安全配置文件组是安全配置文件的容器。防火墙 政策规则引用安全配置文件组,以在网络上启用第 7 层检查, 例如 网址过滤服务 以及 入侵检测与防御服务, 在您的网络上。
本文档详细介绍了安全配置文件组及其功能。
规格
安全配置文件组是一种资源,您可以在组织级或项目级配置该资源。
组织级安全配置文件组:使用这些组对组织中的组织级安全配置文件进行分组。
项目级安全配置文件组(预览版):使用这些组对项目中的项目级安全配置文件进行分组。
在安全配置文件组中,您可以按任意顺序添加类型为
url-filtering或threat-prevention的 安全配置文件。
安全配置文件组只能包含每种类型的一个安全配置文件。如果您想添加两个配置文件,则这两个配置文件必须属于不同的类型。例如,如果您添加了类型为
url-filtering 的安全配置文件,则可以添加第二个类型为 threat-prevention 的配置文件,以便在过滤流量的同时扫描流量。
每个安全配置文件组都由包含以下元素的网址唯一标识:
- 组织 ID 或 项目 ID (预览版):组织或项目的 ID。
- 位置 :安全配置文件组的范围。位置始终设置为
global。 - 名称:安全配置文件组名称,格式如下:
- 长度为 1-63 个字符的字符串
- 仅包含字母数字字符或连字符 (-)
- 不能以数字开头
如需为安全配置文件组构建唯一的网址标识符,请使用以下 格式:
- 对于组织级安全配置文件组:
organizations/ORGANIZATION_ID/locations/global/securityProfileGroups/SECURITY_PROFILE_GROUP_NAME例如,组织
2345678432中的安全配置文件组example-security-profile-group具有以下唯一标识符:organizations/2345678432/locations/global/securityProfileGroups/example-security-profile-group- 对于项目级安全配置文件组(预览版):
projects/PROJECT_ID/locations/global/securityProfileGroups/SECURITY_PROFILE_GROUP_NAME例如,项目
my-project-123中的安全配置文件组example-security-profile-group具有以下唯一标识符:projects/my-project-123/locations/global/securityProfileGroups/example-security-profile-group如需对网络流量执行第 7 层检查,防火墙政策规则必须包含防火墙端点要使用的安全配置文件组的名称。
安全配置文件组仅在您添加具有
apply_security_profile_group操作的防火墙政策规则时应用于防火墙政策。您只能在 分层防火墙政策规则中配置组织级安全配置文件组,并且可以在全球网络防火墙政策规则中配置组织级和项目级安全配置文件组。防火墙政策规则应用于 Virtual Private Cloud (VPC) 网络的传入和传出流量。匹配的流量以及配置的安全配置文件组名称会重定向到防火墙端点。 防火墙端点使用安全配置文件组中指定的安全配置文件来检查网域和服务器名称指示 (SNI) 信息、扫描数据包中的威胁并应用配置的操作。
防火墙端点会先执行网址过滤安全配置文件,然后再运行威胁防护安全配置文件。但是,如果端点在 HTTP(S) 消息标头中检测到可能的威胁,则可以先使用入侵检测与防御服务来评估和阻止流量(如果需要)。然后,网址过滤服务会处理由入侵检测与防御服务评估且未被阻止的流量。
如需详细了解如何配置网址过滤服务,请参阅 配置网址过滤服务。
如需详细了解如何配置威胁防护,请参阅 配置入侵检测与防御服务。
每个安全配置文件组都必须具有关联的项目 ID。关联项目用于安全配置文件组资源的配额和访问权限限制。如果您使用
gcloud auth activate-service-account命令, 对您的服务帐号进行身份验证, 则可以将您的服务帐号与安全配置文件组相关联。如需详细了解如何创建配置文件组, 请参阅创建安全配置文件组。当您使用具有
apply_security_profile_group操作的防火墙规则将安全配置文件组与防火墙政策相关联时,适用以下限制:- 分层防火墙政策:在组织级或 文件夹级进行管理,只能引用组织级安全配置文件 组。
- 全球网络防火墙政策:在项目级进行管理,可以 引用任何项目的组织级安全配置文件组和项目级 安全配置文件组。
组织级安全配置文件组与项目级安全配置文件组之间的区别
以下几点总结了组织级安全配置文件组与项目级安全配置文件组之间的区别:
- 组织级安全配置文件组适用于组织级和项目级端点。
- 项目级安全配置文件组适用于与安全配置文件组位于同一项目中的项目级防火墙端点。它们不能应用于组织级防火墙端点。
- 组织级安全配置文件组只能对组织级安全配置文件进行分组。
- 项目级安全配置文件组只能对同一项目中存在的项目级安全配置文件进行分组。
Identity and Access Management 角色
Identity and Access Management (IAM) 角色控制以下安全配置文件组操作:
- 在组织或项目中创建安全配置文件组
- 在组织或项目中修改或删除安全配置文件组
- 查看组织或项目中安全配置文件组的详细信息
- 查看组织或项目中的安全配置文件组列表
- 使用防火墙政策规则中的安全配置文件组
下表介绍了每个步骤所需的角色。
| 特性 | 必要角色 |
|---|---|
| 创建安全配置文件组 | 组织的以下角色之一:
|
| 修改安全配置文件组 | 组织的以下角色之一:
|
| 删除安全配置文件组 |
对安全配置文件组所在的组织或项目([预览版](https://cloud.google.com/products#product-launch-stages))具有 Compute Network Admin (roles/compute.networkAdmin) 角色。
|
| 查看组织和项目中安全配置文件组的详细信息 |
组织的以下角色之一:
|
| 查看组织和项目中的所有安全配置文件组 |
组织的以下角色之一:
|
| 使用防火墙政策规则中的安全配置文件组 |
组织的以下角色之一:
|