgFirewallPolicyAdmin	Dapat diberikan pada node atau masing-masing kebijakan. Jika diberikan pada sebuah node, pengguna dapat membuat, memperbarui, dan menghapus kebijakan firewall hierarkis beserta aturannya. Jika diberikan pada masing-masing kebijakan, pengguna dapat memperbarui aturan kebijakan, tetapi tidak dapat membuat atau menghapus kebijakan. Peran ini juga memungkinkan pengguna mengaitkan kebijakan dengan node jika mereka juga memiliki peran `compute.orgSecurityResourceAdmin` pada node tersebut.
compute.orgSecurityResourceAdmin	Diberikan pada tingkat organisasi atau ke folder, memungkinkan administrator tingkat folder mengaitkan kebijakan dengan node tersebut. Untuk menggunakannya, administrator juga harus memiliki peran `compute.orgFirewallPolicyUser` atau `compute.orgFirewallPolicyAdmin` di node yang memiliki kebijakan atau di kebijakan itu sendiri.
compute.orgFirewallPolicyUser	Pemberian pada node atau pada kebijakan individual, memungkinkan administrator untuk memanfaatkan setiap kebijakan atau beberapa kebijakan yang terkait dengan node. Pengguna juga harus memiliki peran `compute.orgSecurityResourceAdmin` di node target untuk mengaitkan kebijakan dengan node tersebut.
compute.securityAdmin compute.viewer compute.networkUser compute.networkViewer	Mengizinkan pengguna melihat aturan firewall yang diterapkan pada jaringan atau instance. Mencakup izin `compute.networks.getEffectiveFirewalls` untuk jaringan dan `compute.instances.getEffectiveFirewalls` untuk instance.

Pada contoh berikut, Joko dapat membuat, mengubah, dan menghapus kebijakan firewall hierarkis di folder policies, tetapi tidak dapat melampirkan kebijakan firewall hierarkis ke sebuah folder karena dia tidak memiliki peran orgSecurityResourceAdmin di folder mana pun.

Namun, karena Joko memberi Mary izin untuk menggunakan policy-1, dia dapat mencantumkan dan mengaitkan kebijakan firewall hierarkis dengan folder dev-projects atau turunannya. Peran orgFirewallPolicyUser tidak memberikan izin untuk mengaitkan kebijakan ke folder apa pun; pengguna juga harus memiliki peran orgSecurityResourceAdmin di folder target.

Mengelola resource kebijakan firewall hierarkis

Karena kebijakan firewall hierarkis hanya menentukan sekumpulan aturan firewall, bukan di tempat penerapannya, Anda dapat membuat resource ini di bagian hierarki yang berbeda dari node tempat aturan tersebut diterapkan. Dengan begitu, Anda dapat mengaitkan satu resource kebijakan firewall hierarkis dengan beberapa folder dalam organisasi.

Dalam contoh berikut, policy-1 diterapkan ke folder dev-projects dan corp-projects, sehingga diterapkan pada semua project dalam folder tersebut.

Mengubah aturan kebijakan

Anda dapat menambahkan, menghapus, dan mengubah aturan dalam kebijakan. Setiap perubahan dilakukan satu per satu; tidak ada mekanisme untuk memperbarui aturan secara batch dalam kebijakan. Perubahan diterapkan kira-kira sesuai urutan eksekusi perintah, meskipun hal ini tidak dijamin.

Jika Anda membuat perubahan besar pada kebijakan firewall hierarkis dan perlu memastikan bahwa kebijakan diterapkan secara bersamaan, Anda dapat meng-clone kebijakan ke kebijakan sementara dan menetapkan kebijakan sementara ke node yang sama. Selanjutnya, Anda dapat membuat perubahan ke versi asli, lalu menetapkannya kembali ke node yang asli. Untuk mengetahui langkah-langkah melakukannya, lihat Meng-clone aturan dari satu kebijakan ke kebijakan lainnya.

Pada contoh berikut, policy-1 dilampirkan ke folder dev-projects, dan Anda ingin membuat beberapa perubahan yang berlaku secara atomik. Buat kebijakan baru bernama scratch-policy, lalu salin semua aturan yang ada dari policy-1 ke scratch-policy untuk diedit. Setelah Anda selesai mengedit, salin semua aturan dari scratch-policy kembali ke policy-1.

Memindahkan kebijakan

Kebijakan firewall hierarkis, seperti project, diberi induk oleh folder atau resource organisasi. Seiring berkembangnya skema folder, Anda mungkin perlu memindahkan kebijakan firewall hierarkis ke folder baru, mungkin sebelum penghapusan folder. Kebijakan yang dimiliki folder akan dihapus jika folder tersebut dihapus.

Diagram berikut menggambarkan pemindahan kebijakan antara asosiasi node atau evaluasi aturan dalam kebijakan.

Mengaitkan kebijakan firewall hierarkis dengan folder

Kebijakan firewall hierarkis tidak diterapkan kecuali jika dikaitkan dengan node folder atau organisasi. Setelah dikaitkan, kebijakan akan diterapkan ke semua VM di semua jaringan di bawah organisasi atau folder tersebut.

Perubahan pada hierarki resource

Perubahan pada hierarki resource mungkin memerlukan waktu beberapa saat untuk diterapkan ke seluruh sistem. Sebaiknya hindari update simultan pada lampiran kebijakan firewall hierarkis dan hierarki resource karena jaringan mungkin tidak langsung mewarisi kebijakan firewall hierarkis yang ditentukan di lokasi baru dalam hierarki.

Misalnya, jika Anda memindahkan folder dept-A dari folder dev-projects ke folder eng-projects dan mengubah pengaitan policy-1 ke eng-projects, bukan dev-projects, pastikan untuk tidak memisahkan policy-1 dari dev-projects secara bersamaan. Jika folder dev-projects kehilangan pengaitan kebijakan firewall hierarkisnya sebelum semua jaringan VPC di bawahnya diperbarui ancestrinya, untuk jangka waktu yang singkat jaringan VPC tersebut tidak dilindungi oleh policy-1.

Menggunakan kebijakan firewall hierarkis dengan VPC Bersama

Dalam skenario VPC Bersama, antarmuka VM yang terhubung ke jaringan project host diatur oleh aturan kebijakan firewall hierarkis project host, bukan project layanan.

Meskipun project layanan berada di folder yang berbeda dengan project host, antarmuka VM di jaringan bersama masih mewarisi dari aturan folder project host.

VM project layanan mewarisi aturan dari project host

Menggunakan kebijakan firewall hierarkis dengan Peering Jaringan VPC

Dalam skenario Peering Jaringan VPC, antarmuka VM yang terkait dengan setiap jaringan VPC mewarisi kebijakan dalam hierarki di masing-masing jaringan VPC. Berikut adalah contoh Peering Jaringan VPC tempat jaringan yang di-peering VPC menjadi milik organisasi yang berbeda.

Langkah selanjutnya

Untuk membuat dan mengubah kebijakan dan aturan firewall hierarkis, baca Menggunakan kebijakan firewall hierarkis.
Untuk melihat contoh penerapan kebijakan firewall hierarkis, lihat Contoh kebijakan firewall hierarkis.