セキュリティ プロファイル グループの概要

セキュリティ プロファイル グループは、セキュリティ プロファイルのコンテナです。ファイアウォール ポリシー ルールは、セキュリティ プロファイル グループを参照して、ネットワーク侵入検知および防止サービスや URL フィルタリング サービスなどのレイヤ 7 検査を有効にします。

このドキュメントでは、セキュリティ プロファイル グループとその機能について詳しく説明します。

仕様

  • セキュリティ プロファイル グループは、組織レベルまたはプロジェクト レベルで構成できるリソースです。

    • 組織レベルのセキュリティ プロファイル グループ: 組織全体で組織レベルのセキュリティ プロファイルをグループ化するために使用します。

    • プロジェクト レベルのセキュリティ プロファイル グループ(プレビュー): プロジェクト内でプロジェクト レベルのセキュリティ プロファイルをグループ化するために使用します。

  • セキュリティ プロファイル グループには、セキュリティ プロファイルurl-filteringまたはthreat-preventionのタイプで任意の順序で追加できます。

セキュリティ プロファイル グループに含めることができるセキュリティ プロファイルは、タイプごとに 1 つのみです。2 つのプロファイルを追加する場合は、異なるタイプにする必要があります。たとえば、url-filtering タイプのセキュリティ プロファイルを追加する場合は、threat-prevention タイプの 2 つ目のプロファイルを追加して、フィルタリングに加えてトラフィックをスキャンできます。

  • 各セキュリティ プロファイル グループは、次の要素を含む URL で一意に識別されます。

    • 組織 ID または プロジェクト IDプレビュー): 組織またはプロジェクトの ID。
    • ロケーション: セキュリティ プロファイル グループのスコープ。ロケーションは常に global に設定されます。
    • 名前: セキュリティ プロファイル グループ名。次の形式で指定します。
      • 1~63 文字の文字列
      • 英数字とハイフン(-)のみを使用
      • 先頭は数字以外

    セキュリティ プロファイル グループの一意の URL 識別子を作成するには、次の 形式を使用します。

    • 組織レベルのセキュリティ プロファイル グループの場合:
    organizations/ORGANIZATION_ID/locations/global/securityProfileGroups/SECURITY_PROFILE_GROUP_NAME

    たとえば、組織 2345678432 のセキュリティ プロファイル グループ example-security-profile-group には、次のような固有識別子を設定します。

    organizations/2345678432/locations/global/securityProfileGroups/example-security-profile-group
    • プロジェクト レベルのセキュリティ プロファイル グループの場合(プレビュー):
    projects/PROJECT_ID/locations/global/securityProfileGroups/SECURITY_PROFILE_GROUP_NAME

    たとえば、プロジェクト my-project-123 のセキュリティ プロファイル グループ example-security-profile-group には、次のような固有識別子を設定します。

    projects/my-project-123/locations/global/securityProfileGroups/example-security-profile-group

  • ネットワーク トラフィックのレイヤ 7 検査を行うには、ファイアウォール エンドポイントで使用されるセキュリティ プロファイル グループの名前をファイアウォール ポリシールールに含める必要があります。

  • セキュリティ プロファイル グループは、アクション apply_security_profile_group を使用してファイアウォール ポリシー ルールを追加する場合にのみ、ファイアウォール ポリシーに適用されます。階層型ファイアウォール ポリシー ルールでは組織レベルのセキュリティ プロファイル グループのみを構成できます。グローバル ネットワーク ファイアウォール ポリシー ルールでは、組織レベルとプロジェクト レベルの両方のセキュリティ プロファイル グループを構成できます。

  • ファイアウォール ポリシー ルールは、Virtual Private Cloud(VPC)ネットワークの受信トラフィックと送信トラフィックに適用されます。一致したトラフィックは、構成済みのセキュリティ プロファイル グループ名とともにファイアウォール エンドポイントにリダイレクトされます。 ファイアウォール エンドポイントは、セキュリティ プロファイル グループで指定されたセキュリティ プロファイルを使用して、ドメイン名とサーバー名表示(SNI)情報を検査し、パケットの脅威をスキャンして、構成済みのアクションを適用します。

    ファイアウォール エンドポイントは、最初に URL フィルタリング セキュリティ プロファイルを実行し、次に脅威防止セキュリティ プロファイルを実行します。ただし、エンドポイントが HTTP(S)メッセージ ヘッダーで脅威の可能性を検出した場合は、侵入検知および防止サービスを最初に使用して、必要に応じてトラフィックを評価してブロックできます。侵入検知および防止サービスによって評価され、ブロックされなかったトラフィックは、URL フィルタリング サービスによって処理されます。

    URL フィルタリング サービスの構成方法については、 URL フィルタリング サービスを構成するをご覧ください。

    脅威防止の構成方法については、 侵入検知および防止サービスを構成するをご覧ください。

  • 各セキュリティ プロファイル グループにはプロジェクト ID が関連付けられている必要があります。関連付けられたプロジェクトは、セキュリティ プロファイル グループ リソースに対する割り当てとアクセス制限に使用されます。サービス アカウントを gcloud auth activate-service-account コマンドを使用して認証する場合は、 サービス アカウントをセキュリティ プロファイル グループに関連付けることができます。プロファイル グループを作成する詳しい方法については、 セキュリティ プロファイル グループを作成するをご覧ください。

  • apply_security_profile_group アクションを使用してファイアウォール ルールでセキュリティ プロファイル グループをファイアウォール ポリシーに関連付ける場合は、次の制約が適用されます。

    • 階層型ファイアウォール ポリシー: 組織レベルまたは フォルダレベルで管理され、組織レベルのセキュリティ プロファイル グループのみを参照できます。
    • グローバル ネットワーク ファイアウォール ポリシー: プロジェクト レベルで管理され、任意のプロジェクトから組織レベルのセキュリティ プロファイル グループとプロジェクト レベルの セキュリティ プロファイル グループを参照できます。

組織レベルとプロジェクト レベルのセキュリティ プロファイル グループの違い

組織レベルとプロジェクト レベルのセキュリティ プロファイル グループの違いをまとめると、次のようになります。

  • 組織レベルのセキュリティ プロファイル グループは、組織レベルとプロジェクト レベルの両方のエンドポイントに適用されます。
  • プロジェクト レベルのセキュリティ プロファイル グループは、セキュリティ プロファイル グループと同じプロジェクトにあるプロジェクト レベルのファイアウォール エンドポイントに適用されます。組織レベルのファイアウォール エンドポイントには適用できません。
  • 組織レベルのセキュリティ プロファイル グループは、組織レベルのセキュリティ プロファイルのみをグループ化できます。
  • プロジェクト レベルのセキュリティ プロファイル グループは、同じプロジェクトに存在するプロジェクト レベルのセキュリティ プロファイルのみをグループ化できます。

Identity and Access Management ロール

Identity and Access Management(IAM)のロールは、次のセキュリティ プロファイル グループのアクションを管理します。

  • 組織またはプロジェクトでのセキュリティ プロファイル グループの作成
  • 組織またはプロジェクトでのセキュリティ プロファイル グループの変更または削除
  • 組織またはプロジェクトでのセキュリティ プロファイル グループの詳細の表示
  • 組織またはプロジェクトでのセキュリティ プロファイル グループのリストの表示
  • ファイアウォール ポリシー ルールでのセキュリティ プロファイル グループの使用

次の表に、各ステップに必要なロールを示します。

機能 必要なロール
セキュリティ プロファイル グループを作成する 組織またはプロジェクトに対する次のいずれかのロール。
  • [Security Profile Admin](roles/networksecurity.securityProfileAdmin)組織レベルのセキュリティ プロファイル グループの場合は組織レベル。プロジェクト レベルのセキュリティ プロファイル グループの場合は、プロジェクト([プレビュー](https://cloud.google.com/products#product-launch-stages))または組織レベル
  • Compute ネットワーク管理者 (roles/compute.networkAdmin)
セキュリティ プロファイル グループを変更する 組織またはプロジェクトに対する次のいずれかのロール。
  • [Security Profile Admin](roles/networksecurity.securityProfileAdmin)組織レベルのセキュリティ プロファイル グループの場合は組織レベル。プロジェクト レベルのセキュリティ プロファイル グループの場合は、プロジェクト([プレビュー](https://cloud.google.com/products#product-launch-stages))または組織レベル
  • Compute ネットワーク管理者 (roles/compute.networkAdmin)
セキュリティ プロファイル グループを削除する [Compute Network Admin] (roles/compute.networkAdmin) ロール(セキュリティ プロファイル グループが存在する組織またはプロジェクトに対するもの)。([プレビュー](https://cloud.google.com/products#product-launch-stages))
組織とプロジェクトのセキュリティ プロファイル グループの詳細を表示する 組織またはプロジェクトに対する次のいずれかのロール。
組織とプロジェクトのすべてのセキュリティ プロファイル グループを表示する 組織またはプロジェクトに対する次のいずれかのロール。
ファイアウォール ポリシー ルールでセキュリティ プロファイル グループを使用する 組織またはプロジェクトに対する次のいずれかのロール。
  • [Security Profile Admin](roles/networksecurity.securityProfileAdmin)組織レベルのセキュリティ プロファイル グループの場合は組織レベル。プロジェクト レベルのセキュリティ プロファイル グループの場合は、プロジェクト([プレビュー](https://cloud.google.com/products#product-launch-stages))または組織レベル
  • Compute ネットワーク管理者 (roles/compute.networkAdmin)
  • Compute ネットワーク ユーザー (roles/compute.networkUser)

次のステップ