Ringkasan profil keamanan

Profil keamanan membantu Anda menentukan kebijakan inspeksi Layer 7 untuk Google Cloud resource Anda. Struktur kebijakan ini bersifat umum yang digunakan oleh endpoint firewall untuk memindai traffic yang dicegat guna menyediakan layanan Lapisan aplikasi, seperti layanan pemfilteran URL dan layanan deteksi penyusupan serta pencegahan.

Dokumen ini memberikan ringkasan mendetail tentang profil keamanan dan kemampuannya.

Spesifikasi

  • Cloud Next Generation Firewall mendukung jenis profil keamanan berikut:

    • URL_FILTERING
    • THREAT_PREVENTION
  • Profil keamanan adalah resource yang dapat Anda konfigurasi di tingkat organisasi atau tingkat project.

    • Profil keamanan tingkat organisasi: gunakan profil ini untuk membuat dan mengelola endpoint firewall tingkat organisasi dan tingkat project.

    • Profil keamanan tingkat project: gunakan profil ini untuk membuat dan mengelola endpoint firewall tingkat project dalam project yang sama.

  • Nama profil keamanan dikonfigurasi dalam format ID URL berikut:

    • Tingkat organisasi:

      organizations/ORGANIZATION_ID/locations/global/securityProfiles/NAME
      
    • Level project:

      projects/PROJECT_ID/locations/global/securityProfiles/NAME
      

    NAME profil keamanan harus memenuhi persyaratan berikut:

    • String sepanjang 1 hingga 63 karakter
    • Hanya berisi karakter alfanumerik huruf kecil atau tanda hubung (-)
    • Dimulai dengan huruf

    Contoh:

    • Profil keamanan tingkat organisasi:

      organizations/2345678432/locations/global/securityProfiles/example-security-profile
      
    • Profil keamanan tingkat project:

      projects/my-project-123/locations/global/securityProfiles/example-security-profile
      

    Jika Anda menggunakan ID URL unik untuk nama profil keamanan, URL mencakup organisasi atau project, dan lokasi. Jika Anda hanya menentukan nama, Anda harus memberikan ID organisasi atau project ID dan lokasi secara terpisah saat menggunakan perintah gcloud.

  • Setelah membuat profil keamanan, lampirkan secara manual ke grup profil keamanan. Grup profil keamanan ini dirujuk oleh kebijakan firewall jaringan Virtual Private Cloud (VPC) tempat Anda ingin menerapkan inspeksi Layer 7.

  • Setiap profil keamanan harus memiliki ID project terkait. Project terkait digunakan untuk kuota dan batasan akses pada resource profil keamanan. Jika Anda mengautentikasi akun layanan menggunakan perintah gcloud auth activate-service-account, Anda dapat mengaitkan akun layanan dengan profil keamanan. Untuk mempelajari lebih lanjut cara membuat profil keamanan, lihat Membuat profil keamanan pencegahan ancaman dan Membuat profil keamanan pemfilteran URL.

  • Saat Anda menambahkan profil keamanan ke grup profil keamanan, batasan berikut berlaku:

    • Grup profil keamanan tingkat organisasi hanya dapat mereferensikan profil keamanan tingkat organisasi.
    • Grup profil keamanan level project dapat mereferensikan profil keamanan level project dalam project yang sama.

Profil keamanan pemfilteran URL

Cloud NGFW menggunakan profil keamanan pemfilteran URL untuk mengonfigurasi layanan pemfilteran URL.

Profil keamanan pemfilteran URL adalah jenis profil keamanan yang menggunakan satu atau beberapa filter URL untuk menentukan kebijakan keamanan bagi endpoint firewall. Filter URL adalah daftar string pencocok dengan prioritas dan tindakan yang unik. String pencocokan berisi nama domain yang dicocokkan Cloud NGFW dengan pesan HTTP yang sedang dievaluasi. Untuk pesan terenkripsi, Cloud NGFW memeriksa string pencocokan terhadap SNI yang dikirim selama negosiasi TLS. Jika Anda mengaktifkan pemeriksaan TLS, Cloud NGFW akan mendekripsi header pesan dan juga mengevaluasi header host. Untuk traffic yang tidak terenkripsi, Cloud NGFW selalu membandingkan string pencocokan dengan header host pesan HTTP.

Prioritas filter URL ditentukan oleh nilai unik yang Anda tentukan menggunakan kolom priority. Nilai prioritas filter URL dapat berkisar dari 0 hingga 2147483647. Cloud NGFW memproses nilai numerik terendah (yang merepresentasikan prioritas tertinggi) terlebih dahulu, diikuti dengan nilai numerik yang lebih tinggi berikutnya hingga menemukan kecocokan. Cloud NGFW tidak mengevaluasi setiap domain dalam daftar pemfilteran URL berdasarkan urutan prioritas.

Untuk mempelajari lebih lanjut cara membuat dan mengelola profil keamanan pemfilteran URL, lihat Membuat dan mengelola profil keamanan pemfilteran URL.

Untuk mempelajari lebih lanjut cara mengonfigurasi pemfilteran URL, lihat Mengonfigurasi layanan pemfilteran URL.

Profil keamanan pencegahan ancaman

Cloud NGFW menggunakan profil keamanan pencegahan ancaman untuk menyediakan layanan deteksi dan pencegahan penyusupan.

Saat Anda membuat profil keamanan jenis THREAT_PREVENTION, tanda tangan ancaman default dengan tingkat keseriusan default dan tindakan terkait akan ditambahkan ke profil:

  • Tanda tangan deteksi kerentanan
  • Signature anti-spyware
  • Tanda tangan antivirus
  • Tanda tangan DNS

Anda memiliki opsi untuk menambahkan penggantian tingkat keparahan ke profil keamanan pencegahan ancaman. Setiap tanda tangan default memiliki tingkat keparahan ancaman. Tingkat keparahan menunjukkan risiko ancaman yang terdeteksi. Setiap tingkat keparahan juga memiliki tindakan default terkait. Tindakan default menentukan langkah-langkah yang dilakukan Cloud NGFW untuk menangani ancaman dengan tingkat keparahan tertentu. Anda dapat menggunakan profil keamanan pencegahan ancaman untuk mengganti tindakan default untuk tingkat keparahan.

Tindakan berikut didukung:

  • Tanpa penggantian: melakukan tindakan default yang terkait dengan ancaman.
  • Tolak: mencatat ancaman dan membuang paket.
  • Peringatan: mencatat ancaman dan mengizinkan sesi.
  • Izinkan: mengabaikan ancaman, jika terdeteksi.

Saat Anda membuat profil keamanan pencegahan ancaman, tindakan penggantian default untuk semua tingkat keparahan ditetapkan ke No override.

Anda juga dapat menambahkan penggantian tanda tangan ke profil keamanan pencegahan ancaman. Setiap tanda tangan ancaman memiliki tindakan default terkait. Anda dapat menggunakan profil keamanan pencegahan ancaman untuk mengganti tindakan default tanda tangan ancaman dengan menggunakan tindakan sebelumnya. Penggantian tanda tangan lebih diutamakan daripada penggantian tingkat keparahan.

Untuk mempelajari lebih lanjut cara mengonfigurasi pencegahan ancaman, lihat Mengonfigurasi layanan pencegahan dan deteksi penyusupan.

Peran Identity and Access Management

Peran Identity and Access Management (IAM) mengatur tindakan profil keamanan berikut:

  • Membuat profil keamanan dalam organisasi atau project
  • Mengubah atau menghapus profil keamanan dalam organisasi atau project
  • Melihat detail profil keamanan dalam organisasi atau project
  • Melihat daftar profil keamanan dalam organisasi atau project
  • Menggunakan profil keamanan dalam grup profil keamanan

Tabel berikut menjelaskan peran yang diperlukan untuk setiap langkah.

Kemampuan Peran yang diperlukan
Membuat profil keamanan Salah satu peran berikut:
  • Compute Network Admin (roles/compute.networkAdmin)
  • Admin Profil Keamanan (roles/networksecurity.securityProfileAdmin) diberikan di tingkat organisasi untuk profil keamanan tingkat organisasi, dan di tingkat project atau tingkat organisasi untuk profil keamanan tingkat project
Mengubah profil keamanan Salah satu peran berikut:
  • Compute Network Admin (roles/compute.networkAdmin)
  • Admin Profil Keamanan (roles/networksecurity.securityProfileAdmin) diberikan di tingkat organisasi untuk profil keamanan tingkat organisasi, dan di tingkat project atau tingkat organisasi untuk profil keamanan tingkat project
Menghapus profil keamanan Salah satu peran berikut:
  • Compute Network Admin (roles/compute.networkAdmin)
  • Admin Profil Keamanan (roles/networksecurity.securityProfileAdmin) diberikan di tingkat organisasi untuk profil keamanan tingkat organisasi, dan di tingkat project atau tingkat organisasi untuk profil keamanan tingkat project
Melihat detail tentang profil keamanan Salah satu peran berikut:
Melihat semua profil keamanan dalam organisasi Salah satu peran berikut:
Menggunakan profil keamanan dalam grup profil keamanan Salah satu peran berikut:
  • Compute Network Admin (roles/compute.networkAdmin)
  • Admin Profil Keamanan (roles/networksecurity.securityProfileAdmin) diberikan di tingkat organisasi untuk profil keamanan tingkat organisasi, dan di tingkat project atau tingkat organisasi untuk profil keamanan tingkat project
  • Compute Network User (roles/compute.networkUser)

Kuota

Untuk melihat kuota yang terkait dengan profil keamanan, lihat Kuota dan batas.

Langkah berikutnya