Mengonfigurasi layanan pemfilteran URL

Layanan pemfilteran URL memungkinkan Anda mengontrol akses ke domain web tertentu dengan memblokir atau mengizinkannya. Untuk mengaktifkan layanan pemfilteran URL di jaringan Anda, Anda harus menyiapkan beberapa komponen Cloud Next Generation Firewall, termasuk endpoint firewall, profil keamanan, dan grup profil keamanan. Dokumen ini memberikan alur kerja tingkat tinggi yang menjelaskan cara mengonfigurasi komponen ini dan mengaktifkan layanan pemfilteran URL.

Untuk mempelajari lebih lanjut layanan pemfilteran URL, lihat Ringkasan layanan pemfilteran URL.

Peran yang diperlukan

Peran Identity and Access Management (IAM) mengatur tindakan yang terkait dengan mengonfigurasi dan mengaktifkan layanan pemfilteran URL. Tabel berikut menjelaskan peran yang diperlukan untuk setiap langkah:

Kemampuan	Peran yang diperlukan
Membuat endpoint firewall dan pengaitan endpoint firewall untuk jaringan Virtual Private Cloud (VPC)	Salah satu peran berikut: Peran Compute Network Admin (`roles/compute.networkAdmin`) Peran Firewall Endpoint Admin (`roles/networksecurity.firewallEndpointAdmin`) Peran ini berisi izin berikut untuk membuat endpoint firewall: `networksecurity.firewallEndpoints.create` Selain itu, peran ini berisi izin berikut untuk membuat asosiasi endpoint firewall: `networksecurity.firewallEndpointAssociations.create` `networksecurity.firewallEndpoints.use` di organisasi tempat endpoint firewall dibuat
Buat profil keamanan pemfilteran URL, profil keamanan pencegahan ancaman, dan grup profil keamanan	Peran Security Profile Admin (`roles/networksecurity.securityProfileAdmin`) Peran ini berisi izin wajib berikut: `networksecurity.securityProfileGroups.create` untuk membuat grup profil keamanan `networksecurity.securityProfiles.create` untuk membuat profil keamanan pemfilteran URL atau profil keamanan pencegahan ancaman
Membuat kebijakan firewall hierarkis dan aturannya	Peran Compute Organization Firewall Policy Admin (`roles/compute.orgFirewallPolicyAdmin`) Anda memerlukan peran ini untuk membuat kebijakan firewall hierarkis. Anda harus memberikan peran pada resource tempat Anda ingin membuat kebijakan. Selain itu, Anda memerlukan peran ini untuk membuat aturan dalam kebijakan firewall hierarkis. Anda harus memberikan peran pada resource yang berisi kebijakan atau pada kebijakan itu sendiri. Peran ini berisi izin yang diperlukan berikut: `compute.firewallPolicies.create` untuk membuat kebijakan firewall hierarkis `compute.firewallPolicies.update` untuk membuat aturan kebijakan firewall hierarkis
Mengaitkan kebijakan firewall hierarkis dengan organisasi atau folder	Salah satu set peran berikut: Peran Admin Resource Organisasi Compute (`roles/compute.orgSecurityResourceAdmin`) pada resource target dan Peran Pengguna Kebijakan Firewall Organisasi Compute (`roles/compute.orgFirewallPolicyUser`) pada resource kebijakan atau pada kebijakan itu sendiri atau Peran Admin Resource Organisasi Compute (`roles/compute.orgSecurityResourceAdmin`) pada resource target dan Peran Admin Kebijakan Firewall Organisasi Compute (`roles/compute.orgFirewallPolicyAdmin`) pada resource kebijakan atau pada kebijakan itu sendiri Peran ini berisi izin wajib berikut: `compute.firewallPolicies.addAssociation` pada kebijakan firewall `compute.organizations.setFirewallPolicy` pada resource target
Membuat kebijakan firewall jaringan global dan aturannya	Peran Compute Security Admin (`roles/compute.securityAdmin`) Anda memerlukan peran ini untuk membuat kebijakan firewall jaringan global. Anda harus memberikan peran di project tempat Anda ingin membuat kebijakan. Selain itu, Anda memerlukan peran ini untuk membuat aturan dalam kebijakan firewall jaringan global. Anda harus memberikan peran di project yang berisi kebijakan atau di kebijakan itu sendiri. Peran ini berisi izin wajib berikut: `compute.firewallPolicies.create` untuk membuat kebijakan firewall jaringan global `compute.firewallPolicies.update` untuk membuat aturan kebijakan firewall jaringan global
Mengaitkan kebijakan firewall jaringan global dengan jaringan VPC	Peran Compute Network Admin (`roles/compute.networkAdmin`) Peran ini berisi izin yang diperlukan berikut: `compute.firewallPolicies.use` `compute.networks.setFirewallPolicy`
Membuat kumpulan CA	Peran CA Service Operation Manager (`roles/privateca.caManager`) Jika Anda menggunakan pemeriksaan Transport Layer Security (TLS), Anda memerlukan peran ini untuk membuat kumpulan CA.
Membuat kebijakan pemeriksaan TLS	Peran Compute Network Admin (`roles/compute.networkAdmin`) Peran Compute Security Admin (`roles/compute.securityAdmin`) Jika Anda menggunakan inspeksi TLS, Anda memerlukan salah satu peran di atas untuk membuat kebijakan inspeksi TLS. Peran ini berisi izin wajib berikut: `certificatemanager.trustconfigs.list` `certificatemanager.trustconfigs.use` `networksecurity.operations.get` `networksecurity.tlsInspectionPolicies.create` `networksecurity.tlsInspectionPolicies.list` `privateca.caPools.list` `privateca.caPools.use` `privateca.certificateAuthorities.list`

Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.

Anda mungkin juga bisa mendapatkan izin yang ditentukan dengan peran khusus atau peran bawaan lainnya.

Mengonfigurasi layanan pemfilteran URL tanpa pemeriksaan TLS

Untuk mengonfigurasi layanan pemfilteran URL di jaringan Anda, lakukan tugas berikut.

Buat endpoint firewall.

Endpoint firewall adalah resource zonal yang harus Anda buat di zona yang sama dengan beban kerja yang ingin Anda lindungi dengan layanan pemfilteran URL.

Anda dapat membuat endpoint firewall dengan atau tanpa dukungan frame jumbo.

Untuk mengetahui informasi selengkapnya, lihat Membuat endpoint firewall.
Kaitkan endpoint firewall dengan jaringan VPC Anda.

Untuk mengaktifkan layanan pemfilteran URL, kaitkan endpoint firewall dengan jaringan VPC Anda. Pastikan Anda menjalankan workload di zona yang sama dengan endpoint firewall.

Endpoint firewall dengan dukungan frame jumbo hanya dapat menerima paket hingga 8.500 byte. Atau, endpoint firewall tanpa dukungan frame jumbo dapat menerima paket hingga 1.460 byte saja. Jika Anda memerlukan layanan pemfilteran URL, sebaiknya konfigurasi jaringan VPC terkait untuk menggunakan batas unit transmisi maksimum (MTU) sebesar 8.500 byte dan 1.460 byte. Untuk mengetahui informasi selengkapnya, lihat Ukuran paket yang didukung.

Perhatian: Endpoint firewall tidak menjalankan layanan pemfilteran URL untuk jaringan VPC jika jaringan dikonfigurasi dengan MTU yang lebih besar daripada batas endpoint firewall.

Untuk mengetahui informasi selengkapnya tentang cara membuat asosiasi endpoint firewall, lihat Membuat asosiasi endpoint firewall.
Buat profil keamanan untuk pemfilteran URL.

Untuk mengizinkan atau menolak akses ke domain tertentu, buat profil keamanan jenis url-filtering dan gunakan daftar URL untuk menentukan string pencocokan Anda.

Untuk mengetahui informasi selengkapnya, lihat Membuat profil keamanan pemfilteran URL.
Secara opsional, Anda dapat membuat profil keamanan untuk memindai traffic guna mendeteksi ancaman.

Untuk memindai traffic guna mendeteksi ancaman keamanan, buat profil keamanan lain dengan jenis threat-prevention. Tinjau daftar tanda tangan ancaman, evaluasi respons default, dan sesuaikan tindakan untuk tanda tangan yang dipilih sesuai dengan kebutuhan Anda.

Untuk mengetahui informasi selengkapnya, lihat Membuat profil keamanan pencegahan ancaman. Untuk mempelajari lebih lanjut layanan deteksi dan pencegahan penyusupan, lihat Ringkasan layanan deteksi dan pencegahan penyusupan.
Buat grup profil keamanan.

Grup profil keamanan berfungsi sebagai penampung untuk profil keamanan. Buat grup profil keamanan untuk menyertakan profil keamanan yang Anda buat pada langkah-langkah sebelumnya.

Untuk mengetahui informasi selengkapnya, lihat Membuat grup profil keamanan.
Konfigurasi dan terapkan layanan pemfilteran URL ke traffic jaringan Anda.

Untuk mengonfigurasi layanan pemfilteran URL, buat kebijakan firewall jaringan global atau kebijakan firewall hierarkis dengan inspeksi Layer 7.
- Jika Anda membuat kebijakan firewall global baru atau menggunakan kebijakan yang sudah ada, tambahkan aturan kebijakan firewall dengan tindakan apply_security_profile_group dan tentukan nama grup profil keamanan yang Anda buat sebelumnya. Pastikan kebijakan firewall dikaitkan dengan jaringan VPC yang sama dengan workload yang memerlukan pemeriksaan.
  
  Untuk mengetahui informasi selengkapnya, lihat Membuat kebijakan firewall jaringan global dan Membuat aturan.
- Jika Anda membuat kebijakan firewall hierarkis baru atau menggunakan kebijakan yang sudah ada, tambahkan aturan kebijakan firewall dengan tindakan apply_security_profile_group. Pastikan kebijakan firewall dikaitkan dengan jaringan VPC yang sama dengan workload yang memerlukan inspeksi.
  
  Untuk mengetahui informasi selengkapnya, lihat Membuat aturan.

Mengonfigurasi layanan pemfilteran URL dengan pemeriksaan TLS

Untuk mengonfigurasi layanan pemfilteran URL dengan pemeriksaan TLS di jaringan Anda, lakukan tugas berikut.

Buat endpoint firewall.

Anda dapat membuat endpoint firewall dengan atau tanpa dukungan frame jumbo.

Endpoint firewall adalah resource zonal yang harus Anda buat di zona yang sama dengan beban kerja yang ingin Anda lindungi dengan layanan pemfilteran URL.

Untuk mengetahui informasi selengkapnya, lihat Membuat endpoint firewall.
Kaitkan endpoint firewall dengan jaringan VPC Anda.

Untuk mengaktifkan layanan pemfilteran URL, kaitkan endpoint firewall dengan jaringan VPC Anda. Pastikan Anda menjalankan workload di zona yang sama dengan endpoint firewall.

Endpoint firewall dengan dukungan frame jumbo hanya dapat menerima paket hingga 8.500 byte. Atau, endpoint firewall tanpa dukungan frame jumbo dapat menerima paket hingga 1.460 byte saja. Jika Anda memerlukan layanan pemfilteran URL, sebaiknya konfigurasi jaringan VPC terkait untuk menggunakan batas unit transmisi maksimum (MTU) sebesar 8.500 byte dan 1.460 byte. Untuk mengetahui informasi selengkapnya, lihat Ukuran paket yang didukung.

Perhatian: Endpoint firewall tidak menjalankan layanan pemfilteran URL untuk jaringan VPC jika jaringan dikonfigurasi dengan MTU yang lebih besar daripada batas endpoint firewall.

Untuk mengetahui informasi selengkapnya tentang cara membuat asosiasi endpoint firewall, lihat Membuat asosiasi endpoint firewall.
Buat profil keamanan untuk pemfilteran URL.

Untuk mengizinkan atau menolak akses ke domain tertentu, buat profil keamanan jenis url-filtering dan gunakan daftar URL untuk menentukan string pencocokan Anda.

Untuk mengetahui informasi selengkapnya, lihat Membuat profil keamanan pemfilteran URL.
Secara opsional, Anda dapat membuat profil keamanan untuk memindai traffic guna mendeteksi ancaman.

Untuk memindai traffic guna mendeteksi ancaman keamanan, buat profil keamanan lain dengan jenis threat-prevention. Tinjau daftar tanda tangan ancaman, evaluasi respons default, dan sesuaikan tindakan untuk tanda tangan yang dipilih sesuai dengan kebutuhan Anda.

Untuk mengetahui informasi selengkapnya, lihat Membuat profil keamanan pencegahan ancaman. Untuk mempelajari lebih lanjut layanan deteksi dan pencegahan penyusupan, lihat Ringkasan layanan deteksi dan pencegahan penyusupan.
Buat grup profil keamanan.

Grup profil keamanan berfungsi sebagai penampung untuk profil keamanan. Buat grup profil keamanan untuk menyertakan profil keamanan yang Anda buat pada langkah-langkah sebelumnya.

Untuk mengetahui informasi selengkapnya, lihat Membuat grup profil keamanan.
Buat dan konfigurasi resource untuk memeriksa traffic terenkripsi.
1. Buat kumpulan certificate authority (CA).
  
  Kumpulan CA adalah kumpulan CA dengan kebijakan penerbitan sertifikat umum dan kebijakan IAM. Kumpulan CA regional harus ada sebelum Anda dapat mengonfigurasi pemeriksaan TLS.
  
  Untuk mengetahui informasi selengkapnya, lihat Membuat kumpulan CA.
2. Buat CA root.
  
  Untuk menggunakan pemeriksaan TLS, Anda harus memiliki setidaknya satu CA root. CA root menandatangani CA perantara, yang kemudian menandatangani semua sertifikat leaf untuk klien. Untuk mengetahui informasi selengkapnya, lihat dokumentasi referensi untuk perintah gcloud privateca roots create.
3. Berikan izin yang diperlukan kepada Agen Layanan Keamanan Jaringan (P4SA).
  
  Cloud NGFW memerlukan P4SA untuk membuat CA perantara bagi pemeriksaan TLS. Agen layanan memerlukan izin yang diperlukan untuk meminta sertifikat untuk kumpulan CA.
  
  Untuk mengetahui informasi selengkapnya, lihat Membuat akun layanan.
Buat kebijakan pemeriksaan TLS regional.

Kebijakan pemeriksaan TLS menentukan cara mencegat traffic terenkripsi. Kebijakan pemeriksaan TLS regional dapat menyimpan konfigurasi untuk pemeriksaan TLS.

Untuk mengetahui informasi selengkapnya, lihat Membuat kebijakan inspeksi TLS.
Kaitkan endpoint firewall dengan kebijakan pemeriksaan TLS.
Konfigurasi dan terapkan layanan pemfilteran URL ke traffic jaringan Anda.

Untuk mengonfigurasi layanan pemfilteran URL, buat kebijakan firewall jaringan global atau kebijakan firewall hierarkis dengan inspeksi Layer 7.
- Jika Anda membuat kebijakan firewall global baru atau menggunakan kebijakan yang sudah ada, tambahkan aturan kebijakan firewall dengan tindakan apply_security_profile_group dan tentukan nama grup profil keamanan yang Anda buat sebelumnya. Pastikan kebijakan firewall dikaitkan dengan jaringan VPC yang sama dengan workload yang memerlukan pemeriksaan.
  
  Untuk mengetahui informasi selengkapnya, lihat Membuat kebijakan firewall jaringan global dan Membuat aturan.
- Jika Anda membuat kebijakan firewall hierarkis baru atau menggunakan kebijakan yang sudah ada, tambahkan aturan kebijakan firewall dengan tindakan apply_security_profile_group yang dikonfigurasi. Pastikan kebijakan firewall dikaitkan dengan jaringan VPC yang sama dengan workload yang memerlukan pemeriksaan.
  
  Untuk mengetahui informasi selengkapnya, lihat Membuat aturan.

Contoh model deployment

Diagram berikut menunjukkan contoh deployment layanan pemfilteran URL dengan beberapa endpoint firewall, yang dikonfigurasi untuk dua jaringan VPC di region yang sama, tetapi dua zona yang berbeda.

Deploy layanan pemfilteran URL di suatu region. — Men-deploy layanan pemfilteran URL di suatu wilayah (klik untuk memperbesar).

Contoh deployment memiliki konfigurasi berikut:

Dua grup profil keamanan:
1. Security profile group 1 dengan profil keamanan Security profile 1.
2. Security profile group 2 dengan profil keamanan Security profile 2.
VPC Pelanggan 1 (VPC 1) memiliki kebijakan firewall dengan grup profil keamanannya yang ditetapkan ke Security profile group 1.
VPC Pelanggan 2 (VPC 2) memiliki kebijakan firewall dengan grup profil keamanannya yang ditetapkan ke Security profile group 2.
Endpoint firewall Firewall endpoint 1 melakukan pemfilteran URL untuk beban kerja yang berjalan di VPC 1 dan VPC 2 di zona us-west1-a.
Endpoint firewall Firewall endpoint 2 melakukan pemfilteran URL dengan pemeriksaan TLS diaktifkan untuk workload yang berjalan di VPC 1 dan VPC 2 di zona us-west1-b.