Eine Sicherheitsprofilgruppe ist ein Container für Sicherheitsprofile. Eine Firewall richtlinienregel verweist auf eine Sicherheitsprofilgruppe, um die Layer-7-Prüfung zu aktivieren, wie den URL-Filterdienst und den Dienst zur Einbruchserkennung und ‑vermeidung, in Ihrem Netzwerk.
Dieses Dokument bietet eine detaillierte Übersicht über Sicherheitsprofilgruppen und deren Funktionen.
Spezifikationen
Eine Sicherheitsprofilgruppe ist eine Ressource, die Sie auf Organisationsebene oder Projektebene konfigurieren können.
Sicherheitsprofilgruppen auf Organisationsebene: Mit diesen Gruppen können Sie Sicherheitsprofile auf Organisationsebene in Ihrer Organisation gruppieren.
Sicherheitsprofilgruppen auf Projektebene (Vorschau): Mit diesen Gruppen können Sie Sicherheitsprofile auf Projektebene in Ihrem Projekt gruppieren.
In einer Sicherheitsprofilgruppe können Sie Sicherheitsprofile der Typen
url-filteringoderthreat-preventionin beliebiger Reihenfolge hinzufügen.
Eine Sicherheitsprofilgruppe kann nur ein Sicherheitsprofil jedes Typs enthalten. Wenn Sie zwei Profile hinzufügen möchten, müssen sie unterschiedliche Typen haben. Wenn Sie beispielsweise ein Sicherheitsprofil vom Typ url-filtering hinzufügen, können Sie ein zweites Profil vom Typ threat-prevention hinzufügen, um den Traffic zusätzlich zu filtern.
Jede Sicherheitsprofilgruppe wird eindeutig durch eine URL mit den folgenden Elementen identifiziert:
- Organisations-ID oder Projekt-ID (Vorschau): ID der Organisation oder des Projekts.
- Standort:Geltungsbereich der Sicherheitsprofilgruppe. Der Standort ist immer auf
globalfestgelegt. - Name: Name der Sicherheitsprofilgruppe im folgenden Format:
- Ein String mit 1 bis 63 Zeichen
- Enthält nur alphanumerische Zeichen oder Bindestriche (-)
- Darf nicht mit einer Ziffer beginnen
Verwenden Sie das folgende Format, um eine eindeutige URL-ID für eine Sicherheitsprofilgruppe zu erstellen:
- Für eine Sicherheitsprofilgruppe auf Organisationsebene:
organizations/ORGANIZATION_ID/locations/global/securityProfileGroups/SECURITY_PROFILE_GROUP_NAMEEine Sicherheitsprofilgruppe
example-security-profile-groupin der Organisation2345678432hat beispielsweise die folgende eindeutige Kennung:organizations/2345678432/locations/global/securityProfileGroups/example-security-profile-group- Für eine Sicherheitsprofilgruppe auf Projektebene (Vorschau):
projects/PROJECT_ID/locations/global/securityProfileGroups/SECURITY_PROFILE_GROUP_NAMEEine Sicherheitsprofilgruppe
example-security-profile-groupim Projektmy-project-123hat beispielsweise die folgende eindeutige Kennung:projects/my-project-123/locations/global/securityProfileGroups/example-security-profile-groupEine Firewallrichtlinienregel muss den Namen der Sicherheitsgruppe enthalten, die vom Firewall-Endpunkt verwendet werden soll, um eine Layer-7-Prüfung für den Netzwerkverkehr durchzuführen.
Sicherheitsprofilgruppen gelten nur für Firewallrichtlinien, wenn Sie eine Firewallrichtlinienregel mit der Aktion
apply_security_profile_grouphinzufügen. Sie können nur Sicherheitsprofilgruppen auf Organisationsebene in hierarchischen Firewallrichtlinienregeln und sowohl Sicherheitsprofilgruppen auf Organisations- als auch auf Projektebene in globalen Netzwerk-Firewallrichtlinienregeln konfigurieren.Die Firewallrichtlinienregel gilt für eingehenden und ausgehenden Traffic des VPC-Netzwerks (Virtual Private Cloud). Der übereinstimmende Traffic wird zusammen mit dem konfigurierten Namen der Sicherheitsprofilgruppe an den Firewall-Endpunkt weitergeleitet. Der Firewall-Endpunkt verwendet die in der Sicherheitsprofilgruppe angegebenen Sicherheitsprofile, um Informationen zur Domain- und Servernamensanzeige (Server Name Indication, SNI) zu prüfen, Pakete auf Bedrohungen zu scannen und konfigurierte Aktionen anzuwenden.
Der Firewall-Endpunkt führt zuerst das Sicherheitsprofil für die URL-Filterung und dann das Sicherheitsprofil für die Bedrohungsvermeidung aus. Wenn der Endpunkt jedoch eine mögliche Bedrohung im HTTP(S)-Nachrichtenkopf erkennt, kann er zuerst den Dienst zur Einbruchserkennung und ‑vermeidung verwenden, um den Traffic nach Bedarf zu bewerten und zu blockieren. Der Traffic, der vom Dienst zur Einbruchserkennung und ‑vermeidung bewertet und nicht blockiert wird, wird dann vom URL-Filterdienst verarbeitet.
Weitere Informationen zum Konfigurieren des URL-Filterdienstes finden Sie unter URL-Filterdienst konfigurieren.
Weitere Informationen zum Konfigurieren der Bedrohungsvermeidung finden Sie unter Dienst zur Einbruchserkennung und ‑vermeidung konfigurieren.
Jeder Sicherheitsprofilgruppe muss eine Projekt-ID zugeordnet sein. Das zugehörige Projekt wird für Kontingente und Zugriffsbeschränkungen für Sicherheitsprofilgruppenressourcen verwendet. Wenn Sie Ihr Dienstkonto mit dem
gcloud auth activate-service-accountBefehl, authentifizieren, können Sie Ihr Dienstkonto der Gruppe der Sicherheitsprofile zuordnen. Weitere Informationen zum Erstellen einer Profilgruppe finden Sie unter Sicherheitsprofilgruppe erstellen.Wenn Sie Sicherheitsprofilgruppen mit Firewallrichtlinien verknüpfen, indem Sie Firewallregeln mit der Aktion
apply_security_profile_groupverwenden, gelten die folgenden Einschränkungen:- Hierarchische Firewallrichtlinien, die auf Organisations- oder Ordnerebene verwaltet werden, können nur auf Sicherheitsprofilgruppen auf Organisationsebene verweisen.
- Globale Netzwerk-Firewallrichtlinien, die auf Projektebene verwaltet werden, können auf Sicherheitsprofilgruppen auf Organisations- und Projektebene aus jedem Projekt verweisen.
Unterschiede zwischen Sicherheitsprofilgruppen auf Organisations- und Projektebene
Die folgenden Punkte fassen die Unterschiede zwischen Sicherheitsprofilgruppen auf Organisations- und Projektebene zusammen :
- Sicherheitsprofilgruppen auf Organisationsebene gelten sowohl für Endpunkte auf Organisations- als auch auf Projektebene.
- Sicherheitsprofilgruppen auf Projektebene gelten für Firewall-Endpunkte auf Projektebene, die sich im selben Projekt wie die Sicherheitsprofilgruppe befinden. Sie können nicht auf Firewall-Endpunkte auf Organisationsebene angewendet werden.
- Sicherheitsprofilgruppen auf Organisationsebene können nur Sicherheitsprofile auf Organisationsebene gruppieren.
- Sicherheitsprofilgruppen auf Projektebene können nur Sicherheitsprofile auf Projektebene gruppieren, die im selben Projekt vorhanden sind.
Identitäts- und Zugriffsverwaltungsrollen
IAM-Rollen (Identity and Access Management) steuern die folgenden Aktionen für Sicherheitsprofilgruppen:
- Sicherheitsprofilgruppe in einer Organisation oder einem Projekt erstellen
- Sicherheitsprofilgruppe in einer Organisation oder einem Projekt ändern oder löschen
- Details zu einer Sicherheitsprofilgruppe in einer Organisation oder einem Projekt ansehen
- Liste der Sicherheitsprofilgruppen in einer Organisation oder einem Projekt aufrufen
- Sicherheitsprofilgruppe in einer Firewallrichtlinienregel verwenden
In der folgenden Tabelle werden die Rollen beschrieben, die für jeden Schritt erforderlich sind.
| Funktion | Erforderliche Rolle |
|---|---|
| Sicherheitsprofilgruppe erstellen | Eine der folgenden Rollen für die Organisation oder das Projekt:
|
| Sicherheitsprofilgruppe ändern | Eine der folgenden Rollen für die Organisation oder das Projekt:
|
| Sicherheitsprofilgruppe löschen |
Rolle „Compute-Netzwerkadministrator“ (roles/compute.networkAdmin) für die Organisation oder das Projekt ([Vorschau](https://cloud.google.com/products#product-launch-stages)), in dem die Sicherheitsprofilgruppe vorhanden ist.
|
| Details zur Sicherheitsprofilgruppe in einer Organisation und einem Projekt ansehen |
Eine der folgenden Rollen für die Organisation oder das Projekt:
|
| Alle Sicherheitsprofilgruppen in einer Organisation und einem Projekt ansehen |
Eine der folgenden Rollen für die Organisation oder das Projekt:
|
| Sicherheitsprofilgruppe in einer Firewallrichtlinienregel verwenden |
Eine der folgenden Rollen für die Organisation oder das Projekt:
|
Nächste Schritte
- URL-Filterdienst konfigurieren
- Dienst zur Einbruchserkennung und ‑vermeidung konfigurieren
- Sicherheitsprofilgruppen erstellen und verwalten