Panduan keamanan jaringan

Panduan berikut untuk platform keamanan dengan kelayakan minimum selaras dengan pilar keamanan jaringan.

Panduan tingkat dasar

Terapkan panduan keamanan jaringan berikut terlebih dahulu.

Item	Memblokir pembuatan jaringan default
Deskripsi	Batasan boolean `compute.skipDefaultNetworkCreation` tidak akan membuat jaringan default dan resource terkait saat membuat project Google Cloud . Jaringan default adalah jaringan Virtual Private Cloud (VPC) mode otomatis dengan aturan firewall IPv4 yang sudah terisi otomatis untuk mengizinkan jalur komunikasi internal. Secara umum, penyiapan ini bukan postur keamanan yang direkomendasikan untuk lingkungan produksi.
Informasi terkait	Batasan kebijakan organisasi.
ID item	MVSP-CO-1-47
Pemetaan	Kontrol NIST-800-53 terkait: SC-7 SC-8 Kontrol profil CRI terkait: PR.AC-5.1 PR.AC-5.2 PR.DS-2.1 PR.DS-2.2 PR.DS-5.1 PR.PT-4.1 DE.CM-1.1 DE.CM-1.2 DE.CM-1.3 DE.CM-1.4 Kontrol Compliance Manager: Membatasi Pembuatan Jaringan Default untuk Instance Compute Engine

Item	Mengaktifkan Akses Google Pribadi
Deskripsi	Aktifkan Akses Google Pribadi di semua subnet. Dengan mengaktifkan Akses Google Pribadi, layanan dapat mengakses Google Cloud layanan yang tidak memiliki alamat IP eksternal. Secara default, Akses Google Pribadi tidak diaktifkan di resource baru dan memerlukan langkah tambahan untuk mengaktifkannya secara eksplisit.
Informasi terkait	Mengonfigurasi Akses Google Pribadi
ID item	MVSP-CO-1.52
Pemetaan	Kontrol NIST-800-53 terkait: SC-7 Kontrol profil CRI terkait: PR.AC-3.1 Kontrol Compliance Manager: Mengaktifkan Akses Google Pribadi di instance

Setelah Anda menerapkan panduan dasar, terapkan panduan keamanan jaringan berikut.

Item	Menggunakan kebijakan Cloud Armor
Deskripsi	Untuk aplikasi yang diekspos di belakang Cloud Load Balancing, gunakan kebijakan default Google Cloud Armor atau konfigurasikan kebijakan Anda sendiri untuk menambahkan perlindungan jaringan Lapisan 3 hingga Lapisan 7 untuk aplikasi atau layanan yang dapat diakses dari luar. Kebijakan keamanan Cloud Armor membantu melindungi aplikasi Anda dengan menyediakan pemfilteran Lapisan 7. Kebijakan ini juga meninjau permintaan masuk untuk serangan web umum atau atribut Lapisan 7 lainnya, sehingga dapat memblokir traffic sebelum mencapai layanan backend ber-load balancer atau bucket backend Anda. Setiap kebijakan keamanan terdiri dari serangkaian aturan yang mencakup atribut dari Lapisan 3 hingga Lapisan 7.
Informasi terkait	Ringkasan Cloud Armor
ID item	MVSP-CO-1.49
Pemetaan	Kontrol NIST-800-53 terkait: SC-7 Kontrol profil CRI terkait: PR.AC-3.1 Kontrol Compliance Manager: Menentukan Kebijakan Keamanan untuk Memitigasi Peristiwa DDoS

Item	Membatasi traffic keluar
Deskripsi	Batasi akses ke sumber eksternal karena secara default, semua akses keluar diizinkan. Tetapkan aturan firewall tertentu untuk pola traffic yang dimaksudkan yang perlu keluar. Secara default, sistem sering kali diizinkan untuk membuat koneksi keluar ke internet, yang dapat dianggap sebagai risiko keamanan. Kebijakan tolak secara default memblokir traffic keluar dan mengharuskan aturan khusus dibuat hanya untuk tujuan yang diketahui dan diperlukan.
Informasi terkait	Aturan firewall VPC
ID item	MVSP-CO-1.50
Pemetaan	Kontrol NIST-800-53 terkait: SC-7 Kontrol profil CRI terkait: PR.AC-3.1 Kontrol Compliance Manager: Menerapkan Aturan Firewall Keluar Tolak Semua

Item	Membatasi akses masuk ke port SSH dan RDP
Deskripsi	Jika memungkinkan, batasi akses masuk hanya ke resource dan rentang resource tertentu. Jika Identity-Aware Proxy (IAP) dikonfigurasi, tetapkan aturan firewall SSH dan Remote Desktop Protocol (RDP) masuk ke rentang IP IAP sebagai sumber. Aturan firewall SSH dan RDP yang permisif memungkinkan terjadinya serangan brute force. Sebagai gantinya, gunakan proxy yang mendukung identitas Google Cloud (seperti IAP) untuk SSH dan RDP.
Informasi terkait	Menggunakan IAP untuk penerusan TCP
ID item	MVSP-CO-1.51
Pemetaan	Kontrol NIST-800-53 terkait: SC-7 Kontrol profil CRI terkait: PR.AC-3.1 Kontrol Compliance Manager: Memblokir Akses ke Port SSH Memblokir Akses ke Port RDP

Setelah Anda menerapkan panduan tingkat menengah, terapkan panduan keamanan jaringan berikut.

Item	Mengaktifkan Kontrol Layanan VPC
Deskripsi	Aktifkan Kontrol Layanan VPC sebagai lapisan perlindungan tambahan untuk mencegah potensi kehilangan data. Kontrol Layanan VPC dapat membantu mencegah pemindahan data yang tidak sah dengan membuat perimeter isolasi di sekitar resource cloud, data sensitif, dan jaringan Anda.
Informasi terkait	Ringkasan Kontrol Layanan VPC Produk yang didukung dan batasan
ID item	MVSP-CO-1.48
Pemetaan	Kontrol NIST-800-53 terkait: SC-7 SC-8 Kontrol profil CRI terkait: PR.AC-3.1 Kontrol Compliance Manager: Menentukan Perimeter Layanan di Kontrol Layanan VPC