보안 프로필 그룹은 보안 프로필의 컨테이너입니다. 방화벽 정책 규칙은 보안 프로필 그룹을 참조하여 네트워크에 URL 필터링 서비스 및 침입 감지 및 방지 서비스와 같은 레이어 7 검사를 사용 설정합니다.
이 문서에서는 보안 프로필 그룹과 해당 기능을 자세히 설명합니다.
사양
보안 프로필 그룹은 조직 수준 또는 프로젝트 수준에서 구성할 수 있는 리소스입니다.
조직 수준 보안 프로필 그룹: 이 그룹을 사용하여 조직 전체에서 조직 수준 보안 프로필을 그룹화합니다.
프로젝트 수준 보안 프로필 그룹 (미리보기): 이 그룹을 사용하여 프로젝트 내에서 프로젝트 수준 보안 프로필을 그룹화합니다.
보안 프로필 그룹에서 보안 프로필을
url-filtering또는threat-prevention유형으로 순서에 관계없이 추가할 수 있습니다.
보안 프로필 그룹에는 각 유형의 보안 프로필이 하나만 포함될 수 있습니다. 프로필을 두 개 추가하려면 유형이 서로 달라야 합니다. 예를 들어 url-filtering 유형의 보안 프로필을 추가하는 경우 threat-prevention 유형의 두 번째 프로필을 추가하여 트래픽을 필터링하는 것 외에도 검사할 수 있습니다.
각 보안 프로필 그룹은 다음 요소가 있는 URL로 고유하게 식별됩니다.
- 조직 ID 또는 프로젝트 ID (미리보기): 조직 또는 프로젝트의 ID입니다.
- 위치: 보안 프로필 그룹 범위입니다. 위치는 항상
global로 설정됩니다. - 이름: 다음 형식의 보안 프로필 그룹 이름입니다.
- 1~63자(영문 기준)의 문자열
- 영숫자 문자 또는 하이픈(-)만 포함
- 숫자로 시작하지 않아야 함
보안 프로필 그룹의 고유한 URL 식별자를 구성하려면 다음 형식을 사용합니다.
- 조직 수준 보안 프로필 그룹의 경우:
organizations/ORGANIZATION_ID/locations/global/securityProfileGroups/SECURITY_PROFILE_GROUP_NAME예를 들어 조직
2345678432의 보안 프로필 그룹example-security-profile-group에는 다음과 같은 고유 식별자가 있습니다.organizations/2345678432/locations/global/securityProfileGroups/example-security-profile-group- 프로젝트 수준 보안 프로필 그룹 (미리보기)의 경우:
projects/PROJECT_ID/locations/global/securityProfileGroups/SECURITY_PROFILE_GROUP_NAME예를 들어 프로젝트
my-project-123의 보안 프로필 그룹example-security-profile-group에는 다음과 같은 고유 식별자가 있습니다.projects/my-project-123/locations/global/securityProfileGroups/example-security-profile-group네트워크 트래픽의 레이어 7 검사를 수행하려면 방화벽 정책 규칙에 방화벽 엔드포인트에서 사용할 보안 프로필 그룹의 이름이 포함되어야 합니다.
보안 프로필 그룹은
apply_security_profile_group작업으로 방화벽 정책 규칙을 추가하는 경우에만 방화벽 정책에 적용됩니다. 계층식 방화벽 정책 규칙에서는 조직 수준 보안 프로필 그룹만 구성할 수 있으며 전역 네트워크 방화벽 정책 규칙에서는 조직 수준 및 프로젝트 수준 보안 프로필 그룹을 모두 구성할 수 있습니다.방화벽 정책 규칙은 Virtual Private Cloud (VPC) 네트워크의 수신 및 발신 트래픽에 적용됩니다. 일치하는 트래픽은 구성된 보안 프로필 그룹 이름과 함께 방화벽 엔드포인트로 리디렉션됩니다. 방화벽 엔드포인트는 보안 프로필 그룹에 지정된 보안 프로필을 사용하여 도메인 및 서버 이름 표시 (SNI) 정보를 검사하고, 패킷에 위협이 있는지 검사하고, 구성된 작업을 적용합니다.
방화벽 엔드포인트는 먼저 URL 필터링 보안 프로필을 실행한 후 위협 방지 보안 프로필을 실행합니다. 하지만 엔드포인트가 HTTP(S) 메시지 헤더에서 가능한 위협을 감지하면 먼저 침입 감지 및 방지 서비스를 사용하여 필요에 따라 트래픽을 평가하고 차단할 수 있습니다. 침입 감지 및 방지 서비스에서 평가하고 차단하지 않은 트래픽은 URL 필터링 서비스에서 처리합니다.
URL 필터링 서비스를 구성하는 방법을 자세히 알아보려면 URL 필터링 서비스 구성을 참조하세요.
위협 방지를 구성하는 방법을 자세히 알아보려면 침입 감지 및 방지 서비스 구성을 참조하세요.
각 보안 프로필 그룹에는 연결된 프로젝트 ID가 있어야 합니다. 연결된 프로젝트는 보안 프로필 그룹 리소스의 할당량, 액세스 제한에 사용됩니다.
gcloud auth activate-service-account명령어를 사용하여 서비스 계정을 인증하는 경우 서비스 계정을 보안 프로필 그룹과 연결할 수 있습니다. 프로필 그룹을 만드는 방법을 자세히 알아보려면 보안 프로필 그룹 만들기를 참조하세요.apply_security_profile_group작업이 있는 방화벽 규칙을 사용하여 보안 프로필 그룹을 방화벽 정책과 연결하면 다음과 같은 제약 조건이 적용됩니다.- 계층식 방화벽 정책: 조직 또는 폴더 수준에서 관리되며 조직 수준 보안 프로필 그룹만 참조할 수 있습니다.
- 전역 네트워크 방화벽 정책: 프로젝트 수준에서 관리되며 모든 프로젝트의 조직 수준 보안 프로필 그룹 및 프로젝트 수준 보안 프로필 그룹을 참조할 수 있습니다.
조직 수준 보안 프로필 그룹과 프로젝트 수준 보안 프로필 그룹의 차이점
다음은 조직 수준 보안 프로필 그룹과 프로젝트 수준 보안 프로필 그룹의 차이점을 요약한 것입니다.
- 조직 수준 보안 프로필 그룹은 조직 수준 및 프로젝트 수준 엔드포인트 모두에 적용됩니다.
- 프로젝트 수준 보안 프로필 그룹은 보안 프로필 그룹과 동일한 프로젝트에 있는 프로젝트 수준 방화벽 엔드포인트에 적용됩니다. 조직 수준 방화벽 엔드포인트에는 적용할 수 없습니다.
- 조직 수준 보안 프로필 그룹은 조직 수준 보안 프로필만 그룹화할 수 있습니다.
- 프로젝트 수준 보안 프로필 그룹은 동일한 프로젝트에 있는 프로젝트 수준 보안 프로필만 그룹화할 수 있습니다.
Identity and Access Management 역할
Identity and Access Management (IAM) 역할은 다음 보안 프로필 그룹 작업을 제어합니다.
- 조직 또는 프로젝트에 보안 프로필 그룹 만들기
- 조직 또는 프로젝트에서 보안 프로필 그룹 수정 또는 삭제
- 조직 또는 프로젝트에서 보안 프로필 그룹의 세부정보 보기
- 조직 또는 프로젝트에서 보안 프로필 그룹 목록 보기
- 방화벽 정책 규칙에서 보안 프로필 그룹 사용
다음 표에서는 각 단계에 필요한 역할을 설명합니다.
| 기능 | 필수 역할 |
|---|---|
| 보안 프로필 그룹 만들기 | 조직 또는 프로젝트의 다음 역할 중 하나:
|
| 보안 프로필 그룹 수정 | 조직 또는 프로젝트의 다음 역할 중 하나:
|
| 보안 프로필 그룹 삭제 |
Compute 네트워크 관리자 (roles/compute.networkAdmin) 역할(보안 프로필 그룹이 있는 조직 또는 프로젝트([미리보기](https://cloud.google.com/products#product-launch-stages))의 역할)
|
| 조직 및 프로젝트에서 보안 프로필 그룹에 대한 세부정보 보기 |
조직 또는 프로젝트의 다음 역할 중 하나:
|
| 조직 및 프로젝트에서 모든 보안 프로필 그룹 보기 |
조직 또는 프로젝트의 다음 역할 중 하나:
|
| 방화벽 정책 규칙에서 보안 프로필 그룹 사용 |
조직 또는 프로젝트의 다음 역할 중 하나:
|