安全性設定檔總覽

安全設定檔可協助您為資源定義第 7 層檢查政策。Google Cloud 這些是防火牆端點使用的通用政策結構,可掃描攔截的流量,提供應用程式層服務,例如網址篩選服務和入侵偵測與防範服務。

本文件詳細說明安全設定檔及其功能。

規格

  • Cloud Next Generation Firewall 支援下列類型的安全防護設定檔:

    • URL_FILTERING
    • THREAT_PREVENTION
  • 安全設定檔是一種資源,您可以在機構或專案層級設定。

    • 機構層級安全性設定檔:使用這個設定檔建立及管理機構層級和專案層級的防火牆端點。

    • 專案層級安全設定檔:使用這個設定檔在同一專案中建立及管理專案層級的防火牆端點。

  • 安全設定檔名稱的設定格式如下:

    • 機構層級

      organizations/ORGANIZATION_ID/locations/global/securityProfiles/NAME
      
    • 專案層級

      projects/PROJECT_ID/locations/global/securityProfiles/NAME
      

    安全性設定檔的 NAME 必須符合下列規定:

    • 長度介於 1 至 63 個字元的字串
    • 只能包含小寫英數字元或連字號 (-)
    • 開頭須為英文字母

    範例:

    • 機構層級安全設定檔

      organizations/2345678432/locations/global/securityProfiles/example-security-profile
      
    • 專案層級安全性設定檔

      projects/my-project-123/locations/global/securityProfiles/example-security-profile
      

    如果您使用安全設定檔名稱的專屬網址 ID,網址會包含機構或專案和位置。如果只指定名稱,使用 gcloud 指令時,必須分別提供機構 ID 或專案 ID 和位置。

  • 建立安全性設定檔後,請手動將其附加至安全性設定檔群組。您要強制執行第 7 層檢查的虛擬私有雲 (VPC) 網路防火牆政策,會參照這個安全性設定檔群組。

  • 每個安全性設定檔都必須有相關聯的專案 ID。相關聯的專案會用於安全設定檔資源的配額和存取限制。如果您使用 gcloud auth activate-service-account 指令驗證服務帳戶,可以將服務帳戶與安全性設定檔建立關聯。如要進一步瞭解如何建立安全性設定檔,請參閱「建立威脅防範安全性設定檔」和「建立網址篩選安全性設定檔」。

  • 將安全性設定檔新增至安全性設定檔群組時,適用下列限制:

    • 機構層級的安全性設定檔群組只能參照機構層級的安全性設定檔。
    • 專案層級安全設定檔群組可以參照同一專案中的專案層級安全設定檔。

網址篩選安全性設定檔

Cloud NGFW 會使用網址篩選安全性設定檔,設定網址篩選服務

網址篩選安全性設定檔是一種安全性設定檔,會使用一或多個網址篩選器,為防火牆端點定義安全性政策。網址篩選器是比對字串清單,具有專屬優先順序和動作。比對字串包含網域名稱,Cloud NGFW 會依據這類字串,比對正在評估的 HTTP 訊息,如果是加密郵件,Cloud NGFW 會根據 TLS 協商期間傳送的 SNI,檢查比對字串。啟用 TLS 檢查功能後,Cloud NGFW 會解密訊息標頭,並評估主機標頭。對於未加密的流量,Cloud NGFW 一律會比對比對字串與 HTTP 訊息的主機標頭。

網址篩選器的優先順序取決於您使用 priority 欄位指定的專屬值。網址篩選器的優先順序值範圍為 02147483647。Cloud NGFW 會先處理最低的數值 (代表最高優先順序),然後依序處理較高的數值,直到找到相符項目為止。Cloud NGFW 不會依優先順序評估網址篩選清單中的個別網域。

如要進一步瞭解如何建立及管理網址篩選安全性設定檔,請參閱「建立及管理網址篩選安全性設定檔」。

如要進一步瞭解如何設定網址篩選,請參閱「設定網址篩選服務」。

威脅防護安全性設定檔

Cloud NGFW 會使用威脅防範安全性設定檔,提供入侵偵測與防範服務

建立 THREAT_PREVENTION 類型的安全性設定檔時,系統會將下列預設威脅簽章連同預設嚴重程度和相關聯的動作新增至設定檔:

  • 安全漏洞偵測簽章
  • 反間諜軟體特徵
  • 防毒特徵碼
  • DNS 簽章

您可以選擇在威脅防護安全設定檔中新增嚴重程度覆寫。每個預設簽章都有威脅嚴重程度。嚴重程度代表偵測到的威脅風險。每個嚴重程度等級也都有相關聯的預設動作。預設動作會指定 Cloud NGFW 採取哪些措施,處理特定嚴重程度的威脅。您可以透過威脅防護安全設定檔,覆寫嚴重程度的預設動作。

支援的動作如下:

  • 不覆寫:執行與威脅相關聯的預設動作。
  • 拒絕:記錄威脅並捨棄封包。
  • 警示:記錄威脅並允許工作階段。
  • 允許:忽略偵測到的威脅。

建立威脅防護安全設定檔時,所有嚴重程度的預設覆寫動作都會設為 No override

您也可以在威脅防護安全設定檔中新增簽章覆寫。每個威脅特徵碼都有相關聯的預設動作。您可以透過威脅防護安全設定檔,使用上述動作覆寫威脅簽章的預設動作。簽章覆寫動作的優先順序高於嚴重程度覆寫動作。

如要進一步瞭解如何設定威脅防護功能,請參閱「設定入侵偵測和防護服務」。

身分與存取權管理角色

Identity and Access Management (IAM) 角色會控管下列安全性設定檔動作:

  • 在機構或專案中建立安全設定檔
  • 在機構或專案中修改或刪除安全性設定檔
  • 查看機構或專案中安全性設定檔的詳細資料
  • 查看機構或專案中的安全性設定檔清單
  • 在安全性設定檔群組中使用安全性設定檔

下表說明每個步驟所需的角色。

能力 必要角色
建立安全性設定檔 下列任一角色:
  • Compute 網路管理員 (roles/compute.networkAdmin)
  • 安全設定檔管理員 (roles/networksecurity.securityProfileAdmin): 機構層級安全設定檔的機構層級權限,以及專案層級安全設定檔的專案層級或機構層級權限
修改安全性設定檔 下列任一角色:
  • Compute 網路管理員 (roles/compute.networkAdmin)
  • 安全設定檔管理員 (roles/networksecurity.securityProfileAdmin): 機構層級安全設定檔的機構層級權限,以及專案層級安全設定檔的專案層級或機構層級權限
刪除安全性設定檔 下列任一角色:
  • Compute 網路管理員 (roles/compute.networkAdmin)
  • 安全設定檔管理員 (roles/networksecurity.securityProfileAdmin): 機構層級安全設定檔的機構層級權限,以及專案層級安全設定檔的專案層級或機構層級權限
查看安全性設定檔的詳細資料 下列任一角色:
查看機構中的所有安全設定檔 下列任一角色:
在安全性設定檔群組中使用安全性設定檔 下列任一角色:

配額

如要查看與安全性設定檔相關聯的配額,請參閱「配額與限制」。

後續步驟