Layanan pencegahan dan deteksi penyusupan Cloud Next Generation Firewall terus memantau traffic workload Anda untuk mendeteksi aktivitas berbahaya dan mengambil tindakan pencegahan untuk mencegahnya.Google Cloud Aktivitas berbahaya dapat mencakup ancaman seperti penyusupan, malware, spyware, serta serangan perintah dan kontrol di jaringan Anda.
Layanan deteksi dan pencegahan penyusupan Cloud NGFW berfungsi dengan membuat endpoint firewall zonal yang dikelola Google yang menggunakan teknologi pencegatan paket untuk memeriksa workload secara transparan berdasarkan tanda tangan ancaman yang dikonfigurasi dan melindunginya dari ancaman. Kemampuan pencegahan ancaman ini didukung oleh teknologi pencegahan ancaman Palo Alto Networks.
Cloud NGFW mendukung kategori tanda tangan ancaman berikut:
- Anti-spyware
- Perlindungan kerentanan
- Antivirus
Untuk mengetahui informasi selengkapnya tentang kategori ancaman, lihat Tanda tangan ancaman default.
Layanan deteksi dan pencegahan penyusupan ditawarkan sebagai bagian dari kemampuan Cloud Next Generation Firewall Enterprise. Untuk mengetahui informasi selengkapnya, lihat Cloud NGFW Enterprise dan harga Cloud NGFW.
Dokumen ini memberikan ringkasan tingkat tinggi tentang berbagai komponen layanan deteksi penyusupan dan pencegahan Cloud NGFW serta cara komponen ini memberikan kemampuan perlindungan tingkat lanjut untuk beban kerja Anda di jaringan Virtual Private Cloud (VPC). Google Cloud
Cara kerja layanan deteksi dan pencegahan penyusupan
Layanan deteksi dan pencegahan penyusupan memproses traffic dalam urutan berikut:
Aturan kebijakan firewall diterapkan ke traffic ke dan dari instance virtual machine (VM) atau cluster Google Kubernetes Engine (GKE), di jaringan.
Traffic yang cocok akan dicegat, dan paket dikirim ke endpoint firewall untuk inspeksi Lapisan 7.
Endpoint firewall memindai paket untuk tanda tangan ancaman yang dikonfigurasi.
Jika ancaman terdeteksi, tindakan yang dikonfigurasi dalam profil keamanan akan dilakukan pada paket tersebut.
Gambar 1 menjelaskan model deployment yang disederhanakan dari layanan deteksi dan pencegahan penyusupan.
Bagian lainnya menjelaskan komponen dan konfigurasi yang diperlukan untuk menyiapkan layanan deteksi dan pencegahan penyusupan.
Profil keamanan dan grup profil keamanan
Cloud NGFW mereferensikan profil keamanan dan grup profil keamanan untuk menerapkan deep packet inspection untuk layanan deteksi penyusupan dan pencegahan.
Profil keamanan adalah struktur kebijakan generik yang dapat Anda konfigurasi di tingkat organisasi atau tingkat project. Aturan ini digunakan dalam layanan deteksi dan pencegahan penyusupan untuk menggantikan skenario pencegahan ancaman tertentu. Untuk mengonfigurasi layanan pencegahan dan deteksi penyusupan, Anda menentukan profil keamanan jenis
threat-prevention. Untuk mempelajari profil keamanan lebih lanjut, lihat Ringkasan profil keamanan.Grup profil keamanan dapat dikonfigurasi di tingkat organisasi atau di tingkat project. Grup ini dapat berisi maksimal satu profil keamanan per jenis
threat-prevention, per grup.Untuk mengonfigurasi layanan deteksi penyusupan dan pencegahan, aturan kebijakan firewall mereferensikan grup profil keamanan ini untuk mengaktifkan deteksi dan pencegahan ancaman untuk traffic jaringan. Untuk mempelajari lebih lanjut grup profil keamanan, lihat Ringkasan grup profil keamanan.
Endpoint firewall
Endpoint firewall adalah resource zonal yang dapat Anda konfigurasi di tingkat organisasi atau tingkat project. Alat ini dapat memeriksa traffic di zona yang sama.
Untuk layanan deteksi dan pencegahan penyusupan, endpoint firewall memindai traffic yang dicegat untuk mendeteksi ancaman. Jika ancaman terdeteksi, tindakan
yang terkait dengan ancaman tersebut akan dilakukan pada paket itu. Tindakan ini dapat berupa
tindakan default, atau tindakan (jika dikonfigurasi) di threat-prevention
profil keamanan.
Untuk mempelajari lebih lanjut endpoint firewall dan cara mengonfigurasinya, lihat Ringkasan endpoint firewall.
Kebijakan firewall
Kebijakan firewall berlaku langsung untuk semua traffic yang masuk dan keluar dari VM. Anda dapat menggunakan kebijakan firewall hierarkis dan kebijakan firewall jaringan global untuk mengonfigurasi aturan kebijakan firewall dengan pemeriksaan Lapisan 7.
Aturan kebijakan firewall
Aturan kebijakan firewall memungkinkan Anda mengontrol jenis traffic yang akan dicegat dan diperiksa. Untuk mengonfigurasi layanan deteksi dan pencegahan penyusupan, buat aturan kebijakan firewall untuk melakukan hal berikut:
Identifikasi jenis traffic yang akan diperiksa dengan menggunakan beberapa komponen aturan kebijakan firewall Layer 3 dan Layer 4.
Untuk traffic yang cocok, tentukan nama grup profil keamanan untuk tindakan
apply_security_profile_group.
Untuk alur kerja layanan deteksi dan pencegahan penyusupan yang lengkap, lihat Mengonfigurasi layanan deteksi dan pencegahan penyusupan.
Anda juga dapat menggunakan tag aman dalam aturan firewall untuk mengonfigurasi layanan deteksi penyusupan dan pencegahan. Anda dapat membangun segmentasi yang telah disiapkan dengan menggunakan tag di jaringan, dan meningkatkan logika pemeriksaan traffic untuk menyertakan layanan deteksi penyusupan dan pencegahan.
Memeriksa traffic terenkripsi
Cloud NGFW mendukung pencegatan dan dekripsi Transport Layer Security (TLS) untuk memeriksa ancaman pada traffic terenkripsi yang dipilih. TLS memungkinkan Anda memeriksa koneksi masuk dan keluar, termasuk traffic ke dan dari internet serta traffic dalam Google Cloud.
Untuk mempelajari lebih lanjut pemeriksaan TLS di Cloud NGFW, lihat Ringkasan pemeriksaan TLS.
Untuk mempelajari cara mengaktifkan pemeriksaan TLS di Cloud NGFW, lihat Menyiapkan pemeriksaan TLS.
Tanda tangan ancaman
Kemampuan deteksi dan pencegahan ancaman Cloud NGFW didukung oleh teknologi pencegahan ancaman Palo Alto Networks. Cloud NGFW mendukung kumpulan signature ancaman default dengan tingkat keparahan yang telah ditentukan sebelumnya untuk membantu melindungi jaringan Anda. Anda juga dapat mengganti tindakan default yang terkait dengan tanda tangan ancaman ini menggunakan profil keamanan.
Untuk mempelajari tanda tangan ancaman lebih lanjut, lihat Ringkasan tanda tangan ancaman.
Untuk melihat ancaman yang terdeteksi di jaringan Anda, lihat Melihat ancaman.
Batasan
Endpoint firewall mengabaikan header X-Forwarded-For (XFF). Oleh karena itu, header ini tidak disertakan dalam logging aturan firewall VPC.
Endpoint firewall hanya dapat mendukung paket IP dengan ukuran terbatas. Untuk mengetahui informasi selengkapnya, lihat Ukuran paket yang didukung.
Visibilitas intranode untuk Google Kubernetes Engine (GKE) tidak didukung. Untuk mengetahui informasi selengkapnya, lihat Menyiapkan visibilitas intra-node.