Eine Sicherheitsprofilgruppe ist ein Container für Sicherheitsprofile. Eine Firewall richtlinienregel verweist auf eine Sicherheitsprofilgruppe, um die Layer-7-Prüfung zu aktivieren, wie den URL-Filterdienst und den Dienst zur Einbruchserkennung und ‑vermeidung, in Ihrem Netzwerk.
Dieses Dokument bietet eine detaillierte Übersicht über Sicherheitsprofilgruppen und deren Funktionen.
Spezifikationen
Eine Sicherheitsprofilgruppe ist eine Ressource, die Sie auf Organisations- oder Projektebene konfigurieren können.
Sicherheitsprofilgruppe auf Organisationsebene: Verwenden Sie diese Option, um Sicherheitsprofile auf Organisationsebene in Ihrer Organisation zu gruppieren.
Sicherheitsprofilgruppe auf Projektebene:Verwenden Sie diese Option, um Sicherheitsprofile auf Projektebene in Ihrem Projekt zu gruppieren.
Der Name einer Sicherheitsprofilgruppe wird im folgenden URL-ID-Format konfiguriert:
Organisationsebene:
organizations/ORGANIZATION_ID/locations/global/securityProfileGroups/NAMEAuf Projektebene:
projects/PROJECT_ID/locations/global/securityProfileGroups/NAME
Der
NAMEder Sicherheitsprofilgruppe muss die folgenden Anforderungen erfüllen:- Eine Stringlänge von 1 bis 63 Zeichen
- Enthält nur kleingeschriebene alphanumerische Zeichen oder Bindestriche (-)
- Beginnt mit einem Buchstaben
Beispiele:
Sicherheitsprofilgruppe auf Organisationsebene:
organizations/2345678432/locations/global/securityProfileGroups/example-security-profile-groupSicherheitsprofilgruppe auf Projektebene:
projects/my-project-123/locations/global/securityProfileGroups/example-security-profile-group
Wenn Sie die eindeutige URL-ID für den Namen der Sicherheitsprofilgruppe verwenden, enthält die URL die Organisation oder das Projekt und den Standort. Wenn Sie nur den Namen angeben, müssen Sie die Organisations-ID oder die Projekt-ID und den Standort separat angeben, wenn Sie
gcloud-Befehle verwenden.In einer Sicherheitsprofilgruppe können Sie Sicherheitsprofile der Typen
url-filteringoderthreat-preventionin beliebiger Reihenfolge hinzufügen.
Eine Sicherheitsprofilgruppe kann nur ein Sicherheitsprofil jedes Typs enthalten.
Wenn Sie beispielsweise ein Sicherheitsprofil vom Typ url-filtering hinzufügen, können Sie ein zweites Profil vom Typ threat-prevention hinzufügen, um den Traffic zusätzlich zu filtern.
Eine Firewallrichtlinienregel muss den Namen der Sicherheitsgruppe enthalten, die vom Firewall-Endpunkt verwendet werden soll, um eine Layer-7-Prüfung für den Netzwerkverkehr durchzuführen.
Sicherheitsprofilgruppen gelten nur für Firewallrichtlinien, wenn Sie eine Firewallrichtlinienregel mit der Aktion
apply_security_profile_grouphinzufügen. Sie können nur Sicherheitsprofilgruppen auf Organisationsebene in hierarchischen Firewallrichtlinienregeln, und sowohl Sicherheitsprofilgruppen auf Organisations- als auch auf Projektebene in globalen Netzwerk-Firewallrichtlinienregelnkonfigurieren.Die Firewallrichtlinienregel gilt für eingehenden und ausgehenden Traffic des VPC-Netzwerks (Virtual Private Cloud). Der übereinstimmende Traffic wird zusammen mit dem konfigurierten Namen der Sicherheitsprofilgruppe an den Firewall-Endpunkt weitergeleitet. Der Firewall-Endpunkt verwendet die in der Sicherheitsprofilgruppe angegebenen Sicherheitsprofile, um Informationen zur Domain- und Servernamensanzeige (Server Name Indication, SNI) zu prüfen, Pakete auf Bedrohungen zu scannen und konfigurierte Aktionen anzuwenden.
Der Firewall-Endpunkt führt zuerst das Sicherheitsprofil für die URL-Filterung und dann das Sicherheitsprofil für die Bedrohungsvermeidung aus. Wenn der Endpunkt jedoch eine mögliche Bedrohung im HTTP(S)-Nachrichtenkopf erkennt, kann er zuerst den Dienst zur Einbruchserkennung und ‑vermeidung verwenden, um den Traffic nach Bedarf zu bewerten und zu blockieren. Der Traffic, der vom Dienst zur Einbruchserkennung und ‑vermeidung bewertet und nicht blockiert wird, wird dann vom URL-Filterdienst verarbeitet.
Weitere Informationen zum Konfigurieren des URL-Filterdienstes finden Sie unter URL-Filterdienst konfigurieren.
Weitere Informationen zum Konfigurieren der Bedrohungsvermeidung finden Sie unter Dienst zur Einbruchserkennung und ‑vermeidung konfigurieren.
Jeder Sicherheitsprofilgruppe muss eine Projekt-ID zugeordnet sein. Das zugehörige Projekt wird für Kontingente und Zugriffsbeschränkungen für Sicherheitsprofilgruppenressourcen verwendet. Wenn Sie Ihr Dienstkonto mit dem
gcloud auth activate-service-accountBefehl, authentifizieren, können Sie Ihr Dienstkonto der Gruppe der Sicherheitsprofile zuordnen. Weitere Informationen zum Erstellen einer Profilgruppe finden Sie unter Sicherheitsprofilgruppe erstellen.Wenn Sie Sicherheitsprofilgruppen mit Firewallrichtlinien verknüpfen, indem Sie Firewallregeln mit der Aktion
apply_security_profile_groupverwenden, gelten die folgenden Einschränkungen:- Hierarchische Firewallrichtlinien: Diese werden auf Organisations- oder Ordnerebene verwaltet und können nur auf Sicherheitsprofilgruppen auf Organisationsebene verweisen.
- Globale Netzwerk-Firewallrichtlinien: Diese werden auf Projektebene verwaltet und können auf Sicherheitsprofilgruppen auf Organisations- und Projektebene aus jedem Projekt verweisen.
Unterschiede zwischen Sicherheitsprofilgruppen auf Organisations- und Projektebene
Die folgenden Punkte fassen die Unterschiede zwischen Sicherheitsprofilgruppen auf Organisations- und Projektebene zusammen :
- Sicherheitsprofilgruppen auf Organisationsebene gelten sowohl für Endpunkte auf Organisations- als auch auf Projektebene.
- Sicherheitsprofilgruppen auf Projektebene gelten für Firewall-Endpunkte auf Projektebene, die sich im selben Projekt wie die Sicherheitsprofilgruppe befinden. Sie können nicht auf Firewall-Endpunkte auf Organisationsebene angewendet werden.
- Sicherheitsprofilgruppen auf Organisationsebene können nur Sicherheitsprofile auf Organisationsebene gruppieren.
- Sicherheitsprofilgruppen auf Projektebene können nur Sicherheitsprofile auf Projektebene gruppieren, die im selben Projekt vorhanden sind.
Identitäts- und Zugriffsverwaltungsrollen
IAM-Rollen (Identity and Access Management) steuern die folgenden Aktionen für Sicherheitsprofilgruppen:
- Sicherheitsprofilgruppe in einer Organisation oder einem Projekt erstellen
- Sicherheitsprofilgruppe in einer Organisation oder einem Projekt ändern oder löschen
- Details einer Sicherheitsprofilgruppe in einer Organisation oder einem Projekt ansehen
- Liste der Sicherheitsprofilgruppen in einer Organisation oder einem Projekt ansehen
- Sicherheitsprofilgruppe in einer Firewallrichtlinienregel verwenden
In der folgenden Tabelle werden die Rollen beschrieben, die für jeden Schritt erforderlich sind.
| Funktion | Erforderliche Rolle |
|---|---|
| Sicherheitsprofilgruppe erstellen | Eine der folgenden Rollen:
|
| Sicherheitsprofilgruppe ändern | Eine der folgenden Rollen:
|
| Sicherheitsprofilgruppe löschen | Eine der folgenden Rollen:
|
| Details zur Sicherheitsprofilgruppe in einer Organisation und einem Projekt ansehen | Eine der folgenden Rollen:
|
| Alle Sicherheitsprofilgruppen in einer Organisation und einem Projekt ansehen | Eine der folgenden Rollen:
|
| Sicherheitsprofilgruppe in einer Firewallrichtlinienregel verwenden | Eine der folgenden Rollen:
|
Nächste Schritte
- URL-Filterdienst konfigurieren
- Dienst zur Einbruchserkennung und ‑vermeidung konfigurieren
- Sicherheitsprofilgruppen erstellen