Aturan Cloud Next Generation Firewall menggunakan tag untuk menentukan sumber dan target. Pendekatan fleksibel ini menghindari ketergantungan pada alamat IP.
Jenis tag
Cloud NGFW mendukung dua jenis tag:
Tag yang diatur Identity and Access Management (IAM) , yang juga disebut sebagai tag aman, dibuat dan dikelola di Resource Manager sebagai kunci tag dan nilai tag. Nilai tag aman dapat digunakan untuk menentukan sumber untuk aturan ingress dan target untuk aturan ingress atau egress dalam kebijakan firewall hierarkis, kebijakan firewall jaringan global, atau kebijakan firewall jaringan regional.
Tag jaringan adalah string karakter tanpa kontrol akses yang dapat ditambahkan ke instance virtual machine (VM) atau template instance. Tag jaringan dapat digunakan untuk menentukan sumber untuk aturan firewall Virtual Private Cloud (VPC) ingress dan target untuk aturan firewall VPC ingress atau egress. Tag jaringan tidak dapat digunakan oleh aturan dalam kebijakan firewall hierarkis, kebijakan firewall jaringan global, atau kebijakan firewall jaringan regional. Untuk mengetahui informasi selengkapnya tentang tag jaringan, lihat Menambahkan tag jaringan.
Untuk mengetahui informasi selengkapnya tentang perbedaan antara tag aman dan tag jaringan, lihat Perbandingan tag aman dan tag jaringan.
Bagian berikut dari halaman ini menjelaskan tag aman dalam kebijakan firewall.
Spesifikasi
Tag aman memiliki spesifikasi berikut:
Resource induk: resource induk adalah resource tempat kunci tag aman ditentukan. Kunci tag dapat dibuat dalam project induk project atau organisasi organization. Untuk mengetahui informasi selengkapnya tentang cara membuat kunci tag, lihat Membuat dan mengelola tag aman.
Tujuan dan data tujuan: untuk menggunakan kunci tag aman dengan Cloud NGFW, Anda harus menetapkan atribut
purposekunci tag keGCE_FIREWALL, dan Anda harus menentukan atributpurpose-data:Anda dapat menetapkan atribut
purpose-datakunci tag kenetwork, diikuti dengan satu spesifikasi jaringan VPC.Untuk kunci tag dengan project induk, jika Anda menetapkan atribut
purpose-datakunci tag kenetwork, jaringan VPC yang ditentukan harus berada di project yang sama dengan kunci tag.Untuk kunci tag dengan organisasi induk, jika Anda menetapkan atribut
purpose-datakunci tag kenetwork, jaringan VPC yang ditentukan harus berada di organisasi yang sama dengan kunci tag.
Anda dapat menetapkan atribut
purpose-datakunci tag keorganization=auto. Tindakan ini mengidentifikasi semua jaringan VPC dalam organisasi.
Atribut
purposemaupunpurpose-datatidak dapat diubah setelah Anda membuat kunci tag. Untuk mengetahui informasi selengkapnya tentang cara memformat spesifikasi jaringan dalam atributpurpose-datakunci tag, lihat Tujuan dalam dokumentasi Resource Manager API.Struktur dan format: kunci tag aman dapat mereferensikan hingga 1.000 nilai tag unik . Akun utama IAM dengan peran Administrator Tag (
roles/resourcemanager.tagAdmin) membuat kunci tag dan nilai tag untuk setiap kunci tag. Untuk mengetahui informasi selengkapnya tentang batas tag aman, lihat Batas.Memindahkan project antar-organisasi: Anda dapat memindahkan project dari satu organisasi ke organisasi lain. Sebelum memindahkan project, lepaskan kunci tag apa pun yang memiliki atribut
purpose-datayang menentukan organisasi yang digunakan dalam project Anda dari organisasi aslinya. Jika Anda tidak melepaskan tag aman terlebih dahulu, Anda akan menerima pesan error selama pemindahan.Kontrol akses: Kebijakan IAM menentukan akun utama IAM mana yang dapat mengelola dan menggunakan tag aman:
Akun utama IAM dengan peran Administrator Tag (
roles/resourcemanager.tagAdmin) dapat membuat kunci tag dan mengelola nilai tag-nya:Akun utama IAM yang diberi peran Administrator Tag (
roles/resourcemanager.tagAdmin) dalam kebijakan IAM organisasi dapat membuat kunci tag dengan organisasi sebagai induknya.Akun utama IAM yang diberi peran Administrator Tag (
roles/resourcemanager.tagAdmin) dalam kebijakan IAM organisasi, folder, atau project, dapat membuat kunci tag dengan project sebagai induknya.
Akun utama IAM dengan peran Pengguna Tag (
roles/resourcemanager.tagUser) dapat mengikat nilai tag ke instance VM atau menggunakan nilai tag dalam aturan firewall kebijakan firewall hierarkis, kebijakan firewall jaringan global, atau kebijakan firewall jaringan regional.Akun utama IAM yang diberi peran Pengguna Tag (
roles/resourcemanager.tagUser) dalam kebijakan IAM organisasi dapat menggunakan nilai tag dari kunci tag yang memiliki organisasi sebagai induknya.Akun utama IAM yang diberi peran Pengguna Tag (
roles/resourcemanager.tagUser) dalam kebijakan IAM organisasi, folder, atau project, dapat menggunakan nilai tag dari kunci tag dengan project sebagai induknya.
Akun utama IAM yang merupakan developer, administrator database, atau tim operasional dapat diberi peran Pengguna Tag (
roles/resourcemanager.tagUser), dan peran lain yang sesuai, tanpa perlu diberi peran Admin Keamanan Compute (roles/compute.securityAdmin). Dengan cara ini, tim operasional dapat mengontrol aturan firewall mana yang berlaku untuk antarmuka jaringan instance VM yang mereka kelola tanpa dapat mengubah aturan firewall tersebut.
Untuk mengetahui informasi selengkapnya tentang izin yang diperlukan, lihat Peran IAM.
Dukungan aturan firewall: aturan dalam kebijakan firewall hierarkis, kebijakan firewall jaringan global, dan kebijakan firewall jaringan regional mendukung kunci tag sebagai tag aman sumber atau tag aman target. Aturan firewall VPC tidak mendukung tag aman. Untuk mengetahui informasi selengkapnya, lihat Perbandingan tag aman dan tag jaringan.
Binding VM dan aturan firewall yang berlaku: saat Anda mengikat nilai tag aman ke instance VM, aturan firewall yang berlaku yang menggunakan nilai tag akan menyertakan antarmuka jaringan VM sebagai sumber atau target:
Jika nilai tag aman yang terikat ke instance berasal dari kunci tag yang atribut
purpose-data-nya menentukan satu jaringan VPC:Aturan firewall ingress yang menggunakan nilai tag tersebut sebagai tag aman sumber memiliki sumber yang mencakup antarmuka jaringan VM yang berada di jaringan VPC yang ditentukan.
Aturan firewall ingress dan egress yang menggunakan nilai tag tersebut sebagai tag aman target memiliki target yang mencakup antarmuka jaringan VM yang berada di jaringan VPC yang ditentukan.
Jika nilai tag aman yang terikat ke instance berasal dari kunci tag yang atribut
purpose-data-nya menentukan organisasi:Aturan firewall ingress yang menggunakan nilai tag tersebut sebagai tag aman sumber memiliki sumber yang mencakup antarmuka jaringan VM yang berada di jaringan VPC organisasi mana pun.
Aturan firewall ingress dan egress yang menggunakan nilai tag tersebut sebagai tag aman target memiliki target yang mencakup antarmuka jaringan VM yang berada di jaringan VPC organisasi mana pun.
Cara aturan firewall yang berlaku mengidentifikasi paket: Cloud NGFW memetakan tag aman sumber dan tag aman target ke antarmuka jaringan, bukan alamat IP:
Saat tag aman sumber dari aturan firewall ingress menyertakan antarmuka jaringan VM sebagai sumber,cocokkan paket apa pun yang dikirim dari antarmuka jaringan tersebut. Google Cloud
Saat tag aman target dari aturan firewall ingress menyertakan antarmuka jaringan VM sebagai target, Google Cloud cocokkan paket apa pun yang diterima oleh antarmuka jaringan tersebut.
Saat tag aman target dari aturan firewall egress menyertakan antarmuka jaringan VM sebagai target, Google Cloud cocokkan paket apa pun yang dikirim dari antarmuka jaringan tersebut.
Jumlah nilai tag per instance: Anda dapat mengikat setiap nilai tag ke jumlah instance VM yang tidak terbatas. Jumlah nilai tag yang didukung setiap instance bervariasi. Google Cloud menetapkan batas 10 nilai tag yang berlaku untuk setiap antarmuka jaringan VM. Google Cloud mencegah Anda mengikat nilai tag tambahan ke instance VM jika lebih dari 10 nilai tag berlaku untuk satu atau beberapa antarmuka jaringannya. Untuk mengetahui informasi selengkapnya, lihat Mengikat tag aman.
Dukungan peering jaringan dan NCC: Anda dapat menggunakan tag aman untuk mengidentifikasi antarmuka jaringan VM di jaringan yang di-peering. Hal ini mencakup jaringan yang terhubung melalui Peering Jaringan VPC dan spoke VPC di hub Network Connectivity Center. Fitur ini membantu konsumen layanan yang dipublikasikan menggunakan akses layanan pribadi. Misalnya, Anda dapat menggunakan aturan firewall ingress dengan tag aman sumber untuk mengontrol traffic dari VM produsen layanan ke VM Anda.
Tag aman dengan Google Kubernetes Engine (GKE): Anda dapat mengikat tag aman ke cluster GKE dan kumpulan node untuk digunakan dalam kebijakan firewall jaringan. Untuk mengetahui informasi selengkapnya, lihat Membuat dan mengelola tag aman.
Mengikat tag aman
Untuk menggunakan tag aman dengan Cloud NGFW, Anda harus mengikat nilai tag ke instance VM. Setiap kunci tag aman mendukung beberapa nilai tag; namun, untuk setiap kunci tag, Anda hanya dapat mengikat salah satu nilai tag-nya ke instance. Untuk mengetahui informasi selengkapnya tentang izin IAM dan cara mengikat tag aman, lihat Mengikat tag aman.
Contoh di bagian ini menunjukkan cara nilai tag terikat berlaku untuk antarmuka jaringan VM. Pertimbangkan contoh instance VM instance1 dengan dua antarmuka jaringan:
nic0terhubung ke jaringan VPCnetwork1nic1terhubung ke jaringan VPCnetwork2
Kedua jaringan VPC berada di organisasi yang sama.
Atribut purpose-data dari kunci tag yang sesuai menentukan hubungan antara nilai tag terikat dan antarmuka jaringan VM.
Kunci tag yang atribut purpose-data-nya menentukan jaringan VPC
Misalkan Anda membuat dua kunci tag dengan atribut purpose-data dan nilai tag berikut:
tag_key1memiliki atributpurpose-datayang menentukan jaringan VPCnetwork1dan dua nilai tagtag_value1dantag_value2.tag_key2memiliki atributpurpose-datayang menentukan jaringan VPCnetwork2dan satu nilai tagtag_value3.
purpose-data dari setiap kunci tag
menentukan satu jaringan VPC (klik untuk memperbesar).Saat Anda mengikat nilai tag aman tag_value1 dan tag_value3 ke instance1:
tag_value1berlaku untuk antarmuka jaringannic0karena induknyatag_key1memiliki atributpurpose-datayang menentukan jaringan VPCnetwork1, dan antarmuka jaringannic0berada dinetwork1.tag_value3berlaku untuk antarmuka jaringannic1karena induknyatag_key2memiliki atributpurpose-datayang menentukan jaringan VPCnetwork2, dan antarmuka jaringannic1berada dinetwork2.
Diagram berikut menunjukkan nilai tag binding dari kunci tag yang atribut purpose-data-nya menentukan satu jaringan VPC.
purpose-data atributnya menentukan satu jaringan VPC
(klik untuk memperbesar).Kunci tag yang atribut purpose-data-nya menentukan organisasi
Misalkan Anda membuat dua kunci tag dengan atribut purpose-data dan nilai tag berikut:
tag_key3memiliki atributpurpose-datayang menentukan organisasi induk dan memiliki dua nilai tagtag_value4dantag_value5.tag_key4memiliki atributpurpose-datayang menentukan organisasi induk dan memiliki satu nilai tagtag_value6.
purpose-data dari setiap kunci tag
menentukan organisasi induk (klik untuk memperbesar).Saat Anda mengikat nilai tag tag_value4 ke instance1:
tag_value4berlaku untuk antarmuka jaringannic0karena induknyatag_key3memiliki atributpurpose-datayang menentukan organisasi induk yang berisi jaringan VPCnetwork1, dan antarmuka jaringannic0berada dinetwork1.tag_value4juga berlaku untuk antarmuka jaringannic1karena induknyatag_key3menyertakan atributpurpose-datayang menentukan organisasi induk yang berisi jaringan VPCnetwork2. Antarmuka jaringannic1berada dinetwork2.
Diagram berikut menunjukkan nilai tag binding dari kunci tag yang atribut purpose-data-nya menentukan organisasi induk.
purpose-data atributnya menentukan organisasi induk (klik untuk
memperbesar).Mengonfigurasi tag aman
Alur kerja berikut memberikan urutan langkah tingkat tinggi yang diperlukan untuk mengonfigurasi tag aman dalam kebijakan firewall.
Anda dapat membuat tag aman di tingkat organisasi atau project. Untuk membuat tag di tingkat organisasi, Anda harus terlebih dahulu diberi izin IAM oleh administrator organisasi. Untuk mengetahui informasi selengkapnya, lihat Memberikan izin ke tag aman.
Untuk membuat tag aman, Anda harus membuat kunci tag terlebih dahulu. Kunci tag ini menjelaskan tag yang Anda buat. Untuk mengetahui informasi selengkapnya, lihat Membuat kunci dan nilai tag aman.
Setelah membuat kunci tag aman, Anda harus menambahkan nilai tag aman yang relevan ke kunci tag tersebut. Untuk mengetahui informasi selengkapnya, lihat Membuat kunci dan nilai tag aman. Untuk memberikan akses tertentu kepada pengguna guna mengelola kunci tag aman dan melampirkan nilai tag ke resource, gunakankonsol Google Cloud . Untuk mengetahui informasi selengkapnya, lihat Mengelola akses ke tag.
Setelah membuat tag aman, Anda dapat menggunakannya dalam kebijakan firewall jaringan atau kebijakan firewall hierarkis. Untuk mengetahui informasi selengkapnya, lihat Membuat kebijakan firewall hierarkis dan Membuat kebijakan firewall jaringan.
Untuk mengizinkan traffic yang dipilih antara VM dengan kunci tag sumber dan kunci tag target, buat aturan kebijakan firewall (jaringan atau hierarkis) dengan nilai tag sumber dan nilai tag target tertentu. Untuk mengetahui informasi selengkapnya, lihat Membuat aturan kebijakan firewall dengan tag aman.
Setelah kunci tag dibuat dan akses yang sesuai diberikan ke kunci tag dan resource, kunci tag dapat diikat ke instance VM. Untuk mengetahui informasi selengkapnya, lihat Mengikat tag aman.
Perbandingan tag aman dan tag jaringan
Tabel berikut merangkum perbedaan antara tag aman dan tag jaringan. The tanda centang menunjukkan bahwa atribut didukung, dan simbol menunjukkan bahwa atribut tidak didukung.
| Atribut | Tag aman dengan purpose-data atribut yang menentukan
jaringan VPC |
Tag aman dengan purpose-data atribut yang menentukan
organisasi |
Tag jaringan |
|---|---|---|---|
| Resource induk | Project atau organisasi | Project atau organisasi | Project |
| Struktur dan format | Kunci tag dengan hingga 1.000 nilai | Kunci tag dengan hingga 1.000 nilai | String sederhana |
| Kontrol akses | Menggunakan IAM | Menggunakan IAM | Tidak ada kontrol akses |
| Antarmuka jaringan yang berlaku |
|
|
|
| Didukung oleh aturan dalam kebijakan firewall hierarkis | |||
| Didukung oleh aturan dalam kebijakan firewall jaringan global dan regional | |||
| Didukung oleh aturan firewall VPC | |||
| Aturan firewall ingress dapat menyertakan sumber di jaringan VPC yang terhubung menggunakan Peering Jaringan VPC | 1 | 1 | |
| Aturan firewall ingress dapat menyertakan sumber di spoke VPC lain di hub NCC | 1 | 1 |
- Atribut
purpose-datakunci tag menentukan jaringan VPC lain (atau organisasi induk yang berisi jaringan VPC lain ) - Jaringan VPC lain dan jaringan VPC yang menggunakan kebijakan firewall terhubung menggunakan Peering Jaringan VPC atau keduanya merupakan spoke VPC di hub NCC yang sama.
Peran IAM
Untuk mengetahui informasi selengkapnya tentang peran dan izin IAM yang Anda perlukan untuk membuat dan mengelola tag aman, lihat Mengelola tag pada resource.
Langkah berikutnya
- Untuk memberikan izin ke tag aman dan membuat pasangan nilai kunci tag aman, lihat Membuat dan mengelola tag aman.
- Untuk menggunakan tag aman dalam peering jaringan, lihat Menggunakan tag aman di seluruh jaringan yang di-peering.