Mengonfigurasi layanan pemfilteran URL

Layanan pemfilteran URL memungkinkan Anda mengontrol akses ke domain web tertentu dengan memblokir atau mengizinkannya. Untuk mengaktifkan layanan pemfilteran URL di jaringan Anda, Anda harus menyiapkan beberapa komponen Cloud Next Generation Firewall, termasuk endpoint firewall, profil keamanan, dan grup profil keamanan. Dokumen ini menyediakan alur kerja tingkat tinggi yang menjelaskan cara mengonfigurasi komponen ini dan mengaktifkan layanan pemfilteran URL.

Untuk mempelajari layanan pemfilteran URL lebih lanjut, lihat Ringkasan layanan pemfilteran URL.

Peran yang diperlukan

Peran Identity and Access Management (IAM) mengatur tindakan yang terkait dengan konfigurasi dan pengaktifan layanan pemfilteran URL. Tabel berikut menjelaskan peran mana yang diperlukan untuk setiap langkah:

Kemampuan Peran yang diperlukan
Membuat endpoint firewall dan pengaitan endpoint firewall untuk jaringan Virtual Private Cloud (VPC) Salah satu peran berikut:
  • Peran Compute Network Admin (roles/compute.networkAdmin)
  • Peran Firewall Endpoint Admin (roles/networksecurity.firewallEndpointAdmin) yang diberikan di tingkat organisasi untuk profil keamanan pemfilteran URL tingkat organisasi, dan di tingkat project atau tingkat organisasi untuk profil keamanan pemfilteran URL tingkat project
Peran ini berisi izin berikut untuk membuat endpoint firewall:
  • networksecurity.firewallEndpoints.create
Selain itu, peran ini berisi izin berikut untuk membuat pengaitan endpoint firewall:
  • networksecurity.firewallEndpointAssociations.create
  • networksecurity.firewallEndpoints.use di organisasi tempat endpoint firewall berada
Membuat profil keamanan pemfilteran URL, profil keamanan pencegahan ancaman, dan grup profil keamanan Salah satu peran berikut:
  • Peran Compute Network Admin (roles/compute.networkAdmin)
  • Peran Security Profile Admin (roles/networksecurity.securityProfileAdmin) yang diberikan di tingkat organisasi untuk profil keamanan pemfilteran URL tingkat organisasi, dan di tingkat project atau tingkat organisasi untuk profil keamanan pemfilteran URL tingkat project
Peran ini berisi izin yang diperlukan berikut:
  • networksecurity.securityProfileGroups.create untuk membuat grup profil keamanan
  • networksecurity.securityProfiles.create untuk membuat profil keamanan pemfilteran URL atau profil keamanan pencegahan ancaman
Membuat kebijakan firewall hierarkis dan aturannya Peran Compute Organization Firewall Policy Admin (roles/compute.orgFirewallPolicyAdmin)

Anda memerlukan peran ini untuk membuat kebijakan firewall hierarkis. Anda harus memberikan peran pada resource tempat Anda ingin membuat kebijakan.

Selain itu, Anda memerlukan peran ini untuk membuat aturan dalam kebijakan firewall hierarkis. Anda harus memberikan peran pada resource yang berisi kebijakan atau pada kebijakan itu sendiri.

Peran ini berisi izin yang diperlukan berikut:
  • compute.firewallPolicies.create untuk membuat kebijakan firewall hierarkis
  • compute.firewallPolicies.update untuk membuat aturan kebijakan firewall hierarkis
Mengaitkan kebijakan firewall hierarkis dengan organisasi atau folder Salah satu kumpulan peran berikut: Peran ini berisi izin yang diperlukan berikut:
  • compute.firewallPolicies.addAssociation pada kebijakan firewall
  • compute.organizations.setFirewallPolicy pada resource target
Membuat kebijakan firewall jaringan global dan aturannya Peran Compute Security Admin (roles/compute.securityAdmin)

Anda memerlukan peran ini untuk membuat kebijakan firewall jaringan global. Anda harus memberikan peran pada project tempat Anda ingin membuat kebijakan.

Selain itu, Anda memerlukan peran ini untuk membuat aturan dalam kebijakan firewall jaringan global. Anda harus memberikan peran pada project yang berisi kebijakan atau pada kebijakan itu sendiri.

Peran ini berisi izin yang diperlukan berikut:
  • compute.firewallPolicies.create untuk membuat kebijakan firewall jaringan global
  • compute.firewallPolicies.update untuk membuat aturan kebijakan firewall jaringan global
Mengaitkan kebijakan firewall jaringan global dengan jaringan VPC Peran Compute Network Admin (roles/compute.networkAdmin)

Peran ini berisi izin yang diperlukan berikut:

  • compute.firewallPolicies.use
  • compute.networks.setFirewallPolicy
Membuat kumpulan CA Peran CA Service Operation Manager (roles/privateca.caManager)

Jika Anda menggunakan pemeriksaan Transport Layer Security (TLS), Anda memerlukan peran ini untuk membuat kumpulan CA.

Membuat kebijakan pemeriksaan TLS

Jika Anda menggunakan pemeriksaan TLS, Anda memerlukan salah satu peran sebelumnya untuk membuat kebijakan pemeriksaan TLS.

Peran ini berisi izin yang diperlukan berikut:
  • certificatemanager.trustconfigs.list
  • certificatemanager.trustconfigs.use
  • networksecurity.operations.get
  • networksecurity.tlsInspectionPolicies.create
  • networksecurity.tlsInspectionPolicies.list
  • privateca.caPools.list
  • privateca.caPools.use
  • privateca.certificateAuthorities.list

Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.

Anda mungkin juga bisa mendapatkan izin yang ditentukan dengan peran khusus atau peran bawaan lainnya.

Mengonfigurasi layanan pemfilteran URL tanpa pemeriksaan TLS

Untuk mengonfigurasi layanan pemfilteran URL di jaringan Anda, lakukan tugas berikut.

  1. Buat endpoint firewall.

    Endpoint firewall adalah resource zonal yang harus Anda buat di zona yang sama dengan workload yang ingin Anda lindungi dengan layanan pemfilteran URL.

    Anda dapat membuat endpoint firewall dengan atau tanpa dukungan jumbo frame.

    Untuk mengetahui informasi selengkapnya, lihat Membuat endpoint firewall.

  2. Kaitkan endpoint firewall dengan jaringan VPC Anda.

    Untuk mengaktifkan layanan pemfilteran URL, kaitkan endpoint firewall dengan jaringan VPC Anda. Pastikan Anda menjalankan workload di zona yang sama dengan endpoint firewall.

    Endpoint firewall dengan dukungan jumbo frame hanya dapat menerima paket hingga 8.500 byte. Atau, endpoint firewall tanpa dukungan jumbo frame hanya dapat menerima paket hingga 1.460 byte. Jika Anda memerlukan layanan pemfilteran URL, sebaiknya konfigurasikan jaringan VPC terkait untuk menggunakan batas unit transmisi maksimum (MTU) sebesar 8.500 byte dan 1.460 byte. Untuk mengetahui informasi selengkapnya, lihat Ukuran paket yang didukung.

    Untuk mengetahui informasi selengkapnya tentang cara membuat pengaitan endpoint firewall, lihat Membuat pengaitan endpoint firewall.

  3. Buat profil keamanan untuk pemfilteran URL.

    Untuk mengizinkan atau menolak akses ke domain tertentu, buat profil keamanan berjenis url-filtering dan gunakan daftar URL untuk menentukan string pencocok Anda.

    Untuk mengetahui informasi selengkapnya, lihat Membuat profil keamanan pemfilteran URL.

  4. Secara opsional, Anda dapat membuat profil keamanan untuk memindai traffic dari ancaman.

    Untuk memindai traffic dari ancaman keamanan, buat profil keamanan lain berjenis threat-prevention. Tinjau daftar tanda tangan ancaman, evaluasi respons default, dan sesuaikan tindakan untuk tanda tangan yang dipilih sesuai dengan kebutuhan Anda.

    Untuk mengetahui informasi selengkapnya, lihat Membuat profil keamanan pencegahan ancaman. Untuk mempelajari layanan deteksi dan pencegahan penyusupan lebih lanjut, lihat Ringkasan layanan deteksi dan pencegahan penyusupan.

  5. Buat grup profil keamanan.

    Grup profil keamanan bertindak sebagai penampung untuk profil keamanan. Buat grup profil keamanan untuk menyertakan profil keamanan yang Anda buat pada langkah sebelumnya.

    Untuk mengetahui informasi selengkapnya, lihat Membuat grup profil keamanan.

  6. Konfigurasi dan terapkan layanan pemfilteran URL ke traffic jaringan Anda.

    Untuk mengonfigurasi layanan pemfilteran URL, buat kebijakan firewall jaringan global atau kebijakan firewall hierarkis dengan pemeriksaan Lapisan 7.

    • Jika Anda membuat kebijakan firewall global baru atau menggunakan kebijakan yang sudah ada, tambahkan aturan kebijakan firewall dengan tindakan apply_security_profile_group dan tentukan nama grup profil keamanan yang Anda buat sebelumnya. Pastikan kebijakan firewall dikaitkan dengan jaringan VPC yang sama dengan workload yang memerlukan pemeriksaan.

      Untuk mengetahui informasi selengkapnya, lihat Membuat kebijakan firewall jaringan global dan Membuat aturan.

    • Jika Anda membuat kebijakan firewall hierarkis baru atau menggunakan kebijakan yang sudah ada, tambahkan aturan kebijakan firewall dengan tindakan apply_security_profile_group. Pastikan kebijakan firewall dikaitkan dengan jaringan VPC yang sama dengan workload yang memerlukan pemeriksaan.

      Untuk mengetahui informasi selengkapnya, lihat Membuat aturan.

Mengonfigurasi layanan pemfilteran URL dengan pemeriksaan TLS

Untuk mengonfigurasi layanan pemfilteran URL dengan pemeriksaan TLS di jaringan Anda, lakukan tugas berikut.

  1. Buat endpoint firewall.

    Anda dapat membuat endpoint firewall dengan atau tanpa dukungan jumbo frame.

    Endpoint firewall adalah resource zonal yang harus Anda buat di zona yang sama dengan workload yang ingin Anda lindungi dengan layanan pemfilteran URL.

    Untuk mengetahui informasi selengkapnya, lihat Membuat endpoint firewall.

  2. Kaitkan endpoint firewall dengan jaringan VPC Anda.

    Untuk mengaktifkan layanan pemfilteran URL, kaitkan endpoint firewall dengan jaringan VPC Anda. Pastikan Anda menjalankan workload di zona yang sama dengan endpoint firewall.

    Endpoint firewall dengan dukungan jumbo frame hanya dapat menerima paket hingga 8.500 byte. Atau, endpoint firewall tanpa dukungan jumbo frame hanya dapat menerima paket hingga 1.460 byte. Jika Anda memerlukan layanan pemfilteran URL, sebaiknya konfigurasikan jaringan VPC terkait untuk menggunakan batas unit transmisi maksimum (MTU) sebesar 8.500 byte dan 1.460 byte. Untuk mengetahui informasi selengkapnya, lihat Ukuran paket yang didukung.

    Untuk mengetahui informasi selengkapnya tentang cara membuat pengaitan endpoint firewall, lihat Membuat pengaitan endpoint firewall.

  3. Buat profil keamanan untuk pemfilteran URL.

    Untuk mengizinkan atau menolak akses ke domain tertentu, buat profil keamanan berjenis url-filtering dan gunakan daftar URL untuk menentukan string pencocok Anda.

    Untuk mengetahui informasi selengkapnya, lihat Membuat profil keamanan pemfilteran URL.

  4. Secara opsional, Anda dapat membuat profil keamanan untuk memindai traffic dari ancaman.

    Untuk memindai traffic dari ancaman keamanan, buat profil keamanan lain berjenis threat-prevention. Tinjau daftar tanda tangan ancaman, evaluasi respons default, dan sesuaikan tindakan untuk tanda tangan yang dipilih sesuai dengan kebutuhan Anda.

    Untuk mengetahui informasi selengkapnya, lihat Membuat profil keamanan pencegahan ancaman. Untuk mempelajari layanan deteksi dan pencegahan penyusupan lebih lanjut, lihat Ringkasan layanan deteksi dan pencegahan penyusupan.

  5. Buat grup profil keamanan.

    Grup profil keamanan bertindak sebagai penampung untuk profil keamanan. Buat grup profil keamanan untuk menyertakan profil keamanan yang Anda buat pada langkah sebelumnya.

    Untuk mengetahui informasi selengkapnya, lihat Membuat grup profil keamanan.

  6. Buat dan konfigurasi resource untuk memeriksa traffic terenkripsi.

    1. Buat kumpulan certificate authority (CA).

      Kumpulan CA adalah kumpulan CA dengan kebijakan penerbitan sertifikat dan kebijakan IAM yang sama. Kumpulan CA regional harus ada sebelum Anda dapat mengonfigurasi pemeriksaan TLS.

      Untuk mengetahui informasi selengkapnya, lihat Membuat kumpulan CA.

    2. Buat CA root.

      Untuk menggunakan pemeriksaan TLS, Anda harus memiliki setidaknya satu CA root. CA root menandatangani CA perantara, yang kemudian menandatangani semua sertifikat leaf untuk klien. Untuk mengetahui informasi selengkapnya, lihat dokumentasi referensi untuk gcloud privateca roots create perintah.

    3. Berikan izin yang diperlukan kepada Network Security Service Agent (P4SA).

      Cloud NGFW memerlukan P4SA untuk membuat CA perantara untuk pemeriksaan TLS. Agen layanan memerlukan izin yang diperlukan untuk meminta sertifikat bagi kumpulan CA.

      Untuk mengetahui informasi selengkapnya, lihat Membuat akun layanan.

  7. Buat kebijakan pemeriksaan TLS regional.

    Kebijakan pemeriksaan TLS menentukan cara mencegat traffic terenkripsi. Kebijakan pemeriksaan TLS regional dapat menyimpan konfigurasi untuk pemeriksaan TLS.

    Untuk mengetahui informasi selengkapnya, lihat Membuat kebijakan pemeriksaan TLS.

  8. Kaitkan endpoint firewall dengan kebijakan pemeriksaan TLS.

  9. Konfigurasi dan terapkan layanan pemfilteran URL ke traffic jaringan Anda.

    Untuk mengonfigurasi layanan pemfilteran URL, buat kebijakan firewall jaringan global atau kebijakan firewall hierarkis dengan pemeriksaan Lapisan 7.

    • Jika Anda membuat kebijakan firewall global baru atau menggunakan kebijakan yang sudah ada, tambahkan aturan kebijakan firewall dengan tindakan apply_security_profile_group dan tentukan nama grup profil keamanan yang Anda buat sebelumnya. Pastikan kebijakan firewall dikaitkan dengan jaringan VPC yang sama dengan workload yang memerlukan pemeriksaan.

      Untuk mengetahui informasi selengkapnya, lihat Membuat kebijakan firewall jaringan global dan Membuat aturan.

    • Jika Anda membuat kebijakan firewall hierarkis baru atau menggunakan kebijakan yang sudah ada, tambahkan aturan kebijakan firewall dengan tindakan apply_security_profile_group yang dikonfigurasi. Pastikan kebijakan firewall dikaitkan dengan jaringan VPC yang sama dengan workload yang memerlukan pemeriksaan.

      Untuk mengetahui informasi selengkapnya, lihat Membuat aturan.

Contoh model deployment

Diagram berikut menunjukkan contoh deployment layanan pemfilteran URL dengan beberapa endpoint firewall, yang dikonfigurasi untuk dua jaringan VPC di region yang sama tetapi dua zona yang berbeda.

Deploy layanan pemfilteran URL di suatu region.
Deploy layanan pemfilteran URL di region (klik untuk memperbesar).

Contoh deployment memiliki konfigurasi berikut:

  1. Dua grup profil keamanan:

    1. Security profile group 1 dengan profil keamanan Security profile 1.

    2. Security profile group 2 dengan profil keamanan Security profile 2.

  2. VPC Pelanggan 1 (VPC 1) memiliki kebijakan firewall dengan grup profil keamanan yang ditetapkan ke Security profile group 1.

  3. VPC Pelanggan 2 (VPC 2) memiliki kebijakan firewall dengan grup profil keamanan yang ditetapkan ke Security profile group 2.

  4. Endpoint firewall Firewall endpoint 1 melakukan pemfilteran URL untuk workload yang berjalan di VPC 1 dan VPC 2 di zona us-west1-a.

  5. Endpoint firewall Firewall endpoint 2 melakukan pemfilteran URL dengan pemeriksaan TLS yang diaktifkan untuk workload yang berjalan di VPC 1 dan VPC 2 di zona us-west1-b.

Langkah berikutnya