Halaman ini menunjukkan contoh kebijakan firewall hierarkis. Contoh ini membantu Anda memahami cara kerja kebijakan firewall hierarkis dan cara menggunakannya untuk memberikan keamanan yang konsisten di seluruh hierarki resource Anda. Google Cloud Untuk memahami contoh ini, pahami konsep kebijakan firewall hierarkis.
Contoh 1: Mengizinkan pemeriksa mengakses semua VM
Contoh ini menjelaskan cara menyiapkan aturan firewall di tingkat organisasi dan mengizinkan pemeriksa mengakses semua virtual machine (VM). Pemeriksa adalah program khusus yang secara otomatis memeriksa VM Anda untuk menentukan konten atau konfigurasinya.
Skenario
Anda adalah administrator keamanan yang perlu memastikan alat pemindaian keamanan Anda dapat terhubung ke semua instance VM Anda.
Alat ini mengirimkan probe dari alamat IP 10.100.0.1 ke port tujuan 123.
Anda harus memastikan bahwa tidak ada administrator jaringan atau keamanan yang secara tidak sengaja memblokir koneksi ini di tingkat mana pun dalam organisasi Anda.
Diagram berikut menunjukkan konfigurasi untuk skenario ini:
Cara kebijakan diterapkan ke VM
Setelah mengevaluasi semua aturan, kebijakan firewall berlaku untuk VM Anda sebagai berikut:
Koneksi ingress
Kebijakan organisasi mengizinkan koneksi masuk dari IP sumber
10.100.0.1ke port tujuan123. Jika kebijakan organisasi cocok, kebijakan tersebut akan mengizinkan koneksi pemeriksaan dan berhenti mengevaluasi aturan lain dalam hierarki.Untuk koneksi masuk yang tidak berasal dari IP sumber
10.100.0.1atau port tujuan target123, tidak ada kecocokan. Oleh karena itu, aturan masuk default di aturan firewall Virtual Private Cloud (VPC) berlaku dan menolak koneksi.
Koneksi keluar
Tidak ada kecocokan di seluruh aturan yang ditentukan hierarki. Oleh karena itu, aturan egress default di aturan firewall VPC berlaku dan mengizinkan koneksi egress. Jika Anda memiliki aturan firewall lain yang dikonfigurasi untuk menolak traffic keluar, perhatikan bahwa firewall bersifat stateful dan mengizinkan traffic kembali untuk koneksi yang sudah dibuat. Google Cloud
Jika Anda telah mengonfigurasi aturan firewall keluar untuk menolak traffic keluar, termasuk aturan keluar
deny-allimplisit, dan penyiapan Anda mencakup protokol yang tidak menggunakan pelacakan koneksi, Anda harus mengonfigurasi aturan firewall secara eksplisit untuk mengizinkan traffic keluar yang kembali.
Cara mengonfigurasi
Untuk membuat aturan kebijakan dan mengaitkannya dengan organisasi, lakukan hal berikut:
Buat kebijakan firewall yang akan berisi aturan:
gcloud compute firewall-policies create \ --organization ORG_ID \ --short-name SHORT_NAME \ --description DESCRIPTIONTambahkan aturan ke kebijakan firewall:
gcloud compute firewall-policies rules create 1000 \ --action=allow \ --description DESCRIPTION \ --layer4-configs=tcp:123 \ --firewall-policy SHORT_NAME \ --organization ORG_ID \ --src-ip-ranges=10.100.0.1/32Mengaitkan kebijakan firewall dengan organisasi:
gcloud compute firewall-policies associations create \ --firewall-policy SHORT_NAME\ --organization ORG_IDGanti kode berikut:
ORG_ID: ID organisasi AndaTentukan ID organisasi untuk membuat kebijakan yang induknya adalah organisasi. Kebijakan ini dapat dikaitkan dengan organisasi atau folder dalam organisasi.
SHORT_NAME: nama kebijakanKebijakan yang dibuat menggunakan Google Cloud CLI memiliki dua nama: nama yang dibuat sistem dan nama pendek yang Anda berikan. Saat menggunakan gcloud CLI untuk mengupdate kebijakan yang ada, Anda dapat memberikan nama yang dibuat sistem atau nama pendek dan ID organisasi. Saat menggunakan API untuk memperbarui kebijakan, Anda harus memberikan nama yang dibuat sistem.
DESCRIPTION: deskripsi kebijakan firewall
Contoh 2: Menolak semua koneksi eksternal kecuali ke port tertentu
Contoh ini menjelaskan cara menyiapkan kebijakan untuk menolak koneksi ingress dari port tertentu.
Skenario
Anda adalah administrator keamanan yang ingin memblokir semua traffic internet masuk untuk mengamankan organisasi Anda, kecuali untuk layanan tertentu, seperti traffic web (port 80 dan 443) dan akses SSH (port 22).
Anda harus memblokir semua traffic internet masuk di port selain 80, 443, atau 22, terlepas dari aturan jaringan VPC yang ada.
Untuk koneksi di port yang diizinkan tersebut, Anda mendelegasikan kepada administrator keamanan VPC kemampuan untuk memutuskan apa yang terjadi di jaringan VPC tertentu.
Diagram berikut menunjukkan konfigurasi untuk skenario ini:
Cara kebijakan diterapkan ke VM
Setelah mengevaluasi aturan di seluruh hierarki, kebijakan firewall VM diterapkan sebagai berikut:
Koneksi ingress
Koneksi ingress dari
10.0.0.0/8cocok dengan aturan tingkat organisasi dengan prioritas tertinggidelegate-internal-traffic. Koneksi ini melewati aturan yang tersisa dalam kebijakan organisasi untuk dievaluasi terhadap aturan firewall di tingkat jaringan VPC. Aturan firewall VPC mengizinkan koneksi dari10.2.0.0/16dan mengevaluasi koneksi yang tersisa terhadap aturan masuk yang tersirat,deny.Koneksi masuk dari sumber di luar rentang IP
10.0.0.0/8di port tujuan22,80, dan443didelegasikan ke tingkat berikutnya. Pada tingkat ini, aturan mengizinkan traffic di port80dan443, tetapi memblokir port22.Semua koneksi lainnya diblokir.
Koneksi keluar
Tidak ada kecocokan di seluruh aturan yang ditentukan hierarki. Oleh karena itu, aturan egress default di aturan firewall VPC berlaku dan mengizinkan koneksi egress. Jika Anda memiliki aturan firewall lain yang dikonfigurasi untuk menolak traffic keluar, perhatikan bahwa firewall bersifat stateful dan mengizinkan traffic kembali untuk koneksi yang sudah dibuat. Google Cloud
Jika Anda telah mengonfigurasi aturan firewall keluar untuk menolak traffic keluar, termasuk aturan keluar
deny-allimplisit, dan penyiapan Anda mencakup protokol yang tidak menggunakan pelacakan koneksi, Anda harus mengonfigurasi aturan firewall secara eksplisit untuk mengizinkan traffic keluar yang kembali.
Cara mengonfigurasi
Untuk membuat aturan kebijakan dan mengizinkan koneksi TCP 80 atau 443 eksternal,
lakukan hal berikut:
Buat kebijakan firewall yang akan berisi aturan:
gcloud compute firewall-policies create \ --organization ORG_ID \ --short-name SHORT_NAME \ --description DESCRIPTIONTambahkan aturan untuk mendelegasikan koneksi internal kepada pemilik project:
gcloud compute firewall-policies rules create 1000 \ --action=goto_next \ --description DESCRIPTION \ --organization ORG_ID \ --firewall-policy SHORT_NAME \ --src-ip-ranges=10.0.0.0/8Tambahkan aturan untuk mendelegasikan aturan koneksi eksternal ke port
80atau443atau22kepada pemilik project:gcloud compute firewall-policies rules create 2000 \ --action=goto_next \ --description DESCRIPTION \ --src-ip-ranges=0.0.0.0/0 \ --layer4-configs=tcp:80,tcp:443,tcp:22 \ --organization ORG_ID \ --firewall-policy SHORT_NAMETambahkan aturan untuk menolak semua koneksi eksternal lainnya:
gcloud compute firewall-policies rules create 3000 \ --action=deny \ --description DESCRIPTION \ --organization ORG_ID \ --firewall-policy SHORT_NAME \ --src-ip-ranges=0.0.0.0/0Mengaitkan kebijakan firewall dengan organisasi:
gcloud compute firewall-policies associations create \ --organization ORG_ID \ --firewall-policy SHORT_NAMEDi project, tambahkan aturan firewall untuk mengizinkan koneksi internal dari subnet yang ditentukan:
gcloud compute firewall-rules create allow-internal-traffic \ --action=allow \ --priority=1000 \ --source-ranges=10.2.0.0/16Di project, tambahkan aturan firewall untuk mengizinkan koneksi TCP
80atau443eksternal:gcloud compute firewall-rules create allow-external-traffic \ --action=allow \ --priority=2000 \ --rules=tcp:80,tcp:443Ganti kode berikut:
ORG_ID: ID organisasi AndaTentukan ID organisasi untuk membuat kebijakan yang induknya adalah organisasi. Kebijakan ini dapat dikaitkan dengan organisasi atau folder dalam organisasi.
SHORT_NAME: nama kebijakanKebijakan yang dibuat menggunakan Google Cloud CLI memiliki dua nama: nama yang dibuat sistem dan nama pendek yang Anda berikan. Saat menggunakan gcloud CLI untuk mengupdate kebijakan yang ada, Anda dapat memberikan nama yang dibuat sistem atau nama pendek dan ID organisasi. Saat menggunakan API untuk memperbarui kebijakan, Anda harus memberikan nama yang dibuat sistem.
DESCRIPTION: deskripsi kebijakan firewall
Contoh 3: Menolak koneksi keluar kecuali dari jaringan VPC tertentu
Contoh ini menjelaskan cara menyiapkan kebijakan untuk menolak koneksi traffic keluar dari jaringan VPC tertentu.
Skenario
Organisasi Anda menangani data sensitif dan perlu membatasi informasi yang keluar dari jaringannya. Secara default, organisasi Anda mencegah semua instance VM mengirim data ke internet. Namun, project di jaringan VPC myvpc
perlu berkomunikasi secara aman dengan server partner tepercaya
di 203.0.113.1. Untuk mendukung hal ini, Anda harus menerapkan hal berikut:
- Hanya izinkan koneksi keluar dari
myvpcke203.0.113.1. - Mendelegasikan pengelolaan detail komunikasi tertentu untuk koneksi ini kepada administrator keamanan
myvpc. - Pastikan konfigurasi ini mencegah kebocoran data yang tidak disengaja dari bagian lain organisasi.
Administrator keamanan organisasi mencapai hal ini dengan memblokir koneksi keluar di semua jaringan VPC lainnya, kecuali koneksi yang berasal dari myvpc. Administrator secara khusus mendelegasikan izin
keluar ke server publik 203.0.113.1 kepada administrator keamanan myvpc.
Diagram berikut menunjukkan konfigurasi untuk skenario ini:
Cara kebijakan diterapkan ke VM
Setelah mengevaluasi aturan di seluruh hierarki, kebijakan firewall VM diterapkan sebagai berikut:
Koneksi ingress
- Tidak ada kecocokan di seluruh aturan yang ditentukan hierarki. Oleh karena itu, aturan masuk default di aturan firewall VPC berlaku, sehingga menolak koneksi masuk.
Koneksi keluar
Koneksi keluar yang ditujukan ke
203.0.113.1diizinkan karena cocok dengan aturandelegate-egress-my-vpcdan melewati aturan lainnya dalam kebijakan organisasi. Koneksi keluar lainnya ditolak.Koneksi keluar kemudian dievaluasi berdasarkan aturan firewall yang dikonfigurasi di
myvpc. Aturan default mengizinkan koneksi keluar. Aturanblock-egress-traffic-sepc-portsdalam kebijakan tingkat organisasi menolak koneksi lainnya.
Cara mengonfigurasi
Untuk membuat aturan kebijakan dan mendelegasikan koneksi keluar tertentu kepadanya, lakukan hal berikut:
Buat kebijakan firewall yang akan berisi aturan:
gcloud compute firewall-policies create \ --organization ORG_ID \ --short-name SHORT_NAME \ --description DESCRIPTIONTambahkan aturan untuk mendelegasikan koneksi keluar tertentu:
gcloud compute firewall-policies rules create 1000 \ --action=goto_next \ --description DESCRIPTION \ --dest-ip-ranges=203.0.113.1/32 --direction=egress --organization ORG_ID \ --short-name SHORT_NAME \ --target-resources=projects/PROJECT_ID/networks/myvpcTambahkan aturan untuk menolak semua koneksi keluar lainnya:
gcloud compute firewall-policies rules create 2000 \ --action=deny \ --description DESCRIPTION \ --direction=egress \ --dest-ip-ranges=0.0.0.0/0 \ --organization ORG_ID \ --short-name SHORT_NAMEMengaitkan kebijakan firewall dengan organisasi:
gcloud compute firewall-policies associations create \ --organization ORG_ID \ --short-name SHORT_NAME
Ganti kode berikut:
ORG_ID: ID organisasi AndaSpecify an organization ID to create a policy whose parent is an organization. The policy can be associated with the organization or a folder within the organization.SHORT_NAME: nama kebijakanA policy created by using the Google Cloud CLI has two names: a system-generated name and a short name provided by you. When using the gcloud CLI to update an existing policy, you can provide either the system-generated name or the short name and the organization ID. When using the API to update the policy, you must provide the system-generated name.DESCRIPTION: deskripsi kebijakan firewall
Contoh 4: Mengonfigurasi aturan di seluruh organisasi dan khusus folder
Contoh ini menjelaskan cara memblokir koneksi masuk ke semua VM dalam organisasi, kecuali koneksi dari rentang IP.
Skenario
Organisasi Anda mencakup beberapa folder, seperti Folder1 dan Folder2.
Tim keamanan organisasi mengonfigurasi kebijakan tingkat organisasi untuk
mengizinkan traffic ingress secara eksklusif dari rentang IP 203.0.113.0/24 di
semua folder.
Setelah traffic memasuki jaringan, folder yang berbeda memiliki kebutuhan yang berbeda:
Folder1: Tim ini hanya menjalankan aplikasi web, sehingga administrator keamanan mereka hanya mengizinkan traffic dari partner tepercaya di port web80dan443. Kebijakan ini memblokir semua port lainnya untuk meningkatkan keamanan.Folder2: Tim ini menggunakan alat yang memindai sistemnya. Alat ini berasal dari alamat IP203.0.113.1dalam rentang partner tepercaya. Administrator mereka memastikan alat pemindaian ini dapat menjangkau port apa pun di VM mereka. Untuk semua traffic lain dari partner tepercaya, administrator tingkat project menentukan aturannya. Kemudian, mereka membuka port80,443, dan22untuk aplikasi tertentu.
Dalam contoh ini, administrator keamanan memblokir koneksi masuk ke VM mana pun di organisasi, kecuali yang berasal dari rentang IP yang diizinkan 203.0.113.0/24. Administrator mendelegasikan keputusan lebih lanjut terkait koneksi dari
203.0.113.0/24 kepada administrator keamanan di tingkat folder.
Diagram berikut menunjukkan konfigurasi untuk skenario ini:
Cara kebijakan diterapkan ke VM
Setelah mengevaluasi aturan di seluruh hierarki, kebijakan firewall VM diterapkan sebagai berikut:
Untuk VM di jaringan VPC my-vpc
Semua koneksi masuk dari
203.0.113.0/24ke port TCP tujuan80dan443diizinkan. Koneksi ingress lainnya ditolak.Aturan firewall VPC mengizinkan semua koneksi keluar jika tidak ada aturan kebijakan firewall tingkat yang lebih tinggi yang cocok.
Untuk VM di jaringan VPC vpc2
Kebijakan ini mengizinkan semua koneksi ingress dari
203.0.113.1. Untuk koneksi masuk dari sumber203.0.113.0/24, kecuali203.0.113.1, kebijakan mengizinkan traffic hanya ke port80,443, dan22. Kebijakan ini menolak semua koneksi ingress lainnya.Karena tidak ada aturan kebijakan firewall tingkat yang lebih tinggi yang cocok, aturan firewall VPC mengizinkan semua koneksi keluar.
Cara mengonfigurasi
Untuk mengonfigurasi aturan di seluruh organisasi dan khusus folder, lakukan hal berikut:
Buat kebijakan firewall untuk
Org_A:gcloud compute firewall-policies create \ --organization ORG_ID \ --short-name SHORT_NAME \ --description DESCRIPTIONTambahkan aturan untuk mendelegasikan ingress dari
203.0.113.0/24kepada pemilik project:gcloud compute firewall-policies rules create 1000 \ --action=goto_next \ --description DESCRIPTION \ --organization ORG_ID \ --short-name SHORT_NAME \ --src-ip-ranges=203.0.113.0/24Tambahkan aturan untuk menolak semua koneksi eksternal lainnya:
gcloud compute firewall-policies rules create 2000 \ --action=deny \ --description DESCRIPTION \ --organization ORG_ID \ --short-name SHORT_NAME \ --src-ip-ranges=0.0.0.0/0Mengaitkan kebijakan firewall dengan organisasi:
gcloud compute firewall-policies associations create \ --organization ORG_ID \ --short-name SHORT_NAMEBuat kebijakan firewall yang berisi aturan untuk
Folder1:gcloud compute firewall-policies create \ --organization ORG_ID \ --short-name SHORT_NAME \ --description DESCRIPTIONTambahkan aturan untuk mengizinkan semua ingress HTTP(S):
gcloud compute firewall-policies rules create 1000 \ --action=allow \ --description DESCRIPTION \ --layer4-configs=tcp:80,tcp:443 \ --organization ORG_ID \ --short-name SHORT_NAMETambahkan aturan untuk menolak ingress di semua port atau protokol lainnya:
gcloud compute firewall-policies rules create 2000 \ --action=deny \ --description DESCRIPTION \ --organization ORG_ID \ --short-name SHORT_NAME \ --src-ip-ranges=0.0.0.0/0Kaitkan kebijakan firewall dengan
Folder1:gcloud compute firewall-policies associations create \ --organization ORG_ID \ --short-name SHORT_NAME \ --folder FOLDER_IDBuat kebijakan firewall yang berisi aturan untuk
Folder2:gcloud compute firewall-policies create \ --organization ORG_ID \ --short-name SHORT_NAME \ --description DESCRIPTIONTambahkan aturan untuk mengizinkan traffic masuk dari
203.0.113.1:gcloud compute firewall-policies rules create 1000 \ --action=allow \ --description DESCRIPTION \ --organization ORG_ID \ --short-name SHORT_NAME \ --src-ip-ranges=203.0.113.1/32Kaitkan kebijakan firewall dengan
Folder2:gcloud compute firewall-policies associations create \ --organization ORG_ID \ --short-name SHORT_NAME \ --folder FOLDER_IDTambahkan aturan firewall untuk mengizinkan traffic masuk koneksi HTTP(S):
gcloud compute firewall-rules create allow-internal-traffic \ --network=vpc2 \ --action=allow \ --rules=tcp:80,tcp:443,tcp:22
Ganti kode berikut:
ORG_ID: ID organisasi AndaSpecify an organization ID to create a policy whose parent is an organization. The policy can be associated with the organization or a folder within the organization.SHORT_NAME: nama kebijakanA policy created by using the Google Cloud CLI has two names: a system-generated name and a short name provided by you. When using the gcloud CLI to update an existing policy, you can provide either the system-generated name or the short name and the organization ID. When using the API to update the policy, you must provide the system-generated name.DESCRIPTION: deskripsi kebijakan firewallFOLDER_ID: ID folder Anda
Langkah berikutnya
Untuk memahami kebijakan dan aturan firewall hierarkis, lihat Kebijakan firewall hierarkis.
Untuk membuat dan mengubah kebijakan dan aturan firewall hierarkis, lihat Menggunakan kebijakan firewall hierarkis.