安全性設定檔群組總覽

安全性設定檔群組是安全性設定檔的容器。防火牆政策規則會參照安全性設定檔群組,在您的網路上啟用第 7 層檢查,例如 URL 篩選服務入侵偵測與防範服務

本文詳細介紹安全性設定檔群組及其功能。

規格

  • 安全性設定檔群組是一種資源,您可以在機構層級或專案層級設定。

    • 機構層級安全性設定檔群組:使用這些群組,將機構層級安全性設定檔歸類到機構內。

    • 專案層級安全設定檔群組 (搶先版):使用這些群組,在專案中將專案層級安全設定檔分組。

  • 在安全性設定檔群組中,您可以依任意順序新增 安全性設定檔 (類型為 url-filteringthreat-prevention)。

安全性設定檔群組只能包含每種類型的一個安全性設定檔。如要新增兩個設定檔,必須是不同類型。舉例來說,如果您新增 url-filtering 類型的安全性設定檔,可以新增 threat-prevention 類型的第二個設定檔,除了篩選流量外,還能掃描流量。

  • 每個安全性設定檔群組都有專屬網址,包含下列元素:

    • 機構 ID專案 ID (預覽版):機構或專案的 ID。
    • 位置:安全性設定檔群組的範圍。位置一律設為「global」。
    • 名稱:安全性設定檔群組名稱,格式如下:
      • 長度介於 1 至 63 個字元的字串
      • 只能包含英數字元或連字號 (-)
      • 開頭不得為數字

    如要為安全性設定檔群組建構專屬網址 ID,請使用下列格式:

    • 如果是機構層級的安全性設定檔群組:
    organizations/ORGANIZATION_ID/locations/global/securityProfileGroups/SECURITY_PROFILE_GROUP_NAME

    舉例來說,機構 2345678432 中的安全性設定檔群組 example-security-profile-group 具有下列專屬 ID:

    organizations/2345678432/locations/global/securityProfileGroups/example-security-profile-group

    projects/PROJECT_ID/locations/global/securityProfileGroups/SECURITY_PROFILE_GROUP_NAME

    舉例來說,專案 my-project-123 中的安全性設定檔群組 example-security-profile-group 具有下列專屬 ID:

    projects/my-project-123/locations/global/securityProfileGroups/example-security-profile-group

  • 如要對網路流量執行第 7 層檢查,防火牆政策規則必須包含防火牆端點使用的安全性設定檔群組名稱。

  • 只有在新增動作為 apply_security_profile_group 的防火牆政策規則時,安全性設定檔群組才會套用至防火牆政策。您只能在階層式防火牆政策規則中設定機構層級安全設定檔群組,並在全域網路防火牆政策規則中設定機構和專案層級安全設定檔群組。

  • 防火牆政策規則適用於虛擬私有雲 (VPC) 網路的連入和連出流量。系統會將相符的流量連同設定的安全性設定檔群組名稱,重新導向至防火牆端點。防火牆端點會使用安全性設定檔群組中指定的安全性設定檔,檢查網域和伺服器名稱指標 (SNI) 資訊、掃描封包中的威脅,並套用已設定的動作。

    防火牆端點會先執行網址篩選安全性設定檔, 然後執行威脅防護安全性設定檔。不過,如果端點在 HTTP(S) 訊息標頭中偵測到可能的威脅,可以先使用入侵偵測與防範服務評估並封鎖流量 (如有需要)。入侵偵測與防範服務評估且未封鎖的流量,接著會由網址篩選服務處理。

    如要進一步瞭解如何設定網址篩選服務,請參閱「設定網址篩選服務」。

    如要進一步瞭解如何設定威脅防護功能,請參閱「設定入侵偵測和防護服務」。

  • 每個安全性設定檔群組都必須有相關聯的專案 ID。相關聯的專案會用於安全性設定檔群組資源的配額和存取限制。如果您使用 gcloud auth activate-service-account 指令驗證服務帳戶,可以將服務帳戶與安全性設定檔群組建立關聯。如要進一步瞭解如何建立設定檔群組,請參閱「建立安全性設定檔群組」。

  • 使用 apply_security_profile_group 動作的防火牆規則將安全性設定檔群組與防火牆政策建立關聯時,適用下列限制:

    • 階層式防火牆政策:在機構或資料夾層級管理,只能參照機構層級的安全設定檔群組。
    • 全域網路防火牆政策:在專案層級管理,可參照任何專案的機構層級安全設定檔群組和專案層級安全設定檔群組。

機構層級與專案層級安全性設定檔群組的差異

以下幾點將概略說明機構層級和專案層級安全性設定檔群組的差異:

  • 機構層級安全設定檔群組適用於機構層級和專案層級端點。
  • 專案層級安全設定檔群組適用於與安全設定檔群組位於同一專案的專案層級防火牆端點。無法套用至機構層級的防火牆端點。
  • 機構層級的安全性設定檔群組只能將機構層級的安全性設定檔分組。
  • 專案層級安全設定檔群組只能將同一專案中的專案層級安全設定檔分組。

身分與存取權管理角色

Identity and Access Management (IAM) 角色會控管下列安全性設定檔群組動作:

  • 在機構或專案中建立安全性設定檔群組
  • 修改或刪除機構或專案中的安全性設定檔群組
  • 查看機構或專案中安全性設定檔群組的詳細資料
  • 查看機構或專案中的安全性設定檔群組清單
  • 在防火牆政策規則中使用安全性設定檔群組

下表說明每個步驟所需的角色。

能力 必要角色
建立安全性設定檔群組 機構或專案的下列任一角色:
  • 安全性設定檔管理員 (roles/networksecurity.securityProfileAdmin):機構層級安全性設定檔群組的機構層級管理員,以及專案層級安全性設定檔群組的專案 ([預覽版](https://cloud.google.com/products#product-launch-stages)) 或機構層級管理員
  • Compute 網路管理員 (roles/compute.networkAdmin)
修改安全性設定檔群組 機構或專案的下列任一角色:
  • 安全性設定檔管理員 (roles/networksecurity.securityProfileAdmin):機構層級安全性設定檔群組的機構層級管理員,以及專案層級安全性設定檔群組的專案 ([預覽版](https://cloud.google.com/products#product-launch-stages)) 或機構層級管理員
  • Compute 網路管理員 (roles/compute.networkAdmin)
刪除安全性設定檔群組 機構或專案的「Compute Network Admin」(roles/compute.networkAdmin) 角色 (預先發布版)。安全設定檔群組所在的機構或專案。
查看機構和專案中安全性設定檔群組的詳細資料 機構或專案的下列任一角色:
查看機構和專案中的所有安全性設定檔群組 機構或專案的下列任一角色:
在防火牆政策規則中使用安全性設定檔群組 機構或專案的下列任一角色:
  • 安全性設定檔管理員 (roles/networksecurity.securityProfileAdmin):機構層級安全性設定檔群組的機構層級管理員,以及專案層級安全性設定檔群組的專案 ([預覽版](https://cloud.google.com/products#product-launch-stages)) 或機構層級管理員
  • Compute 網路管理員 (roles/compute.networkAdmin)
  • Compute 網路使用者 (roles/compute.networkUser)

後續步驟