Profil keamanan membantu Anda menentukan kebijakan inspeksi Layer 7 untuk Google Cloud resource Anda. Struktur kebijakan ini bersifat umum yang digunakan oleh endpoint firewall untuk memindai traffic yang dicegat guna menyediakan layanan Lapisan aplikasi, seperti layanan pemfilteran URL dan layanan deteksi serta pencegahan penyusupan.
Dokumen ini memberikan ringkasan mendetail tentang profil keamanan dan kemampuannya.
Spesifikasi
Profil keamanan adalah resource tingkat organisasi.
Cloud Next Generation Firewall mendukung profil keamanan jenis
url-filteringdanthreat-prevention.Setiap profil keamanan diidentifikasi secara unik oleh URL dengan elemen berikut:
- ID Organisasi: ID organisasi.
- Lokasi: cakupan profil keamanan. Lokasi selalu
ditetapkan ke
global. - Nama: nama profil keamanan dalam format berikut:
- String sepanjang 1-63 karakter
- Hanya berisi karakter alfanumerik atau tanda hubung (-)
- Tidak boleh diawali dengan angka
Untuk membuat ID URL unik untuk profil keamanan, gunakan format berikut:
organization/ORGANIZATION_ID/locations/LOCATION/securityProfiles/SECURITY_PROFILE_NAMEMisalnya,
globalprofil keamananexample-security-profiledi organisasi2345678432memiliki ID unik berikut:organization/2345678432/locations/global/securityProfiles/example-security-profileSetelah membuat profil keamanan, Anda memiliki opsi untuk melampirkannya ke grup profil keamanan atau melampirkannya nanti. Grup profil keamanan ini dirujuk oleh kebijakan firewall jaringan Virtual Private Cloud (VPC) tempat Anda ingin menerapkan inspeksi Layer 7.
Setiap profil keamanan harus memiliki ID project terkait. Project terkait digunakan untuk kuota dan batasan akses pada resource profil keamanan. Jika Anda mengautentikasi akun layanan menggunakan perintah
gcloud auth activate-service-account, Anda dapat mengaitkan akun layanan dengan profil keamanan. Untuk mempelajari lebih lanjut cara membuat profil keamanan, lihat Membuat profil keamanan pencegahan ancaman dan Membuat profil keamanan pemfilteran URL.
Profil keamanan pemfilteran URL
Cloud NGFW menggunakan profil keamanan pemfilteran URL untuk mengonfigurasi layanan pemfilteran URL.
Profil keamanan pemfilteran URL adalah jenis profil keamanan yang menggunakan satu atau beberapa filter URL untuk menentukan kebijakan keamanan untuk endpoint firewall. Filter URL adalah daftar string pencocok dengan prioritas dan tindakan yang unik. String pencocokan berisi nama domain yang dicocokkan Cloud NGFW dengan pesan HTTP yang sedang dievaluasi. Untuk pesan terenkripsi, Cloud NGFW memeriksa string pencocokan terhadap SNI yang dikirim selama negosiasi TLS. Jika Anda mengaktifkan pemeriksaan TLS, Cloud NGFW akan mendekripsi header pesan dan juga mengevaluasi header host. Untuk traffic yang tidak terenkripsi, Cloud NGFW selalu membandingkan string pencocok dengan header host pesan HTTP.
Prioritas filter URL ditentukan oleh nilai unik yang Anda tentukan menggunakan kolom priority. Nilai prioritas filter URL dapat berkisar dari 0 hingga
2147483647. Cloud NGFW memproses nilai numerik terendah
(yang mewakili prioritas tertinggi) terlebih dahulu, diikuti dengan nilai numerik
yang lebih tinggi berikutnya hingga menemukan kecocokan. Cloud NGFW tidak mengevaluasi
setiap domain dalam daftar pemfilteran URL berdasarkan urutan prioritas.
Untuk mempelajari lebih lanjut cara membuat dan mengelola profil keamanan pemfilteran URL, lihat Membuat dan mengelola profil keamanan pemfilteran URL.
Untuk mempelajari lebih lanjut cara mengonfigurasi pemfilteran URL, lihat Mengonfigurasi layanan pemfilteran URL.
Profil keamanan pencegahan ancaman
Cloud NGFW menggunakan profil keamanan pencegahan ancaman untuk menyediakan deteksi dan pencegahan penyusupan.
Saat Anda membuat profil keamanan jenis threat-prevention, tanda tangan ancaman default berikut dengan tingkat keseriusan default dan tindakan terkait ditambahkan ke profil:
- Tanda tangan deteksi kerentanan
- Tanda tangan anti-spyware
- Tanda tangan antivirus
- Tanda tangan DNS
Anda memiliki opsi untuk menambahkan penggantian tingkat keparahan ke profil keamanan pencegahan ancaman. Setiap tanda tangan default memiliki tingkat keparahan ancaman. Tingkat keparahan menunjukkan risiko ancaman yang terdeteksi. Setiap tingkat keparahan juga memiliki tindakan default terkait. Tindakan default menentukan langkah-langkah yang diambil Cloud NGFW untuk menangani ancaman dengan tingkat keparahan tertentu. Anda dapat menggunakan profil keamanan pencegahan ancaman untuk mengganti tindakan default untuk tingkat keparahan.
Tindakan berikut didukung:
- Tanpa penggantian: melakukan tindakan default yang terkait dengan ancaman.
- Tolak: mencatat ancaman dan membuang paket.
- Peringatan: mencatat ancaman dan mengizinkan sesi.
- Izinkan: mengabaikan ancaman, jika terdeteksi.
Saat Anda membuat profil keamanan pencegahan ancaman, tindakan penggantian default untuk semua
tingkat keparahan ditetapkan ke No override.
Anda juga dapat menambahkan penggantian tanda tangan ke profil keamanan pencegahan ancaman. Setiap tanda tangan ancaman memiliki tindakan default terkait. Anda dapat menggunakan profil keamanan pencegahan ancaman untuk mengganti tindakan default tanda tangan ancaman dengan menggunakan tindakan sebelumnya. Penggantian tanda tangan lebih diutamakan daripada penggantian tingkat keparahan.
Untuk mempelajari lebih lanjut cara mengonfigurasi pencegahan ancaman, lihat Mengonfigurasi layanan deteksi dan pencegahan penyusupan.
Peran Identity and Access Management
Peran Identity and Access Management (IAM) mengatur tindakan profil keamanan berikut:
- Membuat profil keamanan di organisasi
- Mengubah atau menghapus profil keamanan
- Melihat detail profil keamanan
- Melihat daftar profil keamanan dalam organisasi
- Menggunakan profil keamanan dalam grup profil keamanan
Tabel berikut menjelaskan peran yang diperlukan untuk setiap langkah.
| Kemampuan | Peran yang diperlukan |
|---|---|
| Membuat profil keamanan | Peran Compute Network Admin (roles/compute.networkAdmin) dan Security Profile Admin (roles/networksecurity.securityProfileAdmin) di organisasi tempat profil keamanan dibuat. |
| Mengubah profil keamanan | Peran Compute Network Admin (roles/compute.networkAdmin) dan Security Profile Admin (roles/networksecurity.securityProfileAdmin) di organisasi tempat profil keamanan dibuat. |
| Menghapus profil keamanan | Peran Compute Network Admin (roles/compute.networkAdmin) di organisasi tempat profil keamanan dibuat. |
| Melihat detail tentang profil keamanan dalam organisasi | Salah satu peran berikut untuk organisasi: Compute Network Admin ( roles/compute.networkAdmin)Compute Network User ( roles/compute.networkUser)Compute Network Viewer ( roles/compute.networkViewer)Security Profile Admin ( roles/networksecurity.securityProfileAdmin) |
| Melihat semua profil keamanan dalam organisasi | Salah satu peran berikut untuk organisasi: Compute Network Admin ( roles/compute.networkAdmin)Compute Network User ( roles/compute.networkUser)Compute Network Viewer ( roles/compute.networkViewer)Security Profile Admin ( roles/networksecurity.securityProfileAdmin) |
| Menggunakan profil keamanan dalam grup profil keamanan | Salah satu peran berikut untuk organisasi: Compute Network Admin ( roles/compute.networkAdmin)Compute Network User ( roles/compute.networkUser)Security Profile Admin ( roles/networksecurity.securityProfileAdmin) |
Kuota
Untuk melihat kuota yang terkait dengan profil keamanan, lihat Kuota dan batas.
Harga
Harga untuk profil keamanan dijelaskan dalam harga Cloud NGFW.
Langkah berikutnya
- Mengonfigurasi layanan pemfilteran URL
- Mengonfigurasi layanan deteksi dan pencegahan penyusupan
- Membuat dan mengelola profil keamanan pencegahan ancaman
- Membuat dan mengelola profil keamanan pemfilteran URL