Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

סקירה כללית על פרופיל אבטחה

פרופילי אבטחה עוזרים לכם להגדיר מדיניות בדיקה בשכבה 7 עבור המשאבים שלכם ב-Google Cloud . אלה מבנים כלליים של מדיניות שמשמשים נקודות קצה של חומת אש לסריקת תעבורה שיירטה, כדי לספק שירותים של שכבת האפליקציה, כמו שירות סינון כתובות URL ושירות גילוי חדירות ומניעה של פריצות.

במסמך הזה מפורטת סקירה כללית של פרופילי אבטחה והיכולות שלהם.

מפרטים

‫Cloud Next Generation Firewall תומך בפרופילי אבטחה מסוגים URL_FILTERING ו-THREAT_PREVENTION.
כל פרופיל אבטחה מזוהה באופן ייחודי על ידי כתובת URL עם הרכיבים הבאים:
- מזהה הארגון או מזהה הפרויקט (תצוגה מקדימה): המזהה של הארגון המארח או של הפרויקט המארח.
- מיקום: היקף פרופיל האבטחה. המיקום תמיד מוגדר לglobal.
- ‫Name: שם פרופיל האבטחה בפורמט הבא:
  - מחרוזת באורך 1-63 תווים
  - כולל רק תווים אלפאנומריים או מקפים (-)
  - אסור להתחיל במספר
כדי ליצור מזהה ייחודי של כתובת URL לפרופיל אבטחה, משתמשים בפורמט הבא:
- לפרופיל אבטחה ברמת הארגון:
```
organizations/ORGANIZATION_ID/locations/global/securityProfiles/SECURITY_PROFILE_NAME
```
לדוגמה, לפרופיל אבטחה example-security-profile בארגון 2345678432 יש את המזהה הייחודי הבא:
```
organizations/2345678432/locations/global/securityProfiles/example-security-profile
```
- לפרופיל אבטחה ברמת הפרויקט (תצוגה מקדימה):
```
projects/PROJECT_ID/locations/global/securityProfiles/SECURITY_PROFILE_NAME
```
לדוגמה, לפרופיל אבטחה example-security-profile בפרויקט my-project-123 יש את המזהה הייחודי הבא:
```
projects/my-project-123/locations/global/securityProfiles/example-security-profile
```
אחרי שיוצרים פרופיל אבטחה, צריך לצרף אותו באופן ידני לקבוצת פרופילי אבטחה. קבוצת פרופילי האבטחה הזו מפנה למדיניות חומת האש של רשת הענן הוירטואלי הפרטי (VPC) שבה רוצים לאכוף בדיקה בשכבה 7.
לכל פרופיל אבטחה צריך להיות משויך מזהה פרויקט. הפרויקט המשויך משמש למכסות ולהגבלות גישה למשאבים של פרופיל האבטחה. אם תאמתו את חשבון השירות באמצעות הפקודה gcloud auth activate-service-account, תוכלו לשייך את חשבון השירות לפרופיל האבטחה. מידע נוסף על יצירת פרופיל אבטחה זמין במאמרים יצירת פרופיל אבטחה למניעת איומים ויצירת פרופיל אבטחה לסינון כתובות URL.
כשמוסיפים פרופילי אבטחה לקבוצה של פרופילי אבטחה, חלים האילוצים הבאים:
- קבוצת פרופילים של אבטחה ברמת הארגון יכולה להפנות רק לפרופילים של אבטחה ברמת הארגון.
- קבוצת פרופילים של אבטחה ברמת הפרויקט (גרסת טרום-השקה (Preview)) יכולה להפנות לפרופילים של אבטחה ברמת הפרויקט (גרסת טרום-השקה (Preview)) באותו פרויקט.

פרופיל אבטחה לסינון כתובות URL

‫Cloud NGFW משתמש בפרופיל אבטחה של סינון כתובות URL כדי להגדיר את שירות סינון כתובות ה-URL.

פרופיל אבטחה לסינון כתובות URL הוא סוג של פרופיל אבטחה שמשתמש במסנן כתובות URL אחד או יותר כדי להגדיר מדיניות אבטחה לנקודות הקצה של חומת האש. מסנן כתובות URL הוא רשימה של מחרוזות התאמה עם עדיפות ופעולה ייחודיות. מחרוזות ההתאמה מכילות שמות דומיינים ש-Cloud NGFW מתאים להודעת ה-HTTP שנבדקת. בהודעות מוצפנות,‏ Cloud NGFW בודק את מחרוזות ההתאמה מול ה-SNI שנשלח במהלך המשא ומתן של TLS. אם מפעילים את בדיקת ה-TLS, ‏ Cloud NGFW מפענח את כותרת ההודעה ומעריך גם את כותרת המארח. בתנועה לא מוצפנת, Cloud NGFW תמיד משווה את מחרוזות ההתאמה לכותרת המארח של הודעת ה-HTTP.

העדיפות של מסנן כתובות URL נקבעת לפי הערך הייחודי שמציינים בשדה priority. ערך העדיפות של מסנן כתובות URL יכול להיות בין 0 ל-2147483647. ‫Cloud NGFW מעבד קודם את הערך המספרי הנמוך ביותר (שמייצג את העדיפות הגבוהה ביותר), ואז את הערך המספרי הגבוה יותר הבא, עד שהוא מוצא התאמה. ‫Cloud NGFW לא מעריך את הדומיינים הנפרדים ברשימת סינון כתובות URL לפי סדר העדיפות.

מידע נוסף על יצירה וניהול של פרופילים לאבטחה של סינון כתובות URL זמין במאמר יצירה וניהול של פרופילים לאבטחה של סינון כתובות URL.

מידע נוסף על הגדרת סינון כתובות URL זמין במאמר הגדרת שירות סינון כתובות URL.

פרופיל אבטחה למניעת איומים

‫Cloud NGFW משתמש בפרופילים של אבטחה למניעת איומים כדי לספק שירות לגילוי חדירות ולמניעת חדירות.

כשיוצרים פרופיל אבטחה מסוג THREAT_PREVENTION, חתימות ברירת המחדל של איומים עם חומרת ברירת המחדל והפעולות המשויכות מתווספות לפרופיל:

חתימות לגילוי נקודות חולשה
חתימות של תוכנות נגד רוגלות
חתימות אנטי-וירוס
חתימות DNS

יש לכם אפשרות להוסיף חריגות לרמת החומרה לפרופילי האבטחה של מניעת האיומים. לכל חתימת ברירת מחדל יש רמת חומרה של האיום. רמת החומרה מציינת את הסיכון של האיום שזוהה. לכל רמת חומרה משויכת גם פעולת ברירת מחדל. פעולת ברירת המחדל מציינת את האמצעים ש-Cloud NGFW נוקט כדי לטפל באיומים ברמת חומרה ספציפית. אתם יכולים להשתמש בפרופילי אבטחה למניעת איומים כדי לשנות את פעולת ברירת המחדל לרמת חומרה מסוימת.

הפעולות הבאות נתמכות:

ללא ביטול: מתבצעת פעולת ברירת המחדל שמשויכת לאיום.
דחייה: הנתונים על האיום נרשמים ביומן והחבילה נמחקת.
התראה: הרישום ביומן של האיום והסשן מותר.
אישור: המערכת מתעלמת מהאיום, אם הוא מזוהה.

כשיוצרים פרופיל אבטחה למניעת איומים, פעולת ברירת המחדל לביטול ההגדרה לכל רמות החומרה מוגדרת ל-No override.

אפשר גם להוסיף החלפות של חתימות לפרופילי האבטחה למניעת איומים. לכל חתימת איום משויכת פעולת ברירת מחדל. אתם יכולים להשתמש בפרופילי אבטחה למניעת איומים כדי לשנות את פעולות ברירת המחדל של חתימות האיומים באמצעות הפעולות הקודמות. שינויים של ברירת המחדל בחתימה מקבלים עדיפות על פני שינויים של ברירת המחדל ברמת החומרה.

מידע נוסף על הגדרת מניעת איומים זמין במאמר הגדרת שירות לזיהוי ולמניעת פריצות.

תפקידים בניהול זהויות והרשאות גישה (IAM)

תפקידים בניהול זהויות והרשאות גישה (IAM) קובעים את הפעולות הבאות בפרופילים של אבטחה:

יצירת פרופיל אבטחה בארגון או בפרויקט
שינוי או מחיקה של פרופיל אבטחה בארגון או בפרויקט
הצגת פרטים של פרופיל אבטחה בארגון או בפרויקט
צפייה ברשימה של פרופילי אבטחה בארגון או בפרויקט
שימוש בפרופיל אבטחה בקבוצת פרופילי אבטחה

בטבלה הבאה מפורטים התפקידים שנדרשים בכל שלב.

יכולת	תפקיד נדרש
יצירת פרופיל אבטחה	‫Compute Network Admin (`roles/compute.networkAdmin`) ו-Security Profile Admin (`roles/networksecurity.securityProfileAdmin`) ברמת הארגון לפרופילי אבטחה ברמת הארגון, וברמת הפרויקט (תצוגה מקדימה) או ברמת הארגון לפרופילי אבטחה
שינוי פרופיל אבטחה	‫Compute Network Admin (`roles/compute.networkAdmin`) ו-Security Profile Admin (`roles/networksecurity.securityProfileAdmin`) ברמת הארגון לפרופילי אבטחה ברמת הארגון, וברמת הפרויקט (תצוגה מקדימה) או ברמת הארגון לפרופילי אבטחה
מחיקת פרופיל אבטחה	התפקיד Compute Network Admin (`roles/compute.networkAdmin`) בארגון עבור פרופילי אבטחה ברמת הארגון, ובפרויקט עבור פרופילי אבטחה ברמת הפרויקט (גרסת Preview) שבהם הפרופיל קיים.
הצגת פרטים על פרופיל האבטחה בארגון	אחד מהתפקידים הבאים בארגון: אדמין של רשת Compute‏ (`roles/compute.networkAdmin`) משתמש ברשת Compute‏ (`roles/compute.networkUser`) צפייה ברשת Compute‏ (`roles/compute.networkViewer`) אדמין של פרופיל אבטחה‏ (`roles/networksecurity.securityProfileAdmin`) ברמת הארגון לפרופילי אבטחה ברמת הארגון, וברמת הפרויקט (גרסת Preview) או ברמת הארגון לפרופילי אבטחה
הצגת כל פרופילי האבטחה בארגון	אחד מהתפקידים הבאים בארגון: אדמין של רשת Compute‏ (`roles/compute.networkAdmin`) משתמש ברשת Compute‏ (`roles/compute.networkUser`) צפייה ברשת Compute‏ (`roles/compute.networkViewer`) אדמין של פרופיל אבטחה‏ (`roles/networksecurity.securityProfileAdmin`) ברמת הארגון לפרופילי אבטחה ברמת הארגון, וברמת הפרויקט (גרסת Preview) או ברמת הארגון לפרופילי אבטחה
שימוש בפרופיל אבטחה בקבוצת פרופילי אבטחה	אחד מהתפקידים הבאים בארגון: אדמין של רשת Compute‏ (`roles/compute.networkAdmin`) משתמש ברשת Compute‏ (`roles/compute.networkUser`) אדמין של פרופיל אבטחה‏ (`roles/networksecurity.securityProfileAdmin`) ברמת הארגון לפרופילי אבטחה ברמת הארגון, וברמת הפרויקט (תצוגה מקדימה) או ברמת הארגון לפרופילי אבטחה

מכסות

כדי לראות את המכסות שמשויכות לפרופילי אבטחה, אפשר לעיין במאמר מכסות ומגבלות.