Kebijakan firewall jaringan global memungkinkan Anda memperbarui semua aturan firewall secara massal dengan mengelompokkannya ke dalam satu objek kebijakan. Anda dapat menetapkan kebijakan firewall jaringan ke jaringan Virtual Private Cloud (VPC). Kebijakan ini berisi aturan yang dapat secara eksplisit menolak atau mengizinkan koneksi.
Spesifikasi
- Kebijakan firewall jaringan global adalah resource penampung untuk aturan firewall.
Setiap resource kebijakan firewall jaringan global ditentukan dalam project.
- Setelah membuat kebijakan firewall jaringan global, Anda dapat menambahkan, memperbarui, dan menghapus aturan firewall dalam kebijakan.
- Untuk mengetahui informasi spesifikasi tentang aturan dalam kebijakan firewall jaringan global, lihat Aturan kebijakan firewall.
- Untuk menerapkan aturan kebijakan firewall jaringan global ke jaringan VPC, Anda harus mengaitkan kebijakan firewall dengan jaringan VPC tersebut.
- Anda dapat mengaitkan kebijakan firewall jaringan global dengan beberapa jaringan VPC. Pastikan kebijakan firewall dan jaringan terkait termasuk dalam project yang sama.
- Setiap jaringan VPC hanya dapat dikaitkan dengan satu kebijakan firewall jaringan global.
- Jika kebijakan firewall tidak dikaitkan dengan jaringan VPC apa pun, aturan dalam kebijakan tersebut tidak akan berpengaruh. Kebijakan firewall yang tidak dikaitkan dengan jaringan apa pun adalah kebijakan firewall jaringan global yang tidak dikaitkan.
- Jika kebijakan firewall jaringan global dikaitkan dengan satu atau beberapa
jaringan VPC, aturan kebijakan firewall akan diterapkan dengan
cara berikut:
- Aturan yang ada diterapkan pada resource yang berlaku di jaringan VPC terkait.
- Setiap perubahan yang dilakukan pada aturan akan diterapkan pada resource yang berlaku di jaringan VPC terkait.
- Aturan dalam kebijakan firewall jaringan global diterapkan bersama dengan aturan firewall lainnya seperti yang dijelaskan dalam Urutan evaluasi kebijakan dan aturan.
Gunakan aturan kebijakan firewall jaringan global untuk mengonfigurasi pemeriksaan Lapisan 7 traffic yang cocok, seperti saat menggunakan layanan pemfilteran URL atau layanan deteksi dan pencegahan intrusi.
Anda membuat aturan kebijakan firewall dengan tindakan
apply_security_profile_groupdan nama grup profil keamanan. Traffic yang cocok dengan aturan kebijakan firewall diteruskan secara transparan ke endpoint firewall untuk pemeriksaan Lapisan 7. Untuk mempelajari cara membuat aturan kebijakan firewall, lihat Membuat aturan firewall jaringan global.
Detail aturan kebijakan firewall jaringan global
Untuk mengetahui informasi selengkapnya tentang komponen dan parameter aturan dalam kebijakan firewall jaringan global, lihat Aturan kebijakan firewall.
Tabel berikut merangkum perbedaan utama antara aturan kebijakan firewall jaringan global dan aturan firewall VPC:
| Aturan kebijakan firewall jaringan global | Aturan firewall VPC | |
|---|---|---|
| Nomor prioritas | Harus unik dalam kebijakan | Prioritas duplikat diizinkan |
| Akun layanan sebagai target | Ya | Ya |
| Akun layanan sebagai sumber (khusus aturan ingress) |
Tidak | Ya |
| Jenis tag | Tag aman | Tag jaringan |
| Nama dan deskripsi | Nama kebijakan, deskripsi kebijakan dan aturan | Nama dan deskripsi aturan |
| Update batch | Ya—untuk fungsi clone, edit, dan penggantian kebijakan | Tidak |
| Gunakan lagi | Ya | Tidak |
| Kuota | Jumlah atribut—berdasarkan total kompleksitas setiap aturan dalam kebijakan | Jumlah aturan—aturan firewall yang kompleks dan sederhana memiliki dampak kuota yang sama |
Aturan yang telah ditentukan sebelumnya
Saat Anda membuat kebijakan firewall jaringan global, Cloud Next Generation Firewall akan menambahkan aturan yang telah ditentukan sebelumnya dengan prioritas terendah ke kebijakan tersebut. Aturan ini diterapkan ke koneksi apa pun yang tidak cocok dengan aturan yang ditentukan secara eksplisit dalam kebijakan, sehingga koneksi tersebut diteruskan ke kebijakan atau aturan jaringan tingkat yang lebih rendah.
Untuk mempelajari berbagai jenis aturan standar dan karakteristiknya, lihat Aturan standar.
Peran Identity and Access Management (IAM)
Peran IAM mengatur tindakan berikut terkait dengan kebijakan firewall jaringan global:
- Membuat kebijakan firewall jaringan global
- Mengaitkan kebijakan dengan jaringan
- Mengubah kebijakan yang ada
- Melihat aturan firewall yang efektif untuk jaringan atau VM tertentu
Tabel berikut menjelaskan peran yang diperlukan untuk setiap tindakan:
| Tindakan | Peran yang diperlukan |
|---|---|
| Membuat kebijakan firewall jaringan global baru | Peran Compute Security Admin (roles/compute.securityAdmin)
pada project yang memiliki kebijakan tersebut |
| Mengaitkan kebijakan dengan jaringan | Peran Compute Network Admin (roles/compute.networkAdmin)
pada project tempat kebijakan akan diterapkan
|
| Ubah kebijakan dengan menambahkan, memperbarui, atau menghapus aturan firewall kebijakan | Peran Compute Security Admin (roles/compute.securityAdmin)
di project tempat kebijakan akan diterapkan |
| Menghapus kebijakan | Peran Compute Security Admin (roles/compute.securityAdmin)
di project tempat kebijakan akan diterapkan |
| Melihat aturan firewall efektif untuk jaringan VPC | Salah satu peran berikut untuk jaringan: Peran Compute Network Admin ( roles/compute.networkAdmin)Peran Compute Network User ( roles/compute.networkUser)Peran Compute Network Viewer ( roles/compute.networkViewer)Peran Compute Security Admin ( roles/compute.securityAdmin)Peran Compute Viewer ( roles/compute.viewer)
|
| Melihat aturan firewall yang efektif untuk VM dalam jaringan | Salah satu peran berikut untuk VM: Peran Compute Instance Admin (v1) ( roles/compute.instanceAdmin)Peran Instance Group Manager Service Agent ( roles/compute.instanceGroupManagerServiceAgent)Peran Compute Security Admin ( roles/compute.securityAdmin)Peran Compute Viewer ( roles/compute.viewer)
|
Peran berikut relevan dengan kebijakan firewall jaringan global.
| Nama peran | Deskripsi |
|---|---|
Peran Compute Security Admin (roles/compute.securityAdmin)
|
Dapat diberikan di tingkat project atau kebijakan. Jika diberikan untuk project, izin ini memungkinkan pengguna membuat, memperbarui, dan menghapus kebijakan firewall jaringan global dan aturannya. Di tingkat kebijakan, pengguna dapat memperbarui aturan kebijakan, tetapi tidak dapat membuat atau menghapus kebijakan. Peran ini juga memungkinkan pengguna mengaitkan kebijakan dengan jaringan. |
Peran Compute Network Admin (roles/compute.networkAdmin)
|
Diberikan di level project atau level jaringan. Jika diberikan untuk jaringan, memungkinkan pengguna melihat daftar kebijakan firewall jaringan global. |
Peran Compute Viewer (roles/compute.viewer)Peran Compute Network User ( roles/compute.networkUser)Peran Compute Network Viewer ( roles/compute.networkViewer) |
Mengizinkan pengguna melihat aturan firewall yang diterapkan ke jaringan atau instance. Mencakup izin compute.networks.getEffectiveFirewalls
untuk jaringan dan compute.instances.getEffectiveFirewalls untuk instance. |