Eine Sicherheitsprofilgruppe ist ein Container für Sicherheitsprofile. Eine Firewallrichtlinienregel verweist auf eine Sicherheitsprofilgruppe, um die Layer-7-Prüfung wie den URL-Filterdienst und den Einbruchserkennungs- und ‑präventionsdienst in Ihrem Netzwerk zu aktivieren.
Dieses Dokument bietet eine detaillierte Übersicht über Sicherheitsprofilgruppen und deren Funktionen.
Spezifikationen
Eine Sicherheitsprofilgruppe ist eine Ressource, die Sie auf Organisations- oder Projektebene konfigurieren können.
Sicherheitsprofilgruppen auf Organisationsebene: Mit diesen Gruppen können Sie Sicherheitsprofile auf Organisationsebene in Ihrer gesamten Organisation gruppieren.
Sicherheitsprofilgruppen auf Projektebene (Vorschau): Mit diesen Gruppen können Sie Sicherheitsprofile auf Projektebene in Ihrem Projekt gruppieren.
Einer Sicherheitsprofilgruppe können Sie Sicherheitsprofile vom Typ
url-filteringoderthreat-preventionin beliebiger Reihenfolge hinzufügen.
Eine Sicherheitsprofilgruppe kann nur ein Sicherheitsprofil jedes Typs enthalten. Wenn Sie zwei Profile hinzufügen möchten, müssen sie unterschiedliche Typen haben. Wenn Sie beispielsweise ein Sicherheitsprofil vom Typ url-filtering hinzufügen, können Sie ein zweites Profil vom Typ threat-prevention hinzufügen, um den Traffic zusätzlich zum Filtern zu scannen.
Jede Sicherheitsprofilgruppe wird eindeutig durch eine URL mit den folgenden Elementen identifiziert:
- Organisations-ID oder Projekt-ID (Vorschau): ID der Organisation oder des Projekts.
- Standort: Geltungsbereich der Sicherheitsprofilgruppe. Der Standort ist immer auf
globalfestgelegt. - Name: Name der Sicherheitsprofilgruppe im folgenden Format:
- Ein String mit 1 bis 63 Zeichen
- Enthält nur alphanumerische Zeichen oder Bindestriche (-)
- Darf nicht mit einer Ziffer beginnen
Verwenden Sie das folgende Format, um eine eindeutige URL-ID für eine Sicherheitsprofilgruppe zu erstellen:
- Für eine Sicherheitsprofilgruppe auf Organisationsebene:
organizations/ORGANIZATION_ID/locations/global/securityProfileGroups/SECURITY_PROFILE_GROUP_NAMEEine Sicherheitsprofilgruppe
example-security-profile-groupin der Organisation2345678432hat beispielsweise die folgende eindeutige Kennung:organizations/2345678432/locations/global/securityProfileGroups/example-security-profile-group- Für eine Sicherheitsprofilgruppe auf Projektebene (Vorschau):
projects/PROJECT_ID/locations/global/securityProfileGroups/SECURITY_PROFILE_GROUP_NAMEEine Sicherheitsprofilgruppe
example-security-profile-groupim Projektmy-project-123hat beispielsweise die folgende eindeutige Kennung:projects/my-project-123/locations/global/securityProfileGroups/example-security-profile-groupEine Firewallrichtlinienrichtlinie muss den Namen der Sicherheitsgruppe enthalten, die vom Firewall-Endpunkt verwendet werden soll, um eine Layer-7-Prüfung für den Netzwerk-Traffic durchzuführen.
Sicherheitsprofilgruppen gelten nur für Firewallrichtlinien, wenn Sie eine Firewallrichtlinienregel mit der Aktion
apply_security_profile_grouphinzufügen. Sie können nur Sicherheitsprofilgruppen auf Organisationsebene in hierarchischen Firewallrichtlinienregeln und sowohl Sicherheitsgruppen auf Organisations- als auch auf Projektebene in globalen Netzwerk-Firewallrichtlinienregeln konfigurieren.Die Firewallrichtlinienregel gilt für eingehenden und ausgehenden Traffic des VPC-Netzwerks (Virtual Private Cloud). Der übereinstimmende Traffic wird zusammen mit dem konfigurierten Namen der Sicherheitsprofilgruppe an den Firewall-Endpunkt weitergeleitet. Der Firewall-Endpunkt verwendet die in der Sicherheitsprofilgruppe angegebenen Sicherheitsprofile, um Informationen zu Domain und Server Name Indication (SNI) zu prüfen, Pakete auf Bedrohungen zu scannen und konfigurierte Aktionen anzuwenden.
Der Firewall-Endpunkt führt zuerst das Sicherheitsprofil für die URL-Filterung und dann das Sicherheitsprofil für die Bedrohungsvermeidung aus. Wenn der Endpunkt jedoch eine mögliche Bedrohung im HTTP(S)-Nachrichtenheader erkennt, kann er zuerst den Dienst zur Einbruchserkennung und ‑vermeidung verwenden, um den Traffic nach Bedarf zu bewerten und zu blockieren. Der Traffic, der vom Dienst zur Einbruchserkennung und -vermeidung ausgewertet und nicht blockiert wird, wird dann vom URL-Filterdienst verarbeitet.
Weitere Informationen zum Konfigurieren des URL-Filterdienstes finden Sie unter URL-Filterdienst konfigurieren.
Weitere Informationen zum Konfigurieren der Bedrohungsvermeidung finden Sie unter Dienst zur Einbruchserkennung und ‑prävention konfigurieren.
Jeder Sicherheitsprofilgruppe muss eine Projekt-ID zugeordnet sein. Das zugehörige Projekt wird für Kontingente und Zugriffsbeschränkungen für Sicherheitsprofilgruppenressourcen verwendet. Wenn Sie Ihr Dienstkonto mit dem Befehl
gcloud auth activate-service-accountauthentifizieren, können Sie Ihr Dienstkonto der Gruppe der Sicherheitsprofile zuordnen. Weitere Informationen zum Erstellen einer Profilgruppe finden Sie unter Sicherheitsprofilgruppe erstellen.Wenn Sie Sicherheitsprofilgruppen mit Firewallrichtlinien verknüpfen, indem Sie Firewallregeln mit der Aktion
apply_security_profile_groupverwenden, gelten die folgenden Einschränkungen:- Hierarchische Firewallrichtlinien: Diese werden auf Organisations- oder Ordnerebene verwaltet und können nur auf Sicherheitsprofilgruppen auf Organisationsebene verweisen.
- Globale Netzwerk-Firewallrichtlinien: Sie werden auf Projektebene verwaltet und können auf Sicherheitsprofilgruppen auf Organisationsebene und auf Projektebene aus einem beliebigen Projekt verweisen.
Unterschiede zwischen Sicherheitsprofilgruppen auf Organisations- und Projektebene
Die folgenden Punkte fassen die Unterschiede zwischen Sicherheitsprofilgruppen auf Organisations- und Projektebene zusammen :
- Sicherheitsprofilgruppen auf Organisationsebene gelten sowohl für Endpunkte auf Organisations- als auch auf Projektebene.
- Sicherheitsprofilgruppen auf Projektebene gelten für Firewall-Endpunkte auf Projektebene, die sich im selben Projekt wie die Sicherheitsprofilgruppe befinden. Sie können nicht auf Firewallendpunkte auf Organisationsebene angewendet werden.
- In einer Sicherheitsprofilgruppe auf Organisationsebene können nur Sicherheitsprofile auf Organisationsebene gruppiert werden.
- In einer Sicherheitsprofilgruppe auf Projektebene können nur Sicherheitsprofile auf Projektebene gruppiert werden, die im selben Projekt vorhanden sind.
Identitäts- und Zugriffsverwaltungsrollen
IAM-Rollen (Identity and Access Management) steuern die folgenden Aktionen für Sicherheitsprofilgruppen:
- Sicherheitsprofilgruppe in einer Organisation oder einem Projekt erstellen
- Sicherheitsprofilgruppe in einer Organisation oder einem Projekt ändern oder löschen
- Details einer Sicherheitsprofilgruppe in einer Organisation oder einem Projekt ansehen
- Liste der Sicherheitsprofilgruppen in einer Organisation oder einem Projekt aufrufen
- Sicherheitsprofilgruppe in einer Firewallrichtlinienregel verwenden
In der folgenden Tabelle werden die Rollen beschrieben, die für jeden Schritt erforderlich sind.
| Funktion | Erforderliche Rolle |
|---|---|
| Sicherheitsprofilgruppe erstellen | Eine der folgenden Rollen für die Organisation oder das Projekt:
|
| Sicherheitsprofilgruppe ändern | Eine der folgenden Rollen für die Organisation oder das Projekt:
|
| Sicherheitsprofilgruppe löschen |
Rolle Compute Network Admin (roles/compute.networkAdmin) für die Organisation oder das Projekt (Vorschau), in dem die Sicherheitsprofilgruppe vorhanden ist.
|
| Details zur Sicherheitsprofilgruppe in einer Organisation und einem Projekt ansehen |
Eine der folgenden Rollen für die Organisation oder das Projekt:
|
| Alle Sicherheitsprofilgruppen in einer Organisation und einem Projekt ansehen |
Eine der folgenden Rollen für die Organisation oder das Projekt:
|
| Sicherheitsprofilgruppe in einer Firewallrichtlinienregel verwenden |
Eine der folgenden Rollen für die Organisation oder das Projekt:
|
Nächste Schritte
- URL-Filterdienst konfigurieren
- Dienst zur Einbruchserkennung und -vermeidung konfigurieren
- Sicherheitsprofilgruppen erstellen