סקירה כללית על קבוצות של פרופילי אבטחה

קבוצת פרופילי אבטחה היא מאגר לפרופילי אבטחה. כלל במדיניות חומת האש מפנה לקבוצת פרופילי אבטחה כדי להפעיל בדיקה בשכבה 7, כמו שירות סינון כתובות URL ושירות לגילוי ולמניעה של חדירות ברשת.

במסמך הזה מפורטת סקירה כללית על קבוצות של פרופילי אבטחה ועל היכולות שלהן.

מפרטים

  • קבוצת פרופילים של אבטחה היא משאב שאפשר להגדיר ברמת הארגון או ברמת הפרויקט.

    • קבוצת פרופילים של אבטחה ברמת הארגון: משתמשים בה כדי לקבץ פרופילים של אבטחה ברמת הארגון בכל הארגון.

    • קבוצת פרופילים של אבטחה ברמת הפרויקט: משמשת לקיבוץ פרופילים של אבטחה ברמת הפרויקט בתוך הפרויקט.

  • השם של קבוצת פרופילים לאבטחה מוגדר בפורמט הבא של מזהה כתובת URL:

    • ברמת הארגון:

      organizations/ORGANIZATION_ID/locations/global/securityProfileGroups/NAME
      
    • ברמת הפרויקט:

      projects/PROJECT_ID/locations/global/securityProfileGroups/NAME
      

    הNAME של קבוצת פרופילי האבטחה צריך לעמוד בדרישות הבאות:

    • מחרוזת באורך של 1 עד 63 תווים
    • השם יכול להכיל רק תווים אלפאנומריים באותיות קטנות או מקפים (-).
    • מתחיל באות

    דוגמאות:

    • קבוצת פרופילים של אבטחה ברמת הארגון:

      organizations/2345678432/locations/global/securityProfileGroups/example-security-profile-group
      
    • קבוצת פרופילים של אבטחה ברמת הפרויקט:

      projects/my-project-123/locations/global/securityProfileGroups/example-security-profile-group
      

    אם משתמשים במזהה הייחודי של כתובת ה-URL בשם קבוצת פרופילי האבטחה, כתובת ה-URL כוללת את הארגון או הפרויקט ואת המיקום. אם מציינים רק את השם, צריך לספק בנפרד את מזהה הארגון או את מזהה הפרויקט והמיקום כשמשתמשים בפקודות gcloud.

  • בקבוצת פרופילים של אבטחה, אפשר להוסיף פרופילים של אבטחה מסוגים url-filtering או threat-prevention בכל סדר.

קבוצת פרופילים של אבטחה יכולה להכיל רק פרופיל אבטחה אחד מכל סוג. לדוגמה, אם מוסיפים פרופיל אבטחה מסוג url-filtering, אפשר להוסיף פרופיל שני מסוג threat-prevention כדי לסרוק את התנועה בנוסף לסינון שלה.

  • כדי לבצע בדיקה של תעבורת הרשת ב-Layer 7, כלל במדיניות חומת האש צריך לכלול את השם של קבוצת פרופילי האבטחה שנקודת הקצה של חומת האש תשתמש בה.

  • קבוצות של פרופילי אבטחה חלות על מדיניות חומת אש רק כשמוסיפים כלל מדיניות של חומת אש עם פעולה apply_security_profile_group. אפשר להגדיר רק קבוצות של פרופילי אבטחה ברמת הארגון בכללים של מדיניות חומת אש היררכית, וקבוצות של פרופילי אבטחה ברמת הארגון וברמת הפרויקט בכללים של מדיניות חומת אש גלובלית ברשת.

  • כלל מדיניות חומת האש חל על תעבורה נכנסת ויוצאת של רשת הענן הווירטואלי הפרטי (VPC). התנועה התואמת מופנית מחדש לנקודת הקצה של חומת האש, יחד עם השם של קבוצת פרופילי האבטחה שהוגדרה. נקודת הקצה של חומת האש משתמשת בפרופילי האבטחה שצוינו בקבוצת פרופילי האבטחה כדי לבדוק את המידע של הדומיין ושל שם השרת (SNI), לסרוק חבילות לאיתור איומים ולהחיל פעולות שהוגדרו.

    נקודת הקצה של חומת האש מפעילה קודם את פרופיל האבטחה של סינון כתובות URL ואז מפעילה את פרופיל האבטחה של מניעת איומים. עם זאת, אם נקודת הקצה מזהה איום אפשרי בכותרת ההודעה של HTTP(S), היא יכולה להשתמש קודם בשירות לזיהוי ולמניעת פריצות כדי להעריך את התעבורה ולחסום אותה לפי הצורך. התנועה שנבדקת ולא נחסמת על ידי השירות לזיהוי ולמניעת חדירות, עוברת עיבוד על ידי שירות סינון כתובות ה-URL.

    מידע נוסף על הגדרת שירות סינון כתובות URL זמין במאמר הגדרת שירות סינון כתובות URL.

    מידע נוסף על הגדרת מניעת איומים זמין במאמר הגדרת שירות לזיהוי ולמניעת פריצות.

  • לכל קבוצת פרופילים של אבטחה צריך להיות מזהה פרויקט משויך. הפרויקט המשויך משמש למכסות ולהגבלות גישה במשאבי קבוצות של פרופילי אבטחה. אם מאמתים את חשבון השירות באמצעות הפקודה gcloud auth activate-service-account, אפשר לשייך את חשבון השירות לקבוצת פרופילים של אבטחה. מידע נוסף על יצירת קבוצת פרופילים

  • כשמשייכים קבוצות של פרופילי אבטחה למדיניות של חומת אש באמצעות כללים של חומת אש עם הפעולה apply_security_profile_group, חלות ההגבלות הבאות:

    • כללי מדיניות היררכיים של חומת אש: מנוהלים ברמת הארגון או התיקייה, ויכולים להפנות רק לקבוצות של פרופילי אבטחה ברמת הארגון.
    • מדיניות גלובלית של חומת אש ברשת: מנוהלת ברמת הפרויקט, ויכולה להפנות לקבוצות של פרופילי אבטחה ברמת הארגון ולקבוצות של פרופילי אבטחה ברמת הפרויקט מכל פרויקט.

ההבדלים בין קבוצות של פרופילי אבטחה ברמת הארגון לבין קבוצות של פרופילי אבטחה ברמת הפרויקט

בנקודות הבאות מפורטים ההבדלים בין קבוצות פרופילי אבטחה ברמת הארגון לבין קבוצות פרופילי אבטחה ברמת הפרויקט :

  • קבוצות של פרופילי אבטחה ברמת הארגון חלות גם על נקודות קצה ברמת הארגון וגם על נקודות קצה ברמת הפרויקט.
  • קבוצות של פרופילי אבטחה ברמת הפרויקט חלות על נקודות קצה של חומת אש ברמת הפרויקט שנמצאות באותו פרויקט כמו קבוצת פרופילי האבטחה. אי אפשר להחיל אותן על נקודות קצה של חומת אש ברמת הארגון.
  • קבוצה של פרופילי אבטחה ברמת הארגון יכולה לכלול רק פרופילי אבטחה ברמת הארגון.
  • קבוצה של פרופילי אבטחה ברמת הפרויקט יכולה לקבץ רק פרופילי אבטחה ברמת הפרויקט שקיימים באותו פרויקט.

תפקידים בניהול זהויות והרשאות גישה (IAM)

תפקידי ניהול זהויות והרשאות גישה (IAM) קובעים את הפעולות הבאות בקבוצת פרופילי האבטחה:

  • יצירת קבוצה של פרופילי אבטחה בארגון או בפרויקט
  • שינוי או מחיקה של קבוצת פרופילים של אבטחה בארגון או בפרויקט
  • הצגת פרטים של קבוצת פרופילים של אבטחה בארגון או בפרויקט
  • הצגת רשימה של קבוצות פרופילים של אבטחה בארגון או בפרויקט
  • שימוש בקבוצת פרופילי אבטחה בכלל מדיניות חומת אש

בטבלה הבאה מפורטים התפקידים שנדרשים בכל שלב.

יכולת תפקיד נדרש
יצירה של קבוצת פרופילי אבטחה כל אחד מהתפקידים הבאים:
  • אדמין של רשת מחשוב (roles/compute.networkAdmin)
  • אדמין של פרופיל אבטחה (roles/networksecurity.securityProfileAdmin) ההרשאה ניתנת ברמת הארגון לקבוצות של פרופילים ברמת הארגון, וברמת הפרויקט או ברמת הארגון לקבוצות של פרופילים ברמת הפרויקט
שינוי קבוצה של פרופילי אבטחה כל אחד מהתפקידים הבאים:
  • אדמין ברשת Compute (roles/compute.networkAdmin)
  • אדמין של פרופיל אבטחה (roles/networksecurity.securityProfileAdmin) ההרשאה ניתנת ברמת הארגון לקבוצות של פרופילים ברמת הארגון, וברמת הפרויקט או ברמת הארגון לקבוצות של פרופילים ברמת הפרויקט
מחיקה של קבוצת פרופילים של אבטחה כל אחד מהתפקידים הבאים:
  • אדמין של רשת מחשוב (roles/compute.networkAdmin)
  • אדמין של פרופיל אבטחה (roles/networksecurity.securityProfileAdmin) ההרשאה ניתנת ברמת הארגון לקבוצות של פרופילים ברמת הארגון, וברמת הפרויקט או ברמת הארגון לקבוצות של פרופילים ברמת הפרויקט
הצגת פרטים על קבוצת פרופילים של אבטחה בארגון ובפרויקט כל אחד מהתפקידים הבאים:
הצגת כל קבוצות פרופילי האבטחה בארגון ובפרויקט כל אחד מהתפקידים הבאים:
שימוש בקבוצת פרופילים של אבטחה בכלל מדיניות של חומת אש כל אחד מהתפקידים הבאים:

המאמרים הבאים