セキュリティ プロファイル グループは、セキュリティ プロファイルのコンテナです。ファイアウォール ポリシールールは、セキュリティ プロファイル グループを参照して、ネットワーク上のURL フィルタリング サービスや侵入検知および防止サービスなどのレイヤ 7 検査を有効にします。
このドキュメントでは、セキュリティ プロファイル グループとその機能について詳しく説明します。
仕様
セキュリティ プロファイル グループは組織レベルのリソースです。
セキュリティ プロファイル グループには、
url-filteringタイプまたはthreat-preventionタイプのセキュリティ プロファイルを任意の順序で追加できます。
セキュリティ プロファイル グループには、各タイプのセキュリティ プロファイルを 1 つだけ含めることができます。2 つのプロファイルを追加する場合は、異なるタイプにする必要があります。たとえば、url-filtering タイプのセキュリティ プロファイルを追加した場合、threat-prevention タイプの 2 つ目のプロファイルを追加して、トラフィックをフィルタリングするだけでなく、スキャンすることもできます。
各セキュリティ プロファイル グループは、次の要素を含む URL で一意に識別されます。
- 組織 ID: 組織の ID。
- ロケーション: セキュリティ プロファイル グループのスコープ。ロケーションは常に
globalに設定されます。 - 名前: セキュリティ プロファイル グループ名。次の形式で指定します。
- 1~63 文字の文字列
- 英数字とハイフン(-)のみを使用
- 先頭は数字以外
セキュリティ プロファイル グループの一意の URL 識別子を作成するには、次の形式を使用します。
organization/ORGANIZATION_ID/locations/LOCATION/securityProfileGroups/SECURITY_PROFILE_GROUP_NAMEたとえば、組織
2345678432のglobalセキュリティ プロファイルexample-security-profile-groupには、次のような固有識別子を設定します。organization/2345678432/locations/global/securityProfileGroups/example-security-profile-groupネットワーク トラフィックのレイヤ 7 検査を行うには、ファイアウォール エンドポイントで使用されるセキュリティ プロファイル グループの名前をファイアウォール ポリシールールに含める必要があります。
セキュリティ プロファイル グループは、アクション
apply_security_profile_groupを使用してファイアウォール ポリシー ルールを追加する場合にのみ、ファイアウォール ポリシーに適用されます。セキュリティ プロファイル グループは、階層型ファイアウォール ポリシー ルールとグローバル ネットワーク ファイアウォール ポリシー ルールで構成できます。ファイアウォール ポリシー ルールは、Virtual Private Cloud(VPC)ネットワークの受信トラフィックと送信トラフィックに適用されます。一致したトラフィックは、構成済みのセキュリティ プロファイル グループ名とともにファイアウォール エンドポイントにリダイレクトされます。ファイアウォール エンドポイントは、セキュリティ プロファイル グループで指定されたセキュリティ プロファイルを使用して、ドメインとサーバー名の指示(SNI)情報を検査し、パケットの脅威をスキャンして、構成済みのアクションを適用します。
ファイアウォール エンドポイントは、最初に URL フィルタリング セキュリティ プロファイルを実行し、次に脅威防止セキュリティ プロファイルを実行します。ただし、エンドポイントが HTTP(S) メッセージ ヘッダーで脅威の可能性を検出した場合、侵入の検知と防止のサービスを最初に使用して、必要に応じてトラフィックを評価してブロックできます。侵入検知と防止サービスによって評価され、ブロックされなかったトラフィックは、URL フィルタリング サービスによって処理されます。
URL フィルタリング サービスを構成する方法については、URL フィルタリング サービスを構成するをご覧ください。
脅威防止の構成方法については、侵入検知と防止サービスを構成するをご覧ください。
各セキュリティ プロファイル グループにはプロジェクト ID が関連付けられている必要があります。関連付けられたプロジェクトは、セキュリティ プロファイル グループ リソースに対する割り当てとアクセス制限に使用されます。
gcloud auth activate-service-accountコマンドを使用してサービス アカウントを認証する場合は、サービス アカウントをセキュリティ プロファイル グループに関連付けることができます。プロファイル グループを作成する詳しい方法については、セキュリティ プロファイル グループを作成するをご覧ください。
Identity and Access Management ロール
Identity and Access Management(IAM)のロールは、次のセキュリティ プロファイル グループのアクションを管理します。
- 組織でのセキュリティ プロファイル グループの作成
- セキュリティ プロファイル グループの変更または削除
- セキュリティ プロファイル グループの詳細の表示
- 組織内のセキュリティ プロファイル グループの一覧表示
- ファイアウォール ポリシー ルールでのセキュリティ プロファイル グループの使用
次の表に、各ステップに必要なロールを示します。
| 機能 | 必要なロール |
|---|---|
| セキュリティ プロファイル グループを作成する | セキュリティ プロファイル グループが作成される組織に対する セキュリティ プロファイル管理者(roles/networksecurity.securityProfileAdmin)ロールと Compute ネットワーク管理者(roles/compute.networkAdmin)ロール。 |
| セキュリティ プロファイル グループを変更する | セキュリティ プロファイル グループが作成される組織に対する セキュリティ プロファイル管理者(roles/networksecurity.securityProfileAdmin)ロールと Compute ネットワーク管理者(roles/compute.networkAdmin)ロール。 |
| 組織のセキュリティ プロファイル グループの詳細を表示する | 組織に対する次のいずれかのロール: セキュリティ プロファイル管理者( roles/networksecurity.securityProfileAdmin)Compute ネットワーク管理者( roles/compute.networkAdmin)Compute ネットワーク ユーザー( roles/compute.networkUser)Compute ネットワーク閲覧者( roles/compute.networkViewer) |
| 組織内のすべてのセキュリティ プロファイル グループを表示する | 組織に対する次のいずれかのロール: セキュリティ プロファイル管理者( roles/networksecurity.securityProfileAdmin)Compute ネットワーク管理者( roles/compute.networkAdmin)Compute ネットワーク ユーザー( roles/compute.networkUser)Compute ネットワーク閲覧者( roles/compute.networkViewer) |
| ファイアウォール ポリシー ルールでセキュリティ プロファイル グループを使用する | 組織の次のいずれかのロール: セキュリティ プロファイル管理者( roles/networksecurity.securityProfileAdmin)Compute ネットワーク管理者( roles/compute.networkAdmin)Compute ネットワーク ユーザー( roles/compute.networkUser) |