安全性設定檔群組總覽

安全性設定檔群組是安全性設定檔的容器,防火牆政策規則會參照安全性設定檔群組,在網路上啟用第 7 層檢查,例如 URL 篩選服務入侵偵測與防範服務

本文詳細介紹安全性設定檔群組及其功能。

規格

  • 安全性設定檔群組是一種資源,可在機構層級或專案層級設定。

    • 機構層級安全設定檔群組:用於將機構內機構層級的安全設定檔分組。

    • 專案層級安全設定檔群組:用於在專案中將專案層級安全設定檔分組。

  • 安全性設定檔群組的名稱會以以下網址 ID 格式設定:

    • 機構層級

      organizations/ORGANIZATION_ID/locations/global/securityProfileGroups/NAME
      
    • 專案層級

      projects/PROJECT_ID/locations/global/securityProfileGroups/NAME
      

    安全性設定檔群組的 NAME 必須符合下列條件:

    • 長度介於 1 至 63 個字元的字串
    • 只能包含小寫英數字元或連字號 (-)
    • 開頭須為英文字母

    範例:

    • 機構層級安全性設定檔群組

      organizations/2345678432/locations/global/securityProfileGroups/example-security-profile-group
      
    • 專案層級安全性設定檔群組

      projects/my-project-123/locations/global/securityProfileGroups/example-security-profile-group
      

    如果您使用專屬網址 ID 做為安全設定檔群組名稱,網址會包含機構或專案,以及位置。如果只指定名稱,使用 gcloud 指令時,必須另外提供機構 ID 或專案 ID 和位置。

  • 在安全性設定檔群組中,您可以依任意順序新增 url-filteringthreat-prevention 類型的安全性設定檔。

安全性設定檔群組只能包含每種類型的一個安全性設定檔。 舉例來說,如果您新增 url-filtering 類型的安全性設定檔,可以新增 threat-prevention 類型的第二個設定檔,除了篩選流量外,還能掃描流量。

  • 如要對網路流量執行第 7 層檢查,防火牆政策規則必須包含防火牆端點使用的安全性設定檔群組名稱。

  • 只有在新增動作為 apply_security_profile_group 的防火牆政策規則時,安全性設定檔群組才會套用至防火牆政策。您只能在階層式防火牆政策規則中設定機構層級安全設定檔群組,並在全域網路防火牆政策規則中設定機構和專案層級安全設定檔群組。

  • 防火牆政策規則適用於虛擬私有雲 (VPC) 網路的連入和連出流量。系統會將相符的流量連同已設定的安全性設定檔群組名稱,重新導向至防火牆端點。防火牆端點會使用安全性設定檔群組中指定的安全性設定檔,檢查網域和伺服器名稱指標 (SNI) 資訊、掃描封包中的威脅,並套用已設定的動作。

    防火牆端點會先執行網址篩選安全性設定檔, 然後執行威脅防護安全性設定檔。不過,如果端點在 HTTP(S) 訊息標頭中偵測到可能的威脅,可以先使用入侵偵測與防範服務評估流量,並視需要封鎖流量。入侵偵測與防範服務評估後未封鎖的流量,會由網址篩選服務處理。

    如要進一步瞭解如何設定網址篩選服務,請參閱「設定網址篩選服務」。

    如要進一步瞭解如何設定威脅防護功能,請參閱「設定入侵偵測和防護服務」。

  • 每個安全性設定檔群組都必須有相關聯的專案 ID。相關聯的專案會用於安全性設定檔群組資源的配額和存取限制。如果您使用 gcloud auth activate-service-account 指令驗證服務帳戶,可以將服務帳戶與安全性設定檔群組建立關聯。如要進一步瞭解如何建立設定檔群組,請參閱「建立安全性設定檔群組」。

  • 使用 apply_security_profile_group 動作的防火牆規則將安全性設定檔群組與防火牆政策建立關聯時,適用下列限制:

    • 階層式防火牆政策:在機構或資料夾層級管理,只能參照機構層級的安全設定檔群組。
    • 全域網路防火牆政策:在專案層級管理,可參照任何專案的機構層級安全設定檔群組和專案層級安全設定檔群組。

機構層級與專案層級安全性設定檔群組的差異

以下幾點概略說明機構層級和專案層級安全性設定檔群組的差異:

  • 機構層級安全設定檔群組適用於機構層級和專案層級端點。
  • 專案層級安全設定檔群組適用於與安全設定檔群組位於同一專案的專案層級防火牆端點。無法套用至機構層級的防火牆端點。
  • 機構層級的安全性設定檔群組只能將機構層級的安全性設定檔分組。
  • 專案層級安全性設定檔群組只能將同一專案中的專案層級安全性設定檔分組。

身分與存取權管理角色

Identity and Access Management (IAM) 角色會控管下列安全性設定檔群組動作:

  • 在機構或專案中建立安全性設定檔群組
  • 修改或刪除機構或專案中的安全性設定檔群組
  • 查看機構或專案中安全性設定檔群組的詳細資料
  • 查看機構或專案中的安全性設定檔群組清單
  • 在防火牆政策規則中使用安全性設定檔群組

下表說明每個步驟所需的角色。

能力 必要角色
建立安全性設定檔群組 下列任一角色:
  • Compute 網路管理員 (roles/compute.networkAdmin)
  • 安全性設定檔管理員 (roles/networksecurity.securityProfileAdmin) 在機構層級授予機構層級安全性設定檔群組,並在專案層級或機構層級授予專案層級安全性設定檔群組
修改安全性設定檔群組 下列任一角色:
  • Compute 網路管理員 (roles/compute.networkAdmin)
  • 安全性設定檔管理員 (roles/networksecurity.securityProfileAdmin) 在機構層級授予機構層級安全性設定檔群組,並在專案層級或機構層級授予專案層級安全性設定檔群組
刪除安全性設定檔群組 下列任一角色:
  • Compute 網路管理員 (roles/compute.networkAdmin)
  • 安全性設定檔管理員 (roles/networksecurity.securityProfileAdmin) 在機構層級授予機構層級安全性設定檔群組,並在專案層級或機構層級授予專案層級安全性設定檔群組
查看機構和專案中安全性設定檔群組的詳細資料 下列任一角色:
查看機構和專案中的所有安全性設定檔群組 下列任一角色:
在防火牆政策規則中使用安全性設定檔群組 下列任一角色:

後續步驟