セキュリティ プロファイル グループは、セキュリティ プロファイルのコンテナです。ファイアウォール ポリシールールは、セキュリティ プロファイル グループを参照して、ネットワーク上のURL フィルタリング サービスや侵入検知および防止サービスなどのレイヤ 7 検査を有効にします。
このドキュメントでは、セキュリティ プロファイル グループとその機能について詳しく説明します。
仕様
セキュリティ プロファイル グループは、組織レベルまたはプロジェクト レベルで構成できるリソースです。
組織レベルのセキュリティ プロファイル グループ: これを使用して、組織全体の組織レベルのセキュリティ プロファイルをグループ化します。
プロジェクト レベルのセキュリティ プロファイル グループ: これを使用して、プロジェクト内のプロジェクト レベルのセキュリティ プロファイルをグループ化します。
セキュリティ プロファイル グループの名前は、次の URL 識別子形式で構成されます。
組織レベル:
organizations/ORGANIZATION_ID/locations/global/securityProfileGroups/NAMEプロジェクト レベル:
projects/PROJECT_ID/locations/global/securityProfileGroups/NAME
セキュリティ プロファイル グループの
NAMEは、次の要件を満たしている必要があります。- 1 ~ 63 文字の文字列
- 小文字の英数字またはハイフン(-)のみを使用している
- 文字で始まる
例:
組織レベルのセキュリティ プロファイル グループ:
organizations/2345678432/locations/global/securityProfileGroups/example-security-profile-groupプロジェクト レベルのセキュリティ プロファイル グループ:
projects/my-project-123/locations/global/securityProfileGroups/example-security-profile-group
セキュリティ プロファイル グループ名に一意の URL 識別子を使用している場合、URL には組織またはプロジェクトとロケーションが含まれます。名前のみを指定する場合は、
gcloudコマンドを使用するときに、組織 ID またはプロジェクト ID とロケーションを個別に指定する必要があります。セキュリティ プロファイル グループには、
url-filteringタイプまたはthreat-preventionタイプのセキュリティ プロファイルを任意の順序で追加できます。
セキュリティ プロファイル グループに含めることができるセキュリティ プロファイルは、各タイプにつき 1 つのみです。たとえば、url-filtering タイプのセキュリティ プロファイルを追加した場合、threat-prevention タイプの 2 つ目のプロファイルを追加して、トラフィックをフィルタリングするだけでなく、スキャンすることもできます。
ネットワーク トラフィックのレイヤ 7 検査を行うには、ファイアウォール エンドポイントで使用されるセキュリティ プロファイル グループの名前をファイアウォール ポリシールールに含める必要があります。
セキュリティ プロファイル グループは、アクション
apply_security_profile_groupを使用してファイアウォール ポリシー ルールを追加する場合にのみ、ファイアウォール ポリシーに適用されます。階層型ファイアウォール ポリシー ルールでは組織レベルのセキュリティ プロファイル グループのみを構成できます。グローバル ネットワーク ファイアウォール ポリシー ルールでは、組織レベルとプロジェクト レベルの両方のセキュリティ プロファイル グループを構成できます。ファイアウォール ポリシー ルールは、Virtual Private Cloud(VPC)ネットワークの受信トラフィックと送信トラフィックに適用されます。一致したトラフィックは、構成済みのセキュリティ プロファイル グループ名とともにファイアウォール エンドポイントにリダイレクトされます。ファイアウォール エンドポイントは、セキュリティ プロファイル グループで指定されたセキュリティ プロファイルを使用して、ドメインとサーバー名の指示(SNI)情報を検査し、パケットの脅威をスキャンして、構成済みのアクションを適用します。
ファイアウォール エンドポイントは、最初に URL フィルタリング セキュリティ プロファイルを実行し、次に脅威防止セキュリティ プロファイルを実行します。ただし、エンドポイントが HTTP(S) メッセージ ヘッダーで脅威の可能性を検出した場合は、まず侵入検知および防止サービスを使用してトラフィックを評価し、必要に応じてブロックできます。侵入検知および防止サービスによって評価され、ブロックされなかったトラフィックは、URL フィルタリング サービスによって処理されます。
URL フィルタリング サービスを構成する方法については、URL フィルタリング サービスを構成するをご覧ください。
脅威防止の構成方法については、侵入検知サービスと侵入防止サービスを構成するをご覧ください。
各セキュリティ プロファイル グループにはプロジェクト ID が関連付けられている必要があります。関連付けられたプロジェクトは、セキュリティ プロファイル グループ リソースに対する割り当てとアクセス制限に使用されます。
gcloud auth activate-service-accountコマンドを使用してサービス アカウントを認証する場合は、サービス アカウントをセキュリティ プロファイル グループに関連付けることができます。プロファイル グループを作成する詳しい方法については、セキュリティ プロファイル グループを作成するをご覧ください。apply_security_profile_groupアクションを含むファイアウォール ルールを使用してセキュリティ プロファイル グループをファイアウォール ポリシーに関連付ける場合は、次の制約が適用されます。- 階層型ファイアウォール ポリシー: 組織レベルまたはフォルダレベルで管理され、組織レベルのセキュリティ プロファイル グループのみを参照できます。
- グローバル ネットワーク ファイアウォール ポリシー: プロジェクト レベルで管理され、任意のプロジェクトから組織レベルのセキュリティ プロファイル グループとプロジェクト レベルのセキュリティ プロファイル グループを参照できます。
組織レベルのセキュリティ プロファイル グループとプロジェクト レベルのセキュリティ プロファイル グループの違い
組織レベルとプロジェクト レベルのセキュリティ プロファイル グループの違いをまとめると、次のようになります。
- 組織レベルのセキュリティ プロファイル グループは、組織レベルとプロジェクト レベルの両方のエンドポイントに適用されます。
- プロジェクト レベルのセキュリティ プロファイル グループは、セキュリティ プロファイル グループと同じプロジェクトにあるプロジェクト レベルのファイアウォール エンドポイントに適用されます。組織レベルのファイアウォール エンドポイントには適用できません。
- 組織レベルのセキュリティ プロファイル グループは、組織レベルのセキュリティ プロファイルのみをグループ化できます。
- プロジェクト レベルのセキュリティ プロファイル グループは、同じプロジェクトに存在するプロジェクト レベルのセキュリティ プロファイルのみをグループ化できます。
Identity and Access Management ロール
Identity and Access Management(IAM)ロールは、次のセキュリティ プロファイル グループのアクションを管理します。
- 組織またはプロジェクトでのセキュリティ プロファイル グループの作成
- 組織またはプロジェクトでのセキュリティ プロファイル グループの変更または削除
- 組織またはプロジェクトのセキュリティ プロファイル グループの詳細を表示する
- 組織またはプロジェクト内のセキュリティ プロファイル グループのリストを表示する
- ファイアウォール ポリシー ルールでのセキュリティ プロファイル グループの使用
次の表に、各ステップに必要なロールを示します。
| 機能 | 必要なロール |
|---|---|
| セキュリティ プロファイル グループを作成する | 次のいずれかのロール:
|
| セキュリティ プロファイル グループを変更する | 次のいずれかのロール:
|
| セキュリティ プロファイル グループを削除する | 次のいずれかのロール:
|
| 組織とプロジェクトのセキュリティ プロファイル グループの詳細を表示する | 次のいずれかのロール:
|
| 組織とプロジェクト内のすべてのセキュリティ プロファイル グループを表示する | 次のいずれかのロール:
|
| ファイアウォール ポリシー ルールでセキュリティ プロファイル グループを使用する | 次のいずれかのロール:
|