Bagaimana Mengonfigurasi Aturan Firewall di Google Cloud Platform?

Ingin tahu bagaimana mengizinkan atau menolak aliran jaringan di Google Cloud Platform (GCP?


Setiap proyek yang Anda buat di GCP dilengkapi dengan aturan firewall default.

Mari kita jelajahi apa saja mereka.

  • default-allow-icmp – memungkinkan dari sumber apa saja ke semua IP jaringan. Protokol ICMP sebagian besar digunakan untuk melakukan ping target.
  • default-allow-internal – memungkinkan konektivitas antar instance pada port apa pun.
  • default-allow-rdp – izinkan sesi RDP terhubung ke server Windows dari sumber apa pun.
  • default-allow-ssh – aktifkan sesi SSH untuk terhubung ke server UNIX dari sumber apa pun.

Seperti yang Anda lihat aturan default memungkinkan konektivitas dasar untuk mengaktifkan ping dan masuk ke server.

Apakah Anda membutuhkan lebih dari ini?

Saya yakin Anda tahu. Di situlah Anda perlu tahu cara mengonfigurasi berdasarkan kebutuhan.

Firewall GCP adalah aturan yang ditentukan oleh perangkat lunak; Anda tidak perlu belajar atau masuk ke perangkat keras firewall konvensional.

Aturan firewall Google Cloud stateful.

Semua konfigurasi dilakukan baik melalui Konsol GCP atau perintah. Namun, saya akan menjelaskan bagaimana cara menggunakan konsol.

Aturan firewall tersedia di bawah jaringan VPC di bagian jaringan di menu sebelah kiri.

Ketika Anda mengklik pada membuat aturan firewall, ia akan menanyakan detail konektivitas Anda. Mari kita pahami apa semua opsi yang kita miliki dan apa artinya itu.

Nama – nama firewall (hanya dalam huruf kecil dan tidak ada ruang yang diizinkan)

Deskripsi – opsional tetapi bagus untuk memasukkan sesuatu yang bermakna, sehingga Anda ingat di masa depan

Jaringan – Jika Anda belum membuat VPC, Anda hanya akan melihat default dan membiarkannya begitu saja. Namun, jika Anda memiliki beberapa VPC maka pilih jaringan tempat Anda ingin menerapkan aturan firewall.

Prioritas – prioritas aturan yang diterapkan ke jaringan. Terendah mendapat prioritas tertinggi, dan itu dimulai dari 1000. Dalam kebanyakan kasus, Anda ingin menjaga semua layanan penting (HTTP, HTTPS, dll.) Dengan prioritas 1000.

Arah lalu lintas – pilih jenis aliran antara masuknya (masuk) dan keluar (keluar).

Aksi saat pertandingan – pilih jika Anda ingin mengizinkan atau menolak

Target – target tempat Anda ingin menerapkan aturan. Anda memiliki opsi untuk menerapkan aturan ke semua instance dalam jaringan, hanya mengizinkan tag atau akun layanan tertentu.

Filter sumber – sumber yang akan divalidasi untuk mengizinkan atau menolak. Anda dapat memfilter menurut rentang IP, subnetwork, tag sumber, dan akun layanan.

Sumber rentang IP – jika rentang IP yang dipilih dalam filter sumber yang default kemudian berikan kisaran IP yang akan diizinkan.

Filter sumber kedua – validasi banyak sumber dapat dilakukan.

Misalnya: Anda dapat memiliki filter sumber pertama sebagai tag sumber dan filter kedua sebagai akun layanan. Pertandingan apa pun itu akan diizinkan / ditolak.

Protokol dan porta – Anda dapat memilih semua port atau menentukan satu port (TCP / UDP). Anda dapat memiliki beberapa port unik dalam satu aturan.

Mari kita menjelajahi skenario real-time …

Anda telah mengubah port SSH dari 22 menjadi sesuatu yang lain (katakanlah 5000) karena alasan keamanan. Sejak itu, Anda tidak bisa masuk ke VM.

Mengapa?

Yah, Anda dapat dengan mudah menebaknya karena port 5000 tidak diizinkan di firewall. Untuk mengizinkan, Anda perlu membuat aturan firewall seperti di bawah ini.

  • Berikan nama aturan
  • Pilih masuknya ke arah lalu lintas
  • Pilih untuk memungkinkan aksi pertandingan
  • Pilih semua instance di jaringan dalam target (dengan asumsi Anda ingin terhubung ke VM dengan port 5000)
  • Pilih rentang IP dalam filter sumber (dengan asumsi Anda ingin terhubung dari sumber APAPUN)
  • Berikan rentang IP sumber sebagai 0.0.0.0/0
  • Pilih protokol dan port yang ditentukan dan masukkan tcp: 5000
  • Klik buat

Cobalah untuk menghubungkan VM Anda dengan port 5000, dan itu harusnya ok.

Beberapa praktik terbaik untuk mengelola aturan firewall.

  • Hanya izinkan apa yang diperlukan (berdasarkan kebutuhan)
  • Jika memungkinkan, tentukan IP sumber individu atau rentang alih-alih 0,0.0.0/0 (APA SAJA)
  • Kaitkan instance VM dengan tag dan gunakan itu dalam target alih-alih semua instance
  • Gabungkan beberapa port dalam satu aturan untuk sumber dan tujuan yang cocok
  • Tinjau aturan firewall secara berkala

Antarmuka grafis GCP mudah dipahami dan dikelola.

Saya harap ini memberi Anda ide mengelola aturan firewall Google Cloud Platform. Jika tertarik belajar lebih banyak maka saya akan merekomendasikan ini kursus online.

TAGS:

  • GCP

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map