安全配置文件组概览

安全配置文件组是安全配置文件的容器。防火墙 政策规则引用安全配置文件组,以在网络上启用第 7 层检查, 例如 网址过滤服务 以及 入侵检测与防御服务, 在您的网络上。

本文档详细介绍了安全配置文件组及其功能。

规格

  • 安全配置文件组是一种资源,您可以在组织级层或项目级层进行配置。

    • 组织级安全配置文件组:用于对组织中的 组织级安全配置文件进行分组。

    • 项目级安全配置文件组 :用于对项目中的项目级安全配置文件进行分组。

  • 安全配置文件组的名称采用以下网址标识符格式进行配置:

    • 组织级

      organizations/ORGANIZATION_ID/locations/global/securityProfileGroups/NAME
      
    • 项目级

      projects/PROJECT_ID/locations/global/securityProfileGroups/NAME
      

    安全配置文件组的 NAME 必须满足以下要求:

    • 长度为 1 到 63 个字符的字符串
    • 仅包含小写字母、数字或连字符 (-)
    • 以字母开头

    示例:

    • 组织级安全配置文件组

      organizations/2345678432/locations/global/securityProfileGroups/example-security-profile-group
      
    • 项目级安全配置文件组

      projects/my-project-123/locations/global/securityProfileGroups/example-security-profile-group
      

    如果您为安全配置文件组名称使用唯一网址标识符,则网址会包含组织或项目以及位置。 如果您仅指定名称,则在使用 gcloud 命令时,必须单独提供组织 ID 或项目 ID 以及位置。

  • 在安全配置文件组中,您可以按任意顺序添加 安全配置文件类型为 url-filteringthreat-prevention

安全配置文件组只能包含每种类型的一个安全配置文件。 例如,如果您添加了类型为 url-filtering 的安全配置文件,则可以添加第二个类型为 threat-prevention 的配置文件,以便在过滤流量的同时扫描流量。

  • 如需对网络流量执行第 7 层检查,防火墙政策规则必须包含防火墙端点要使用的安全配置文件组的名称。

  • 安全配置文件组仅在您添加具有 apply_security_profile_group 操作的防火墙政策规则时应用于防火墙政策。您只能在 分层防火墙政策规则中配置组织级安全配置文件组,并且可以在 全球网络防火墙政策规则中配置组织级和项目级安全配置文件组。

  • 防火墙政策规则应用于 Virtual Private Cloud (VPC) 网络的传入和传出流量。匹配的流量以及配置的安全配置文件组名称会重定向到防火墙端点。 防火墙端点使用安全配置文件组中指定的安全配置文件来检查网域和服务器名称指示 (SNI) 信息,扫描数据包中的威胁并应用配置的操作。

    防火墙端点会先执行网址过滤安全配置文件,然后再运行威胁防护安全配置文件。但是,如果端点在 HTTP(S) 消息标头中检测到可能的威胁,则可以先使用入侵检测与防御服务来评估和阻止流量(如果需要)。然后,网址过滤服务会处理由入侵检测与防御服务评估且未被阻止的流量。

    如需详细了解如何配置网址过滤服务,请参阅 配置网址过滤服务

    如需详细了解如何配置威胁防护,请参阅 配置入侵检测与防御服务

  • 每个安全配置文件组都必须具有关联的项目 ID。关联项目用于安全配置文件组资源的配额和访问权限限制。如果您使用 gcloud auth activate-service-account命令, 对您的服务帐号进行身份验证, 则可以将您的服务帐号与安全配置文件组相关联。如需详细了解如何创建配置文件组, 请参阅创建安全配置文件组

  • 当您使用具有 apply_security_profile_group 操作的防火墙规则将安全配置文件组与防火墙政策相关联时,适用以下限制:

    • 分层防火墙政策:在组织或 文件夹级层进行管理,只能引用组织级安全配置文件 组。
    • 全球网络防火墙政策:在项目级层进行管理,可以 引用任何项目的组织级安全配置文件组和项目级 安全配置文件组。

组织级安全配置文件组与项目级安全配置文件组之间的区别

以下几点总结了组织级安全配置文件组与项目级安全配置文件组之间的区别:

  • 组织级安全配置文件组适用于组织级和项目级端点。
  • 项目级安全配置文件组适用于与安全配置文件组位于同一项目中的项目级防火墙端点。它们不能应用于组织级防火墙端点。
  • 组织级安全配置文件组只能对组织级安全配置文件进行分组。
  • 项目级安全配置文件组只能对同一项目中存在的项目级安全配置文件进行分组。

Identity and Access Management 角色

Identity and Access Management (IAM) 角色控制以下安全配置文件组操作:

  • 在组织或项目中创建安全配置文件组
  • 在组织或项目中修改或删除安全配置文件组
  • 查看组织或项目中安全配置文件组的详细信息
  • 查看组织或项目中安全配置文件组的列表
  • 使用防火墙政策规则中的安全配置文件组

下表介绍了每个步骤所需的角色。

特性 必要角色
创建安全配置文件组 以下任一角色:
  • Compute Network Admin (roles/compute.networkAdmin)
  • Security Profile Admin (roles/networksecurity.securityProfileAdmin) 对于组织级安全配置文件组,在组织级层授予;对于项目级安全配置文件组,在项目级层或组织级层授予
修改安全配置文件组 以下任一角色:
  • Compute Network Admin (roles/compute.networkAdmin)
  • Security Profile Admin (roles/networksecurity.securityProfileAdmin) 对于组织级安全配置文件组,在组织级层授予;对于项目级安全配置文件组,在项目级层或组织级层授予
删除安全配置文件组 以下任一角色:
  • Compute Network Admin (roles/compute.networkAdmin)
  • Security Profile Admin (roles/networksecurity.securityProfileAdmin) 对于组织级安全配置文件组,在组织级层授予;对于项目级安全配置文件组,在项目级层或组织级层授予
查看组织和项目中安全配置文件组的详细信息 以下任一角色:
查看组织和项目中的所有安全配置文件组 以下任一角色:
使用防火墙政策规则中的安全配置文件组 以下任一角色:

后续步骤