Kontrol traffic inbound dan outbound instans ECS dengan menggunakan kebijakan kontrol akses - Cloud Firewall

Firewall ECS mengontrol traffic inbound dan outbound instans ECS Anda untuk mencegah akses tidak sah. Saat Anda memublikasikan kebijakan kontrol akses, firewall secara otomatis menyinkronkannya dengan Security Group ECS yang sesuai, tempat kebijakan tersebut diterapkan.

Cara kerja Firewall ECS

Manfaat menggunakan kebijakan Firewall ECS

Menggunakan kebijakan Firewall ECS memberikan keunggulan berikut dibandingkan membuat aturan Security Group langsung di konsol ECS:

Memublikasikan kebijakan secara batch.
Membuat Security Group secara otomatis saat digunakan bersama kelompok aplikasi.
Mengelola kebijakan untuk semua wilayah di konsol Cloud Firewall tanpa perlu berpindah antar-wilayah.

Secara default, Anda dapat membuat maksimal 500 Policy Group, dan setiap Policy Group dapat berisi hingga 500 kebijakan. Batas ini mencakup kebijakan yang dibuat langsung di Firewall ECS maupun kebijakan yang disinkronkan dari Security Group ECS. Jika batas ini tidak mencukupi, Anda dapat menghapus kebijakan yang tidak diperlukan. Sebagai alternatif, Anda dapat mengonfigurasi kebijakan kontrol akses pada batas VPC untuk mengurangi kebutuhan terhadap kebijakan Firewall ECS.

Jenis Policy Group

Policy Group tersedia dalam dua jenis: Standard Policy Groups dan Enterprise Policy Groups.

Kasus penggunaan

Standard Policy Group berkorespondensi dengan Security Group standar di ECS. Policy Group ini bertindak sebagai firewall virtual dengan kemampuan Stateful Inspection dan packet filtering untuk membuat domain keamanan di cloud. Anda dapat mengonfigurasi Policy Group untuk mengizinkan atau menolak traffic inbound dan outbound bagi instans ECS di dalamnya. Jenis policy group ini cocok untuk skenario yang memerlukan kontrol jaringan tingkat tinggi dan jumlah koneksi jaringan moderat.
Enterprise Policy Group berkorespondensi dengan Security Group enterprise di ECS. Ini merupakan jenis policy group baru yang mendukung jumlah instans jauh lebih besar dibandingkan Standard Policy Group. Jenis ini menghilangkan batasan jumlah alamat IP privat dalam satu kelompok dan menyederhanakan konfigurasi aturan untuk memudahkan maintenance. Jenis ini ideal bagi pengguna perusahaan yang memerlukan penerapan skala besar dan efisiensi operasional tinggi.

Perbedaan

Untuk perbandingan detail antara Security Group standar dan enterprise, lihat Standard Security Groups dan Enterprise-level Security Groups.

Prasyarat

Anda harus memiliki langganan aktif Cloud Firewall Edisi Perusahaan atau Edisi Ultimate. Untuk informasi selengkapnya, lihat Pembelian Cloud Firewall.

Konfigurasikan kebijakan kontrol akses

Untuk mengonfigurasi kebijakan kontrol akses untuk Firewall ECS, pertama-tama buat Policy Group yang mencakup kebijakan default. Selanjutnya, konfigurasikan kebijakan kontrol akses inbound atau outbound dalam kelompok tersebut. Setelah kelompok dan kebijakannya dikonfigurasi, Anda harus memublikasikan Policy Group tersebut agar kebijakan disinkronkan ke Security Group ECS terkait dan diaktifkan.

Langkah 1: Buat policy group

Masuk ke Cloud Firewall console.
Di panel navigasi sebelah kiri, pilih Protection Configuration > Internal Border. Lalu, klik Create Policy Group.

Pada kotak dialog Create Policy Group, konfigurasikan parameter policy group lalu klik Confirm.

Parameter	Deskripsi
Policy Group Type	Pilih jenis policy group: Common Policy Group Enterprise Policy Group
Policy Group Name	Masukkan nama untuk policy group. Nama deskriptif membantu identifikasi dan manajemen.
VPC	Pilih Virtual Private Cloud (VPC) tempat policy group diterapkan. Setiap policy group hanya dapat dikaitkan dengan satu VPC.
Instance ID	Dari daftar drop-down Instance ID, pilih satu atau beberapa instans ECS tempat policy group diterapkan. Catatan Daftar hanya berisi instans ECS dalam VPC yang dipilih.
Description	Masukkan deskripsi singkat untuk policy group.
Template	Dari daftar drop-down Template, pilih templat yang akan diterapkan: default-accept-login: Mengizinkan traffic Inbound pada port TCP 22 dan port TCP 3389, serta mengizinkan seluruh traffic Outbound. default-accept-all: Mengizinkan seluruh traffic Inbound dan Outbound. default-drop-all: Menolak seluruh traffic Inbound dan Outbound. Catatan Opsi default-drop-all tidak didukung untuk Enterprise Policy Groups.

Langkah 2: Konfigurasikan kebijakan

Pada halaman Internal Border, temukan policy group lalu klik Configure Policy di kolom Actions.
Pada tab Inbound atau Outbound, klik Create Policy.

Pada kotak dialog Create Policy, konfigurasikan parameter kebijakan lalu klik Submit.

Parameter	Deskripsi
NIC Type	Nilai default adalah Internal Network. Pengaturan ini berlaku untuk traffic inbound dan outbound instans ECS.
Direction	Pilih arah penerapan kebijakan. Inbound: Mengontrol traffic dari instans ECS lain ke instans ECS yang terkait dengan policy group. Outbound: Mengontrol traffic dari instans ECS dalam policy group ke instans ECS lain.
Policy Type	Pilih aksi kebijakan. Allow: Mengizinkan traffic terkait. Deny: Membuang paket secara langsung tanpa mengirim respons apa pun. Jika dua kebijakan identik kecuali pada aksinya, kebijakan Deny memiliki prioritas lebih tinggi daripada kebijakan Allow. Catatan Opsi Deny tidak didukung untuk Enterprise Policy Groups.
Protocol	Pilih jenis protokol untuk traffic. Pilih ANY jika Anda tidak yakin jenis protokolnya.
Port Range	Masukkan rentang port tujuan untuk traffic. Untuk menentukan rentang, misalnya semua port dari 1 hingga 200, masukkan 1/200. Untuk menentukan satu port, misalnya port 80, masukkan 80/80.
Priority	Angka dari 1 hingga 100 yang menentukan urutan evaluasi kebijakan. Nilai yang lebih kecil menunjukkan prioritas lebih tinggi. Jika kebijakan memiliki prioritas yang sama, kebijakan Deny memiliki prioritas lebih tinggi daripada kebijakan Allow.
Source Type, Source	Tentukan sumber traffic. Parameter ini wajib diisi ketika Policy Direction diatur ke Inbound. Anda dapat memilih jenis sumber lalu menentukan objek sumbernya. CIDR Block Masukkan satu blok CIDR sumber. Policy Group Pilih policy group lain dari daftar Source. Ini mengontrol traffic dari seluruh instans ECS dalam policy group sumber yang dipilih. Catatan Opsi ini tidak didukung untuk Enterprise Policy Groups. Prefix List Pilih daftar awalan dari daftar Source. Cloud Firewall mengontrol traffic dari alamat IP dalam daftar awalan yang ditentukan ke instans ECS. Untuk informasi selengkapnya tentang daftar awalan, lihat Gunakan daftar awalan dan daftar port untuk mengelola aturan security group secara efisien.
Destination	Tentukan tujuan traffic. Parameter ini tersedia ketika Policy Direction diatur ke Inbound. Parameter ini memungkinkan Anda menentukan tujuan dalam policy group saat ini. Jenis tujuan yang tersedia adalah: All ECS Instances: Semua instans ECS yang terkait dengan policy group saat ini. CIDR Block: Masukkan alamat IP instans ECS yang terkait dengan policy group saat ini. Gunakan notasi CIDR. Ini mengontrol traffic inbound hanya untuk instans ECS yang ditentukan.
Select Source	Tentukan sumber traffic. Parameter ini tersedia ketika Policy Direction diatur ke Outbound. Parameter ini memungkinkan Anda menentukan sumber dalam policy group saat ini. Jenis sumber yang tersedia adalah: All ECS Instances: Semua instans ECS yang terkait dengan policy group saat ini. CIDR Block: Masukkan alamat IP sumber atau blok CIDR. Ini mengidentifikasi instans ECS sumber dalam policy group saat ini yang sesuai dengan alamat yang ditentukan.
Destination Type, Destination	Tentukan jenis tujuan dan objek tujuan. Parameter ini wajib diisi ketika Policy Direction diatur ke Outbound. Jenis tujuan yang tersedia adalah: CIDR Block Masukkan satu blok CIDR tujuan. Policy Group Pilih policy group dari daftar. Ini mengontrol traffic dari host lokal ke seluruh instans ECS dalam policy group tujuan. Catatan Opsi ini tidak didukung untuk Enterprise Policy Groups. Prefix List Pilih daftar awalan dari daftar. Ini mengontrol traffic ke seluruh instans ECS dalam security group yang terkait dengan daftar awalan. Untuk informasi selengkapnya tentang daftar awalan, lihat Gunakan daftar awalan dan daftar port untuk mengelola aturan security group secara efisien.
Description	Masukkan deskripsi kebijakan.

Setelah policy group dibuat, Anda dapat melihat policy group baru tersebut dalam daftar policy group di halaman Firewall ECS.

Langkah 3: Publikasikan policy group

Masuk ke Cloud Firewall console.
Di panel navigasi sebelah kiri, pilih Protection Configuration > Internal Border. Temukan policy group lalu klik Publish Policy di kolom Actions.
Pada kotak dialog Publish Policy, masukkan Update Remarks, konfirmasi Update Policy, lalu klik OK.
Kebijakan hanya berlaku setelah Anda memublikasikan policy group. Di konsol ECS, navigasikan ke halaman Security Group > Security Group List untuk melihat kebijakan kontrol akses yang disinkronkan dari Cloud Firewall. Security Group yang dibuat oleh Cloud Firewall secara default diberi nama Cloud_Firewall_Security_Group.

Sinkronisasi kebijakan Security Group

Sinkronisasi Manual: Pada halaman Internal Border, Anda dapat mengklik Synchronize Security Group untuk mengimpor kebijakan dari Security Group ECS ke Cloud Firewall. Proses sinkronisasi memerlukan waktu 2 hingga 3 menit.
Sinkronisasi Otomatis: Cloud Firewall secara otomatis menyinkronkan kebijakan dari Security Group ECS setiap dua jam.

Operasi terkait

Dari daftar policy group di halaman Firewall ECS, Anda dapat melakukan operasi berikut:

Edit: Ubah instans ECS dan deskripsi policy group.
Delete: Hapus policy group.
Peringatan
Menghapus policy group akan membatalkan selamanya seluruh kebijakan di dalamnya. Tindakan ini tidak dapat dibatalkan. Meskipun catatan policy group yang dihapus tetap ada, Anda tidak dapat melakukan operasi lebih lanjut padanya.
Untuk menemukan dan menghapus policy group yang tidak lagi diperlukan, filter daftar dengan mengatur sumber policy group ke Custom. Ini akan memfilter seluruh policy group yang dibuat secara manual di konsol Cloud Firewall, sehingga Anda dapat memutuskan apakah akan menyimpannya.