Grup profil keamanan adalah penampung untuk profil keamanan. Aturan kebijakan firewall merujuk ke grup profil keamanan untuk mengaktifkan inspeksi Layer 7, seperti layanan pemfilteran URL dan layanan deteksi dan pencegahan penyusupan, di jaringan Anda.
Dokumen ini memberikan ringkasan mendetail tentang grup profil keamanan dan kemampuannya.
Spesifikasi
Grup profil keamanan adalah resource yang dapat Anda konfigurasi di tingkat organisasi atau tingkat project.
Grup profil keamanan tingkat organisasi: gunakan ini untuk mengelompokkan profil keamanan tingkat organisasi di seluruh organisasi Anda.
Grup profil keamanan tingkat project: gunakan ini untuk mengelompokkan profil keamanan tingkat project dalam project Anda.
Nama grup profil keamanan dikonfigurasi dalam format ID URL berikut:
Tingkat organisasi:
organizations/ORGANIZATION_ID/locations/global/securityProfileGroups/NAMELevel project:
projects/PROJECT_ID/locations/global/securityProfileGroups/NAME
NAMEgrup profil keamanan harus memenuhi persyaratan berikut:- String sepanjang 1 hingga 63 karakter
- Hanya berisi karakter alfanumerik huruf kecil atau tanda hubung (-)
- Dimulai dengan huruf
Contoh:
Grup profil keamanan tingkat organisasi:
organizations/2345678432/locations/global/securityProfileGroups/example-security-profile-groupGrup profil keamanan tingkat project:
projects/my-project-123/locations/global/securityProfileGroups/example-security-profile-group
Jika Anda menggunakan ID URL unik untuk nama grup profil keamanan, URL tersebut akan menyertakan organisasi atau project, dan lokasi. Jika hanya menentukan nama, Anda harus memberikan ID organisasi atau project ID dan lokasi secara terpisah saat menggunakan perintah
gcloud.Dalam grup profil keamanan, Anda dapat menambahkan profil keamanan jenis
url-filteringatauthreat-preventiondalam urutan apa pun.
Grup profil keamanan hanya dapat berisi satu profil keamanan dari setiap jenis.
Misalnya, jika Anda menambahkan profil keamanan jenis url-filtering, Anda dapat menambahkan profil kedua jenis threat-prevention untuk memindai traffic selain memfilternya.
Untuk melakukan inspeksi Lapisan 7 pada traffic jaringan, aturan kebijakan firewall harus berisi nama grup profil keamanan yang akan digunakan oleh endpoint firewall.
Grup profil keamanan hanya berlaku untuk kebijakan firewall saat Anda menambahkan aturan kebijakan firewall dengan tindakan
apply_security_profile_group. Anda dapat mengonfigurasi hanya grup profil keamanan tingkat organisasi dalam aturan kebijakan firewall hierarkis, dan grup profil keamanan tingkat organisasi dan project dalam aturan kebijakan firewall jaringan global.Aturan kebijakan firewall berlaku untuk traffic masuk dan keluar dari jaringan Virtual Private Cloud (VPC). Traffic yang cocok akan dialihkan ke endpoint firewall bersama dengan nama grup profil keamanan yang dikonfigurasi. Endpoint firewall menggunakan profil keamanan yang ditentukan dalam grup profil keamanan untuk memeriksa informasi indikasi nama server (SNI) dan domain, memindai paket untuk mendeteksi ancaman, serta menerapkan tindakan yang dikonfigurasi.
Endpoint firewall menjalankan profil keamanan pemfilteran URL terlebih dahulu, lalu menjalankan profil keamanan pencegahan ancaman. Namun, jika endpoint mendeteksi kemungkinan ancaman di header pesan HTTP(S), endpoint dapat menggunakan layanan deteksi penyusupan dan pencegahan terlebih dahulu untuk mengevaluasi dan memblokir traffic sesuai kebutuhan. Traffic yang dievaluasi dan tidak diblokir oleh layanan deteksi dan pencegahan penyusupan kemudian diproses oleh layanan pemfilteran URL.
Untuk mempelajari lebih lanjut cara mengonfigurasi layanan pemfilteran URL, lihat Mengonfigurasi layanan pemfilteran URL.
Untuk mempelajari lebih lanjut cara mengonfigurasi pencegahan ancaman, lihat Mengonfigurasi layanan pencegahan dan deteksi penyusupan.
Setiap grup profil keamanan harus memiliki ID project terkait. Project terkait digunakan untuk kuota dan batasan akses pada resource grup profil keamanan. Jika Anda mengautentikasi akun layanan menggunakan perintah
gcloud auth activate-service-account, Anda dapat mengaitkan akun layanan dengan grup profil keamanan. Untuk mempelajari lebih lanjut cara membuat grup profil, lihat Membuat grup profil keamanan.Saat Anda mengaitkan grup profil keamanan dengan kebijakan firewall menggunakan aturan firewall dengan tindakan
apply_security_profile_group, batasan berikut berlaku:- Kebijakan firewall hierarkis: dikelola di tingkat organisasi atau folder, hanya dapat mereferensikan grup profil keamanan tingkat organisasi.
- Kebijakan firewall jaringan global: dikelola di tingkat project, dapat mereferensikan grup profil keamanan tingkat organisasi dan grup profil keamanan tingkat project dari project mana pun.
Perbedaan antara grup profil keamanan tingkat organisasi dan tingkat project
Poin berikut merangkum perbedaan antara grup profil keamanan tingkat organisasi dan tingkat project :
- Grup profil keamanan tingkat organisasi berlaku untuk endpoint tingkat organisasi dan tingkat project.
- Grup profil keamanan tingkat project berlaku untuk endpoint firewall tingkat project yang berada dalam project yang sama dengan grup profil keamanan. Endpoint firewall tingkat organisasi tidak dapat diterapkan ke endpoint firewall tingkat organisasi.
- Grup profil keamanan tingkat organisasi hanya dapat mengelompokkan profil keamanan tingkat organisasi.
- Grup profil keamanan level project hanya dapat mengelompokkan profil keamanan level project yang ada dalam project yang sama.
Peran Identity and Access Management
Peran Identity and Access Management (IAM) mengatur tindakan grup profil keamanan berikut:
- Membuat grup profil keamanan dalam organisasi atau project
- Mengubah atau menghapus grup profil keamanan dalam organisasi atau project
- Melihat detail grup profil keamanan dalam organisasi atau project
- Melihat daftar grup profil keamanan dalam organisasi atau project
- Menggunakan grup profil keamanan dalam aturan kebijakan firewall
Tabel berikut menjelaskan peran yang diperlukan untuk setiap langkah.
| Kemampuan | Peran yang diperlukan |
|---|---|
| Membuat grup profil keamanan | Salah satu peran berikut:
|
| Mengubah grup profil keamanan | Salah satu peran berikut:
|
| Menghapus grup profil keamanan | Salah satu peran berikut:
|
| Melihat detail tentang grup profil keamanan dalam organisasi dan project | Salah satu peran berikut:
|
| Melihat semua grup profil keamanan dalam organisasi dan project | Salah satu peran berikut:
|
| Menggunakan grup profil keamanan dalam aturan kebijakan firewall | Salah satu peran berikut:
|
Langkah berikutnya
- Mengonfigurasi layanan pemfilteran URL
- Mengonfigurasi layanan deteksi dan pencegahan penyusupan
- Membuat grup profil keamanan