Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Sicherheitsprofile

Mit Sicherheitsprofilen können Sie die Layer-7-Prüfungsrichtlinie für IhreGoogle Cloud -Ressourcen definieren. Es sind allgemeine Richtlinienstrukturen, die von Firewall-Endpunkten verwendet werden, um abgefangenen Traffic zu scannen und Dienste auf Anwendungsebene bereitzustellen, z. B. den URL-Filterdienst und den Dienst zur Einbruchserkennung und -vermeidung.

In diesem Dokument erhalten Sie eine detaillierte Übersicht über Sicherheitsprofile und ihre Funktionen.

Spezifikationen

Cloud Next Generation Firewall unterstützt Sicherheitsprofile vom Typ URL_FILTERING und THREAT_PREVENTION.
Jedes Sicherheitsprofil wird eindeutig durch eine URL mit den folgenden Elementen identifiziert:
- Organisations-ID oder Projekt-ID (Vorabversion): ID der Hostorganisation oder des Hostprojekts.
- Standort: Geltungsbereich des Sicherheitsprofils. Der Standort ist immer auf global festgelegt.
- Name: Name des Sicherheitsprofils im folgenden Format:
  - Ein String mit 1 bis 63 Zeichen
  - Enthält nur alphanumerische Zeichen oder Bindestriche (-)
  - Darf nicht mit einer Ziffer beginnen
Verwenden Sie das folgende Format, um eine eindeutige URL-ID für ein Sicherheitsprofil zu erstellen:
- Für ein Sicherheitsprofil auf Organisationsebene:
```
organizations/ORGANIZATION_ID/locations/global/securityProfiles/SECURITY_PROFILE_NAME
```
Ein Sicherheitsprofil example-security-profile in der Organisation 2345678432 hat beispielsweise die folgende eindeutige Kennung:
```
organizations/2345678432/locations/global/securityProfiles/example-security-profile
```
- Für ein Sicherheitsprofil auf Projektebene (Vorschau):
```
projects/PROJECT_ID/locations/global/securityProfiles/SECURITY_PROFILE_NAME
```
Ein Sicherheitsprofil example-security-profile im Projekt my-project-123 hat beispielsweise die folgende eindeutige Kennung:
```
projects/my-project-123/locations/global/securityProfiles/example-security-profile
```
Nachdem Sie ein Sicherheitsprofil erstellt haben, müssen Sie es manuell an eine Sicherheitsprofilgruppe anhängen. Diese Sicherheitsprofilgruppe wird von der Firewallrichtlinie des VPC-Netzwerks (Virtual Private Cloud) berücksichtigt, in dem Sie die Layer 7-Prüfung erzwingen möchten.
Jedem Sicherheitsprofil muss eine Projekt-ID zugeordnet sein. Das zugehörige Projekt wird für Kontingente und Zugriffsbeschränkungen für Sicherheitsprofilressourcen verwendet. Wenn Sie Ihr Dienstkonto mit dem Befehl gcloud auth activate-service-account authentifizieren, können Sie Ihr Dienstkonto dem Sicherheitsprofil zuordnen. Weitere Informationen zum Erstellen eines Sicherheitsprofils finden Sie unter Sicherheitsprofil für die Bedrohungsvermeidung erstellen und Sicherheitsprofil für die URL-Filterung erstellen.
Wenn Sie einer Sicherheitsprofilgruppe Sicherheitsprofile hinzufügen, gelten die folgenden Einschränkungen:
- In einer Sicherheitsprofilgruppe auf Organisationsebene kann nur auf Sicherheitsprofile auf Organisationsebene verwiesen werden.
- In einer Sicherheitsprofilgruppe auf Projektebene (Vorschau) kann auf Sicherheitsprofile auf Projektebene (Vorschau) im selben Projekt verwiesen werden.

Sicherheitsprofil für die URL-Filterung

Cloud NGFW verwendet ein Sicherheitsprofil für die URL-Filterung, um den URL-Filterdienst zu konfigurieren.

Ein Sicherheitsprofil für die URL-Filterung ist ein Sicherheitsprofil, in dem ein oder mehrere URL-Filter verwendet werden, um Sicherheitsrichtlinien für die Firewall-Endpunkte zu definieren. Ein URL-Filter ist eine Liste von Abgleichstrings mit einer eindeutigen Priorität und einer Aktion. Abgleichstrings enthalten Domainnamen, die Cloud NGFW mit der ausgewerteten HTTP-Nachricht abgleicht. Bei verschlüsselten Nachrichten vergleicht Cloud NGFW die Abgleichstrings mit der SNI, die während der TLS-Aushandlung gesendet wird. Wenn Sie die TLS-Prüfung aktivieren, entschlüsselt Cloud NGFW den Nachrichtenheader und wertet auch den Hostheader aus. Bei unverschlüsseltem Traffic vergleicht Cloud NGFW die Abgleichstrings immer mit dem Host-Header der HTTP-Nachricht.

Die Priorität eines URL-Filters wird durch den eindeutigen Wert bestimmt, den Sie mit dem Feld priority angeben. Der Prioritätswert eines URL-Filters kann zwischen 0 und 2147483647 liegen. Cloud NGFW verarbeitet zuerst den niedrigsten numerischen Wert (der die höchste Priorität darstellt), gefolgt vom nächsthöheren numerischen Wert, bis eine Übereinstimmung gefunden wird. Cloud NGFW wertet die einzelnen Domains in einer URL-Filterliste nicht in der Reihenfolge ihrer Priorität aus.

Weitere Informationen zum Erstellen und Verwalten von Sicherheitsprofilen für die URL-Filterung finden Sie unter Sicherheitsprofile für die URL-Filterung erstellen und verwalten.

Weitere Informationen zum Konfigurieren der URL-Filterung finden Sie unter URL-Filterdienst konfigurieren.

Sicherheitsprofil für die Bedrohungsvermeidung

Cloud NGFW verwendet Sicherheitsprofile zur Vermeidung von Bedrohungen, um einen Dienst zur Einbruchserkennung und ‑vermeidung bereitzustellen.

Wenn Sie ein Sicherheitsprofil vom Typ THREAT_PREVENTION erstellen, werden dem Profil die folgenden Standardbedrohungssignaturen mit Standardschweregrad und zugehörigen Aktionen hinzugefügt:

Signaturen zur Sicherheitslückenerkennung
Anti-Spyware-Signaturen
Antivirensignaturen
DNS-Signaturen

Sie haben die Möglichkeit, Ihren Sicherheitsprofilen zum Schutz vor Bedrohungen Überschreibungen für Schweregrade hinzuzufügen. Jede Standardsignatur hat einen Bedrohungsschweregrad. Der Schweregrad gibt das Risiko der erkannten Bedrohung an. Jedem Schweregrad ist auch eine Standardaktion zugeordnet. Die Standardaktion gibt die Maßnahmen an, die Cloud NGFW ergreift, um Bedrohungen mit einem bestimmten Schweregrad zu behandeln. Sie können Sicherheitsprofile zur Bedrohungsvermeidung verwenden, um die Standardaktion für einen Schweregrad zu überschreiben.

Die folgenden Aktionen werden unterstützt:

Keine Überschreibung: Die Standardaktion wird für die Bedrohung ausgeführt.
Ablehnen: Protokolliert die Bedrohung und verwirft das Paket
Benachrichtigen: Protokolliert die Bedrohung und lässt die Sitzung zu
Zulassen: Bedrohung wird ignoriert, wenn sie erkannt wird

Wenn Sie ein Sicherheitsprofil zur Bedrohungsvermeidung erstellen, wird die Standardüberschreibungsaktion für alle Schweregrade auf No override festgelegt.

Sie können Ihren Sicherheitsprofilen zur Bedrohungsvermeidung auch Signaturüberschreibungen hinzufügen. Jeder Bedrohungssignatur ist eine Standardaktion zugeordnet. Sie können Sicherheitsprofile zur Bedrohungsvermeidung verwenden, um die Standardaktionen der Bedrohungssignaturen mit den vorherigen Aktionen zu überschreiben. Signaturüberschreibungen haben Vorrang vor Schweregradüberschreibungen.

Weitere Informationen zum Konfigurieren der Bedrohungsvermeidung finden Sie unter Dienst zur Einbruchserkennung und ‑prävention konfigurieren.

Identitäts- und Zugriffsverwaltungsrollen

IAM-Rollen (Identity and Access Management) regeln die Aktionen von Sicherheitsprofilen:

Sicherheitsprofil in einer Organisation oder einem Projekt erstellen
Sicherheitsprofil in einer Organisation oder einem Projekt ändern oder löschen
Details eines Sicherheitsprofils in einer Organisation oder einem Projekt ansehen
Liste der Sicherheitsprofile in einer Organisation oder einem Projekt ansehen
Sicherheitsprofil in einer Sicherheitsprofilgruppe verwenden

In der folgenden Tabelle werden die Rollen beschrieben, die für jeden Schritt erforderlich sind.

Funktion	Erforderliche Rolle
Sicherheitsprofil erstellen	Compute-Netzwerkadministrator (`roles/compute.networkAdmin`) und Administrator von Sicherheitsprofilen (`roles/networksecurity.securityProfileAdmin`) auf Organisationsebene für Sicherheitsprofile auf Organisationsebene und entweder auf Projekt- ([Vorschau](https://cloud.google.com/products#product-launch-stages)) oder Organisationsebene für Sicherheitsprofile
Sicherheitsprofil ändern	Compute-Netzwerkadministrator (`roles/compute.networkAdmin`) und Administrator von Sicherheitsprofilen (`roles/networksecurity.securityProfileAdmin`) auf Organisationsebene für Sicherheitsprofile auf Organisationsebene und entweder auf Projekt- ([Vorschau](https://cloud.google.com/products#product-launch-stages)) oder Organisationsebene für Sicherheitsprofile
Sicherheitsprofil löschen	Rolle Compute-Netzwerkadministrator (`roles/compute.networkAdmin`) für die Organisation für Sicherheitsprofile auf Organisationsebene und für das Projekt für Sicherheitsprofile auf Projektebene ([Vorabversion](https://cloud.google.com/products#product-launch-stages)), in dem das Profil vorhanden ist.
Details zum Sicherheitsprofil in einer Organisation ansehen	Eine der folgenden Rollen für die Organisation: Compute Network Admin (`roles/compute.networkAdmin`) Compute Network User (`roles/compute.networkUser`) Compute Network Viewer (`roles/compute.networkViewer`) Security Profile Admin (`roles/networksecurity.securityProfileAdmin`) auf Organisationsebene für Sicherheitsprofile auf Organisationsebene und entweder auf Projekt- ([Preview](https://cloud.google.com/products#product-launch-stages)) oder Organisationsebene für Sicherheitsprofile
Alle Sicherheitsprofile in einer Organisation ansehen	Eine der folgenden Rollen für die Organisation: Compute Network Admin (`roles/compute.networkAdmin`) Compute Network User (`roles/compute.networkUser`) Compute Network Viewer (`roles/compute.networkViewer`) Security Profile Admin (`roles/networksecurity.securityProfileAdmin`) auf Organisationsebene für Sicherheitsprofile auf Organisationsebene und entweder auf Projekt- ([Preview](https://cloud.google.com/products#product-launch-stages)) oder Organisationsebene für Sicherheitsprofile
Sicherheitsprofil in einer Sicherheitsprofilgruppe verwenden	Eine der folgenden Rollen für die Organisation: Compute-Netzwerkadministrator (`roles/compute.networkAdmin`) Compute-Netzwerknutzer (`roles/compute.networkUser`) Administrator für Sicherheitsprofile (`roles/networksecurity.securityProfileAdmin`) auf Organisationsebene für Sicherheitsprofile auf Organisationsebene und entweder auf Projekt- ([Vorschau](https://cloud.google.com/products#product-launch-stages)) oder Organisationsebene für Sicherheitsprofile

Kontingente

Informationen zu Kontingenten für Sicherheitsprofile finden Sie unter Kontingente und Limits.

Preise

Die Preise für Sicherheitsprofile werden unter Cloud NGFW-Preise beschrieben.