安全配置文件组概览

安全配置文件组是安全配置文件的容器。防火墙政策规则引用安全配置文件组,以在网络上启用第 7 层检查,例如 网址 过滤服务入侵检测与防御服务

本文档详细介绍了安全配置文件组及其功能。

规格

  • 安全配置文件组是组织级层资源。

  • 在安全配置文件组中,您可以按任意顺序添加类型为 url-filteringthreat-prevention安全配置文件

一个安全配置文件组只能包含一个每种类型的安全配置文件。如果您想添加两个个人资料,它们必须属于不同的类型。例如,如果您添加了类型为 url-filtering 的安全配置文件,则可以添加第二个类型为 threat-prevention 的配置文件,以便在过滤流量的同时扫描流量。

  • 每个安全配置文件组都由包含以下元素的网址唯一标识:

    • 组织 ID:组织的 ID。
    • 位置:安全配置文件组的范围。位置始终设置为 global
    • 名称:安全配置文件组名称,格式如下:
      • 长度为 1-63 个字符的字符串
      • 仅包含字母数字字符或连字符 (-)
      • 不能以数字开头

    如需为安全配置文件组构建唯一的网址标识符,请使用以下格式:

    organization/ORGANIZATION_ID/locations/LOCATION/securityProfileGroups/SECURITY_PROFILE_GROUP_NAME

    例如,组织 2345678432 中的 global 安全配置文件组 example-security-profile-group 具有以下唯一标识符:

    organization/2345678432/locations/global/securityProfileGroups/example-security-profile-group

  • 如需对网络流量执行第 7 层检查,防火墙政策规则必须包含防火墙端点要使用的安全配置文件组的名称。

  • 安全配置文件组仅在您添加具有 apply_security_profile_group 操作的防火墙政策规则时应用于防火墙政策。您可以在分层防火墙政策规则全球网络防火墙政策规则中配置安全配置文件组。

  • 防火墙政策规则应用于 Virtual Private Cloud (VPC) 网络的传入和传出流量。匹配的流量以及配置的安全配置文件组名称会重定向到防火墙端点。防火墙端点使用安全配置文件组中指定的安全配置文件来检查域名和服务器名称指示 (SNI) 信息、扫描数据包中的威胁,并应用配置的操作。

    防火墙端点先执行网址过滤安全配置文件,然后再运行威胁防护安全配置文件。不过,如果端点在 HTTP(S) 消息标头中检测到可能的威胁,它可以先使用入侵检测与防御服务来评估和阻止流量(如果需要)。入侵检测与防御服务评估且未阻止的流量随后会由网址过滤服务处理。

    如需详细了解如何配置网址过滤服务,请参阅配置网址过滤服务

    如需详细了解如何配置威胁防护,请参阅配置入侵检测和防御服务

  • 每个安全配置文件组都必须具有关联的项目 ID。关联项目用于安全配置文件组资源的配额和访问权限限制。如果您使用 gcloud auth activate-service-account 命令对您的服务账号进行身份验证,则可以将您的服务账号与安全配置文件组相关联。如需详细了解如何创建配置文件组,请参阅创建安全配置文件组

Identity and Access Management 角色

Identity and Access Management (IAM) 角色控制以下安全配置文件组操作:

  • 在组织中创建安全配置文件组
  • 修改或删除安全配置文件组
  • 查看安全配置文件组的详细信息
  • 查看组织中的安全配置文件组列表
  • 使用防火墙政策规则中的安全配置文件组

下表介绍了每个步骤所需的角色。

特性 必要角色
创建安全配置文件组 创建安全配置文件组的组织的 Security Profile Admin (roles/networksecurity.securityProfileAdmin) 和 Compute Network Admin (roles/compute.networkAdmin) 角色。
修改安全配置文件组 创建安全配置文件组的组织的 Security Profile Admin (roles/networksecurity.securityProfileAdmin) 和 Compute Network Admin (roles/compute.networkAdmin) 角色。
查看组织中安全配置文件组的详细信息 组织的以下角色之一:
Security Profile Admin (roles/networksecurity.securityProfileAdmin)
Compute Network Admin (roles/compute.networkAdmin)
Compute Network User (roles/compute.networkUser)
Compute Network Viewer (roles/compute.networkViewer)
查看组织中的所有安全配置文件组 组织的以下角色之一:
Security Profile Admin (roles/networksecurity.securityProfileAdmin)
Compute Network Admin (roles/compute.networkAdmin)
Compute Network User (roles/compute.networkUser)
Compute Network Viewer (roles/compute.networkViewer)
使用防火墙政策规则中的安全配置文件组 组织的以下角色之一:
Security Profile Admin (roles/networksecurity.securityProfileAdmin)
Compute Network Admin (roles/compute.networkAdmin)
Compute Network User (roles/compute.networkUser)

后续步骤