קבוצת פרופילי אבטחה היא מאגר לפרופילי אבטחה. כלל במדיניות חומת האש מפנה לקבוצת פרופילי אבטחה כדי להפעיל בדיקה בשכבה 7, כמו שירות סינון כתובות URL ושירות לגילוי ולמניעה של חדירות ברשת.
במסמך הזה מפורטת סקירה כללית על קבוצות של פרופילי אבטחה ועל היכולות שלהן.
מפרטים
קבוצת פרופילים של אבטחה היא משאב שאפשר להגדיר ברמת הארגון או ברמת הפרויקט.
קבוצות של פרופילי אבטחה ברמת הארגון: משתמשים בקבוצות האלה כדי לקבץ פרופילי אבטחה ברמת הארגון בכל הארגון.
קבוצות של פרופילי אבטחה ברמת הפרויקט (גרסת טרום-השקה (Preview)): משתמשים בקבוצות האלה כדי לקבץ פרופילי אבטחה ברמת הפרויקט בתוך הפרויקט.
בקבוצת פרופילים של אבטחה, אפשר להוסיף פרופילים של אבטחה מסוגים
url-filteringאוthreat-preventionבכל סדר.
קבוצת פרופילים של אבטחה יכולה להכיל רק פרופיל אבטחה אחד מכל סוג. אם רוצים להוסיף שני פרופילים, הם צריכים להיות מסוגים שונים. לדוגמה, אם מוסיפים פרופיל אבטחה מסוג url-filtering, אפשר להוסיף פרופיל שני מסוג threat-prevention כדי לסרוק את התנועה בנוסף לסינון שלה.
כל קבוצת פרופילי אבטחה מזוהה באופן ייחודי על ידי כתובת URL עם הרכיבים הבאים:
- מזהה הארגון או מזהה הפרויקט (תצוגה מקדימה): המזהה של הארגון או הפרויקט.
- מיקום: היקף קבוצת פרופילי האבטחה. המיקום תמיד מוגדר ל
global. - Name: שם קבוצת פרופיל האבטחה בפורמט הבא:
- מחרוזת באורך 1-63 תווים
- כולל רק תווים אלפאנומריים או מקפים (-)
- אסור להתחיל במספר
כדי ליצור מזהה ייחודי של כתובת URL לקבוצת פרופילים של אבטחה, משתמשים בפורמט הבא:
- לקבוצת פרופילים של אבטחה ברמת הארגון:
organizations/ORGANIZATION_ID/locations/global/securityProfileGroups/SECURITY_PROFILE_GROUP_NAMEלדוגמה, לקבוצת פרופילים של אבטחה
example-security-profile-groupבארגון2345678432יש את המזהה הייחודי הבא:organizations/2345678432/locations/global/securityProfileGroups/example-security-profile-group- לקבוצת פרופילי אבטחה ברמת הפרויקט (גרסת טרום-השקה (Preview)):
projects/PROJECT_ID/locations/global/securityProfileGroups/SECURITY_PROFILE_GROUP_NAMEלדוגמה, לקבוצת פרופילים של אבטחה
example-security-profile-groupבפרויקטmy-project-123יש את המזהה הייחודי הבא:projects/my-project-123/locations/global/securityProfileGroups/example-security-profile-groupכדי לבצע בדיקה של תעבורת הרשת ב-Layer 7, כלל במדיניות חומת האש צריך לכלול את השם של קבוצת פרופילי האבטחה שבה ישתמשו בנקודת הקצה של חומת האש.
קבוצות של פרופילי אבטחה חלות על מדיניות חומת אש רק כשמוסיפים כלל מדיניות של חומת אש עם פעולה
apply_security_profile_group. אפשר להגדיר רק קבוצות של פרופילי אבטחה ברמת הארגון בכללים של מדיניות חומת אש היררכית, וקבוצות של פרופילי אבטחה ברמת הארגון וברמת הפרויקט בכללים של מדיניות חומת אש גלובלית ברשת.כלל מדיניות חומת האש חל על תעבורה נכנסת ויוצאת של רשת הענן הווירטואלי הפרטי (VPC). התנועה שתואמת מנותבת מחדש לנקודת הקצה של חומת האש יחד עם השם של קבוצת פרופילי האבטחה שהוגדרה. נקודת הקצה של חומת האש משתמשת בפרופילי האבטחה שצוינו בקבוצת פרופילי האבטחה כדי לבדוק את המידע של הדומיין ושל שם השרת (SNI), לסרוק חבילות לאיתור איומים ולהחיל פעולות שהוגדרו.
נקודת הקצה של חומת האש מפעילה קודם את פרופיל האבטחה של סינון כתובות URL ואז את פרופיל האבטחה של מניעת איומים. עם זאת, אם נקודת הקצה מזהה איום אפשרי בכותרת ההודעה של HTTP(S), היא יכולה להשתמש קודם בשירות לזיהוי ולמניעת פריצות כדי להעריך את התעבורה ולחסום אותה לפי הצורך. התנועה שנבדקת ולא נחסמת על ידי השירות לזיהוי ולמניעת חדירות, עוברת עיבוד על ידי שירות סינון כתובות ה-URL.
מידע נוסף על הגדרת שירות סינון כתובות URL זמין במאמר הגדרת שירות סינון כתובות URL.
מידע נוסף על הגדרת מניעת איומים זמין במאמר הגדרת שירות לזיהוי ולמניעת פריצות.
לכל קבוצת פרופילים של אבטחה צריך להיות מזהה פרויקט משויך. הפרויקט המשויך משמש למכסות ולהגבלות גישה למשאבי קבוצת פרופיל האבטחה. אם מאמתים את חשבון השירות באמצעות הפקודה
gcloud auth activate-service-account, אפשר לשייך את חשבון השירות לקבוצת פרופילים של אבטחה. מידע נוסף על יצירת קבוצת פרופיליםכשמשייכים קבוצות של פרופילי אבטחה למדיניות של חומת אש באמצעות כללים של חומת אש עם הפעולה
apply_security_profile_group, חלות ההגבלות הבאות:- כללי מדיניות היררכיים של חומת אש: מנוהלים ברמת הארגון או התיקייה, ויכולים להפנות רק לקבוצות של פרופילי אבטחה ברמת הארגון.
- מדיניות גלובלית של חומת אש ברשת: מנוהלת ברמת הפרויקט, ויכולה להפנות לקבוצות של פרופילי אבטחה ברמת הארגון ולקבוצות של פרופילי אבטחה ברמת הפרויקט מכל פרויקט.
ההבדלים בין קבוצות של פרופילי אבטחה ברמת הארגון לבין קבוצות של פרופילי אבטחה ברמת הפרויקט
בנקודות הבאות מפורטים ההבדלים בין קבוצות פרופילי אבטחה ברמת הארגון לבין קבוצות פרופילי אבטחה ברמת הפרויקט :
- קבוצות של פרופילי אבטחה ברמת הארגון חלות על נקודות קצה ברמת הארגון וברמת הפרויקט.
- קבוצות של פרופילי אבטחה ברמת הפרויקט חלות על נקודות קצה של חומת אש ברמת הפרויקט שנמצאות באותו פרויקט כמו קבוצת פרופילי האבטחה. אי אפשר להחיל אותן על נקודות קצה של חומת אש ברמת הארגון.
- קבוצה של פרופילי אבטחה ברמת הארגון יכולה לכלול רק פרופילי אבטחה ברמת הארגון.
- קבוצה של פרופילי אבטחה ברמת הפרויקט יכולה לקבץ רק פרופילי אבטחה ברמת הפרויקט שקיימים באותו פרויקט.
תפקידים בניהול זהויות והרשאות גישה (IAM)
תפקידים בניהול זהויות והרשאות גישה (IAM) קובעים את הפעולות הבאות בקבוצת פרופיל האבטחה:
- יצירת קבוצה של פרופילי אבטחה בארגון או בפרויקט
- שינוי או מחיקה של קבוצת פרופילים של אבטחה בארגון או בפרויקט
- הצגת פרטים של קבוצת פרופילים של אבטחה בארגון או בפרויקט
- הצגת רשימה של קבוצות פרופילים של אבטחה בארגון או בפרויקט
- שימוש בקבוצת פרופילי אבטחה בכלל מדיניות חומת אש
בטבלה הבאה מפורטים התפקידים שנדרשים בכל שלב.
| יכולת | תפקיד נדרש |
|---|---|
| יצירה של קבוצת פרופילי אבטחה | אחד מהתפקידים הבאים בארגון או בפרויקט:
|
| שינוי קבוצה של פרופילי אבטחה | אחד מהתפקידים הבאים בארגון או בפרויקט:
|
| מחיקה של קבוצת פרופילים של אבטחה |
התפקיד Compute Network Admin (roles/compute.networkAdmin) בארגון או בפרויקט ([גרסת Preview](https://cloud.google.com/products#product-launch-stages)) שבו קיימת קבוצת פרופיל האבטחה.
|
| הצגת פרטים על קבוצת פרופילים של אבטחה בארגון ובפרויקט |
אחד מהתפקידים הבאים בארגון או בפרויקט:
|
| הצגת כל קבוצות פרופילי האבטחה בארגון ובפרויקט |
אחד מהתפקידים הבאים בארגון או בפרויקט:
|
| שימוש בקבוצת פרופילים של אבטחה בכלל מדיניות של חומת אש |
אחד מהתפקידים הבאים בארגון או בפרויקט:
|