セキュリティ プロファイルは、Google Cloud リソースのレイヤ 7 検査ポリシーを定義するのに役立ちます。これは、ファイアウォール エンドポイントがインターセプトしたトラフィックをスキャンし、URL フィルタリング サービスや侵入検知および防止サービスなどのアプリケーション レイヤ サービスを提供するために使用される汎用のポリシー構造です。
このドキュメントでは、セキュリティ プロファイルとその機能について詳しく説明します。
仕様
Cloud Next Generation Firewall は、次のタイプのセキュリティ プロファイルをサポートしています。
URL_FILTERINGTHREAT_PREVENTION
セキュリティ プロファイルは、組織レベルまたはプロジェクト レベルで構成できるリソースです。
組織レベルのセキュリティ プロファイル: このプロファイルを使用して、組織レベルとプロジェクト レベルのファイアウォール エンドポイントを作成して管理します。
プロジェクト レベルのセキュリティ プロファイル: このプロファイルを使用して、同じプロジェクトでプロジェクト レベルのファイアウォール エンドポイントを作成して管理します。
セキュリティ プロファイルの名前は、次の URL 識別子形式で構成されます。
組織レベル:
organizations/ORGANIZATION_ID/locations/global/securityProfiles/NAMEプロジェクト レベル:
projects/PROJECT_ID/locations/global/securityProfiles/NAME
セキュリティ プロファイルの
NAMEは、次の要件を満たしている必要があります。- 1 ~ 63 文字の文字列
- 小文字の英数字またはハイフン(-)のみを使用している
- 文字で始まる
例:
組織レベルのセキュリティ プロファイル:
organizations/2345678432/locations/global/securityProfiles/example-security-profileプロジェクト レベルのセキュリティ プロファイル:
projects/my-project-123/locations/global/securityProfiles/example-security-profile
セキュリティ プロファイル名に一意の URL 識別子を使用する場合、URL には組織またはプロジェクトとロケーションが含まれます。名前のみを指定する場合は、
gcloudコマンドを使用するときに、組織 ID またはプロジェクト ID とロケーションを個別に指定する必要があります。セキュリティ プロファイルを作成したら、セキュリティ プロファイル グループに手動で関連付けます。このセキュリティ プロファイル グループは、レイヤ 7 検査を適用する Virtual Private Cloud(VPC)ネットワークのファイアウォール ポリシーから参照されます。
各セキュリティ プロファイルにはプロジェクト ID が関連付けられている必要があります。関連付けられたプロジェクトは、セキュリティ プロファイル リソースに対する割り当てとアクセス制限に使用されます。
gcloud auth activate-service-accountコマンドを使用してサービス アカウントを認証する場合は、サービス アカウントをセキュリティ プロファイルに関連付けることができます。セキュリティ プロファイルを作成する方法については、脅威防止セキュリティ プロファイルを作成すると URL フィルタリング セキュリティ プロファイルを作成するをご覧ください。セキュリティ プロファイル グループにセキュリティ プロファイルを追加する場合は、次の制約が適用されます。
- 組織レベルのセキュリティ プロファイル グループは、組織レベルのセキュリティ プロファイルのみを参照できます。
- プロジェクト レベルのセキュリティ プロファイル グループは、同じプロジェクト内のプロジェクト レベルのセキュリティ プロファイルを参照できます。
URL フィルタリング セキュリティ プロファイル
Cloud NGFW は、URL フィルタリング セキュリティ プロファイルを使用して URL フィルタリング サービスを構成します。
URL フィルタリング セキュリティ プロファイルは、1 つ以上の URL フィルタを使用してファイアウォール エンドポイントのセキュリティ ポリシーを定義するセキュリティ プロファイルの一種です。URL フィルタは、一意の優先度とアクションを持つマッチャー文字列のリストです。マッチャー文字列には、Cloud NGFW が評価対象の HTTP メッセージと照合するドメイン名が含まれています。暗号化されたメッセージの場合、Cloud NGFW は TLS ネゴシエーション中に送信された SNI に対してマッチャー文字列を照合します。TLS インスペクションを有効にすると、Cloud NGFW はメッセージ ヘッダーを復号し、ホスト ヘッダーも評価します。暗号化されていないトラフィックの場合、Cloud NGFW は常にマッチャー文字列と HTTP メッセージのホスト ヘッダーを比較します。
URL フィルタの優先度は、priority フィールドを使用して指定する一意の値によって決まります。URL フィルタの優先度値は 0~2147483647 の範囲で指定できます。Cloud NGFW は、数値が最も小さい(優先度が最も高い)ルールから順に、一致するルールが見つかるまで処理します。Cloud NGFW は、URL フィルタリング リスト内の個々のドメインを優先順位に従って評価しません。
URL フィルタリング セキュリティ プロファイルの作成と管理の詳細については、URL フィルタリング セキュリティ プロファイルの作成と管理をご覧ください。
URL フィルタリングの構成方法については、URL フィルタリング サービスを構成するをご覧ください。
脅威防止のセキュリティ プロファイル
Cloud NGFW は、脅威防止セキュリティ プロファイルを使用して侵入検知および防止サービスを提供します。
THREAT_PREVENTION タイプのセキュリティ プロファイルを作成すると、次のデフォルトの脅威シグネチャが、デフォルトの重大度と関連アクションとともにプロファイルに追加されます。
- 脆弱性検出シグネチャ
- スパイウェア対策シグネチャ
- ウイルス対策シグネチャ
- DNS シグネチャ
脅威防止セキュリティ プロファイルに重大度のオーバーライドを追加することもできます。デフォルトのシグネチャにはそれぞれ脅威の重大度があります。重大度は、検出された脅威のリスクを示します。各重大度レベルには、デフォルトのアクションが関連付けられています。デフォルトのアクションには、Cloud NGFW が特定の重大度レベルの脅威を処理するために行う対策を指定します。脅威防止セキュリティ プロファイルを使用すると、重大度レベルのデフォルトのアクションをオーバーライドできます。
次のアクションがサポートされます。
- オーバーライドなし: 脅威に関連付けられたデフォルトのアクションを実行します。
- 拒否: 脅威をログに記録してパケットをドロップします。
- アラート: 脅威をログに記録して、セッションを許可します。
- 許可: 検出された脅威を無視します。
脅威防止のセキュリティ プロファイルを作成すると、すべての重大度レベルのデフォルト オーバーライド アクションが No override に設定されます。
脅威防止セキュリティ プロファイルにシグネチャのオーバーライドを追加することもできます。それぞれの脅威シグネチャには、デフォルトのアクションが関連付けられています。脅威防止セキュリティ プロファイルを使用すると、前述のアクションを使用して脅威シグネチャのデフォルト アクションをオーバーライドできます。署名のオーバーライドは、重大度のオーバーライドよりも優先されます。
脅威防止の構成方法については、侵入検知サービスと侵入防止サービスを構成するをご覧ください。
Identity and Access Management ロール
Identity and Access Management(IAM)ロールは、次のセキュリティ プロファイルのアクションを管理します。
- 組織またはプロジェクトでのセキュリティ プロファイルの作成
- 組織またはプロジェクトでのセキュリティ プロファイルの変更または削除
- 組織またはプロジェクトのセキュリティ プロファイルの詳細を表示する
- 組織またはプロジェクト内のセキュリティ プロファイルのリストを表示する
- セキュリティ プロファイル グループでのセキュリティ プロファイルの使用
次の表に、各ステップに必要なロールを示します。
| 機能 | 必要なロール |
|---|---|
| セキュリティ プロファイルを作成する |
次のいずれかのロール:
|
| セキュリティ プロファイルを変更する |
次のいずれかのロール:
|
| セキュリティ プロファイルを削除する |
次のいずれかのロール:
|
| セキュリティ プロファイルの詳細を表示する |
次のいずれかのロール:
|
| 組織内のすべてのセキュリティ プロファイルを表示する |
次のいずれかのロール:
|
| セキュリティ プロファイル グループでセキュリティ プロファイルを使用する |
次のいずれかのロール:
|
割り当て
セキュリティ プロファイルに関連付けられた割り当てを表示するには、割り当てと上限をご覧ください。