Eine Sicherheitsprofilgruppe ist ein Container für Sicherheitsprofile. Eine Firewallrichtlinienregel verweist auf eine Sicherheitsprofilgruppe, um die Layer-7-Prüfung wie den URL-Filterdienst und den Einbruchserkennungs- und ‑präventionsdienst in Ihrem Netzwerk zu aktivieren.
Dieses Dokument bietet eine detaillierte Übersicht über Sicherheitsprofilgruppen und deren Funktionen.
Spezifikationen
Eine Sicherheitsprofilgruppe ist eine Ressource auf Organisationsebene.
Einer Sicherheitsprofilgruppe können Sie Sicherheitsprofile vom Typ
url-filteringoderthreat-preventionin beliebiger Reihenfolge hinzufügen.
Eine Sicherheitsprofilgruppe kann nur ein Sicherheitsprofil jedes Typs enthalten. Wenn Sie zwei Profile hinzufügen möchten, müssen sie unterschiedliche Typen haben. Wenn Sie beispielsweise ein Sicherheitsprofil vom Typ url-filtering hinzufügen, können Sie ein zweites Profil vom Typ threat-prevention hinzufügen, um den Traffic zusätzlich zum Filtern zu scannen.
Jede Sicherheitsprofilgruppe wird eindeutig durch eine URL mit den folgenden Elementen identifiziert:
- Organisations-ID: ID der Organisation.
- Standort: Geltungsbereich der Sicherheitsprofilgruppe. Der Standort ist immer auf
globalfestgelegt. - Name: Name der Sicherheitsprofilgruppe im folgenden Format:
- Ein String mit 1 bis 63 Zeichen
- Enthält nur alphanumerische Zeichen oder Bindestriche (-)
- Darf nicht mit einer Ziffer beginnen
Verwenden Sie das folgende Format, um eine eindeutige URL-ID für eine Sicherheitsprofilgruppe zu erstellen:
organization/ORGANIZATION_ID/locations/LOCATION/securityProfileGroups/SECURITY_PROFILE_GROUP_NAMEEin
global-Sicherheitsprofilexample-security-profile-groupin der Organisation2345678432hat beispielsweise die folgende eindeutige Kennung:organization/2345678432/locations/global/securityProfileGroups/example-security-profile-groupEine Firewallrichtlinienrichtlinie muss den Namen der Sicherheitsgruppe enthalten, die vom Firewall-Endpunkt verwendet werden soll, um eine Layer-7-Prüfung für den Netzwerk-Traffic durchzuführen.
Sicherheitsprofilgruppen gelten nur für Firewallrichtlinien, wenn Sie eine Firewallrichtlinienregel mit der Aktion
apply_security_profile_grouphinzufügen. Sie können Sicherheitsprofilgruppen in hierarchischen Firewallrichtlinienregeln und globalen Netzwerk-Firewallrichtlinienregeln konfigurieren.Die Firewallrichtlinienregel gilt für eingehenden und ausgehenden Traffic des VPC-Netzwerks (Virtual Private Cloud). Der übereinstimmende Traffic wird zusammen mit dem konfigurierten Namen der Sicherheitsprofilgruppe an den Firewall-Endpunkt weitergeleitet. Der Firewall-Endpunkt verwendet die in der Sicherheitsprofilgruppe angegebenen Sicherheitsprofile, um Informationen zur Domain und zur Server Name Indication (SNI) zu prüfen, Pakete auf Bedrohungen zu scannen und konfigurierte Aktionen anzuwenden.
Der Firewall-Endpunkt führt zuerst das Sicherheitsprofil für die URL-Filterung und dann das Sicherheitsprofil für die Bedrohungsvermeidung aus. Wenn der Endpunkt jedoch eine mögliche Bedrohung im HTTP(S)-Nachrichtenheader erkennt, kann er zuerst den Dienst zur Einbruchserkennung und ‑vermeidung verwenden, um den Traffic nach Bedarf zu bewerten und zu blockieren. Der Traffic, der vom Dienst zur Einbruchserkennung und -vermeidung ausgewertet und nicht blockiert wird, wird dann vom URL-Filterdienst verarbeitet.
Weitere Informationen zum Konfigurieren des URL-Filterdienstes finden Sie unter URL-Filterdienst konfigurieren.
Weitere Informationen zum Konfigurieren der Bedrohungsvermeidung finden Sie unter Dienst zur Einbruchserkennung und ‑prävention konfigurieren.
Jeder Sicherheitsprofilgruppe muss eine Projekt-ID zugeordnet sein. Das zugehörige Projekt wird für Kontingente und Zugriffsbeschränkungen für Sicherheitsprofilgruppenressourcen verwendet. Wenn Sie Ihr Dienstkonto mit dem Befehl
gcloud auth activate-service-accountauthentifizieren, können Sie Ihr Dienstkonto der Gruppe der Sicherheitsprofile zuordnen. Weitere Informationen zum Erstellen einer Profilgruppe finden Sie unter Sicherheitsprofilgruppe erstellen.
Identitäts- und Zugriffsverwaltungsrollen
IAM-Rollen (Identity and Access Management) steuern die folgenden Aktionen für Sicherheitsprofilgruppen:
- Sicherheitsprofilgruppe in einer Organisation erstellen
- Sicherheitsprofilgruppe ändern oder löschen
- Details einer Sicherheitsprofilgruppe ansehen
- Liste der Sicherheitsprofilgruppen in einer Organisation aufrufen
- Sicherheitsprofilgruppe in einer Firewallrichtlinienregel verwenden
In der folgenden Tabelle werden die Rollen beschrieben, die für jeden Schritt erforderlich sind.
| Funktion | Erforderliche Rolle |
|---|---|
| Sicherheitsprofilgruppe erstellen | Rollen Security Profile Admin (roles/networksecurity.securityProfileAdmin) und Compute Network Admin (roles/compute.networkAdmin) für die Organisation, in der die Sicherheitsprofilgruppe erstellt wird. |
| Sicherheitsprofilgruppe ändern | Rollen Security Profile Admin (roles/networksecurity.securityProfileAdmin) und Compute Network Admin (roles/compute.networkAdmin) für die Organisation, in der die Sicherheitsprofilgruppe erstellt wird. |
| Details zur Sicherheitsprofilgruppe in einer Organisation ansehen | Eine der folgenden Rollen für die Organisation: Administrator für Sicherheitsprofile ( roles/networksecurity.securityProfileAdmin)Compute-Netzwerkadministrator ( roles/compute.networkAdmin)Compute-Netzwerkadministrator ( roles/compute.networkUser)Compute-Netzwerkbetrachter ( roles/compute.networkViewer) |
| Alle Sicherheitsprofilgruppen in einer Organisation ansehen | Eine der folgenden Rollen für die Organisation: Administrator für Sicherheitsprofile ( roles/networksecurity.securityProfileAdmin)Compute-Netzwerkadministrator ( roles/compute.networkAdmin)Compute-Netzwerkadministrator ( roles/compute.networkUser)Compute-Netzwerkbetrachter ( roles/compute.networkViewer) |
| Sicherheitsprofilgruppe in einer Firewallrichtlinienregel verwenden | Eine der folgenden Rollen für die Organisation: Administrator von Sicherheitsprofilen ( roles/networksecurity.securityProfileAdmin)Compute-Netzwerkadministrator ( roles/compute.networkAdmin)Compute-Netzwerkadministrator ( roles/compute.networkUser) |
Nächste Schritte
- URL-Filterdienst konfigurieren
- Dienst zur Einbruchserkennung und -vermeidung konfigurieren
- Sicherheitsprofilgruppen erstellen und verwalten