安全配置文件组概览

安全配置文件组是安全配置文件的容器。防火墙政策规则引用安全配置文件组,以在网络上启用第 7 层检查,例如 网址 过滤服务入侵检测与防御服务

本文档详细介绍了安全配置文件组及其功能。

规格

  • 安全配置文件组是一种资源,您可以在组织级或项目级配置该资源。

    • 组织级安全配置文件组:使用这些组可对组织中的组织级安全配置文件进行分组。

    • 项目级安全配置文件组(预览版:使用这些组可在项目中对项目级安全配置文件进行分组。

  • 在安全配置文件组中,您可以按任意顺序添加类型为 url-filteringthreat-prevention安全配置文件

一个安全配置文件组只能包含一个每种类型的安全配置文件。如果您想添加两个个人资料,它们必须属于不同的类型。例如,如果您添加了 url-filtering 类型的安全配置文件,则可以添加第二个 threat-prevention 类型的配置文件,以便在过滤流量的同时扫描流量。

  • 每个安全配置文件组都由包含以下元素的网址唯一标识:

    • 组织 ID项目 ID预览版):组织或项目的 ID。
    • 位置:安全配置文件组的范围。位置始终设置为 global
    • 名称:安全配置文件组名称,格式如下:
      • 长度为 1-63 个字符的字符串
      • 仅包含字母数字字符或连字符 (-)
      • 不能以数字开头

    如需为安全配置文件组构建唯一的网址标识符,请使用以下格式:

    • 对于组织级安全配置文件组:
    organizations/ORGANIZATION_ID/locations/global/securityProfileGroups/SECURITY_PROFILE_GROUP_NAME

    例如,组织 2345678432 中的安全配置文件组 example-security-profile-group 具有以下唯一标识符:

    organizations/2345678432/locations/global/securityProfileGroups/example-security-profile-group
    • 对于项目级安全配置文件组(预览版):
    projects/PROJECT_ID/locations/global/securityProfileGroups/SECURITY_PROFILE_GROUP_NAME

    例如,项目 my-project-123 中的安全配置文件组 example-security-profile-group 具有以下唯一标识符:

    projects/my-project-123/locations/global/securityProfileGroups/example-security-profile-group

  • 如需对网络流量执行第 7 层检查,防火墙政策规则必须包含防火墙端点要使用的安全配置文件组的名称。

  • 安全配置文件组仅在您添加具有 apply_security_profile_group 操作的防火墙政策规则时应用于防火墙政策。您只能在分层防火墙政策规则中配置组织级安全配置文件组,而在全球网络防火墙政策规则中可以配置组织级和项目级安全配置文件组。

  • 防火墙政策规则应用于 Virtual Private Cloud (VPC) 网络的传入和传出流量。匹配的流量以及配置的安全配置文件组名称会重定向到防火墙端点。防火墙端点使用安全配置文件组中指定的安全配置文件来检查域名和服务器名称指示 (SNI) 信息、扫描数据包中的威胁,并应用配置的操作。

    防火墙端点先执行网址过滤安全配置文件,然后再运行威胁防护安全配置文件。不过,如果端点在 HTTP(S) 消息标头中检测到可能的威胁,它可以先使用入侵检测与防御服务来评估和阻止流量(如果需要)。入侵检测与防御服务评估且未阻止的流量随后会由网址过滤服务处理。

    如需详细了解如何配置网址过滤服务,请参阅配置网址过滤服务

    如需详细了解如何配置威胁防护,请参阅配置入侵检测和防御服务

  • 每个安全配置文件组都必须具有关联的项目 ID。关联项目用于安全配置文件组资源的配额和访问权限限制。如果您使用 gcloud auth activate-service-account 命令对您的服务账号进行身份验证,则可以将您的服务账号与安全配置文件组相关联。如需详细了解如何创建配置文件组,请参阅创建安全配置文件组

  • 当您使用具有 apply_security_profile_group 操作的防火墙规则将安全配置文件组与防火墙政策相关联时,需要遵守以下限制:

    • 分层防火墙政策:在组织或文件夹级进行管理,只能引用组织级安全配置文件组。
    • 全球网络防火墙政策:在项目级层进行管理,可以引用任何项目的组织级安全配置文件组和项目级安全配置文件组。

组织级安全配置文件组与项目级安全配置文件组之间的区别

以下几点总结了组织级安全配置文件组与项目级安全配置文件组之间的区别:

  • 组织级安全配置文件组适用于组织级和项目级端点。
  • 项目级安全配置文件组适用于与安全配置文件组位于同一项目中的项目级防火墙端点。它们不能应用于组织级防火墙端点。
  • 组织级安全配置文件组只能对组织级安全配置文件进行分组。
  • 项目级安全配置文件组只能将同一项目中存在的项目级安全配置文件分组。

Identity and Access Management 角色

Identity and Access Management (IAM) 角色控制以下安全配置文件组操作:

  • 在组织或项目中创建安全配置文件组
  • 修改或删除组织或项目中的安全配置文件组
  • 查看组织或项目中的安全配置文件组的详细信息
  • 查看组织或项目中的安全配置文件组列表
  • 使用防火墙政策规则中的安全配置文件组

下表介绍了每个步骤所需的角色。

特性 必要角色
创建安全配置文件组 组织或项目的以下角色之一:
修改安全配置文件组 组织或项目的以下角色之一:
删除安全配置文件组 组织或项目([预览版](https://cloud.google.com/products#product-launch-stages))的 Compute Network Admin (roles/compute.networkAdmin) 角色,安全配置文件组位于该组织或项目中。
查看组织和项目中的安全配置文件组的详细信息 组织或项目的以下角色之一:
查看组织和项目中的所有安全配置文件组 组织或项目的以下角色之一:
在防火墙政策规则中使用安全配置文件组 组织或项目的以下角色之一:

后续步骤