安全配置文件概览

安全配置文件可帮助您为 Google Cloud 资源定义第 7 层检查政策。它们是通用政策结构,防火墙端点使用它们来扫描拦截的流量以提供应用层服务,例如网址过滤服务以及入侵检测与防御服务。

本文档详细介绍了安全配置文件及其功能。

规格

  • Cloud Next Generation Firewall 支持 URL_FILTERINGTHREAT_PREVENTION 类型的安全配置文件。

  • 每个安全配置文件都由包含以下元素的网址唯一标识:

    • 组织 ID项目 ID预览版):宿主组织或宿主项目的 ID。
    • 位置 :安全配置文件的范围。位置始终设置为 global
    • 名称:安全配置文件名称,格式如下:
      • 长度为 1-63 个字符的字符串
      • 仅包含字母数字字符或连字符 (-)
      • 不能以数字开头

  • 如需为安全配置文件组构建唯一的网址标识符,请使用以下格式:

    • 对于组织级安全配置文件:
    organizations/ORGANIZATION_ID/locations/global/securityProfiles/SECURITY_PROFILE_NAME

    例如,组织 2345678432 中的安全配置文件 example-security-profile 具有以下唯一标识符:

    organizations/2345678432/locations/global/securityProfiles/example-security-profile
    • 对于项目级安全配置文件 (预览版):
    projects/PROJECT_ID/locations/global/securityProfiles/SECURITY_PROFILE_NAME

    例如,项目 my-project-123 中的安全配置文件 example-security-profile 具有以下唯一标识符:

    projects/my-project-123/locations/global/securityProfiles/example-security-profile

  • 创建安全配置文件后,请手动将其附加到 安全配置文件组。此安全配置文件组由您要强制执行第 7 层检查的 Virtual Private Cloud (VPC) 网络的防火墙政策引用。

  • 每个安全配置文件都必须具有关联的项目 ID。关联项目用于安全配置文件资源的配额和访问权限限制。如果您使用 gcloud auth activate-service-account命令对您的服务帐号进行身份验证, 则可以将您的服务帐号与安全配置文件相关联。 如需详细了解如何创建安全配置文件, 请参阅创建威胁防护安全配置文件创建网址过滤安全配置文件

  • 将安全配置文件添加到安全配置文件 组时,适用以下 限制:

    • 组织级安全配置文件组只能引用组织级安全配置文件。
    • 项目级安全配置文件组 (预览版) 可以引用同一项目中的项目级 安全配置文件 (预览版)。

网址过滤安全配置文件

Cloud NGFW 使用网址过滤安全配置文件来配置 网址过滤服务

网址过滤安全配置文件是一种安全配置文件,它使用一个或多个网址过滤条件为防火墙端点定义安全政策。网址过滤条件是包含唯一优先级和操作的匹配器字符串列表。 匹配器字符串包含 Cloud NGFW 与正在评估的 HTTP 消息进行匹配的域名。对于加密的消息,Cloud NGFW 会根据 TLS 协商期间发送的 SNI 检查匹配器字符串。如果您启用 TLS 检查,Cloud NGFW 会解密消息标头,并评估主机标头。对于未加密的流量,Cloud NGFW 始终将匹配器字符串与 HTTP 消息的主机标头进行比较。

网址过滤条件的优先级由您使用 priority 字段指定的唯一值决定。网址过滤条件的优先级值介于 02147483647 之间。Cloud NGFW 会先处理数值最小的值(表示最高优先级),然后处理下一个数值较高的值,直到找到匹配项。Cloud NGFW 不会按优先级顺序评估网址过滤列表中的各个网域。

如需详细了解如何创建和管理网址过滤安全配置文件, 请参阅创建和管理网址过滤安全配置文件

如需详细了解如何配置网址过滤,请参阅 配置网址过滤服务

威胁防护安全配置文件

Cloud NGFW 使用威胁防护安全配置文件来提供 入侵检测与防御服务

当您创建 THREAT_PREVENTION 类型的安全配置文件时,系统会将具有默认严重级别和关联操作的以下 默认威胁签名 添加到配置文件中:

  • 漏洞检测签名
  • 反间谍软件签名
  • 防病毒签名
  • DNS 签名

您可以选择向威胁防护安全配置文件添加严重级别替换项。每个 默认签名都有一个威胁严重级别。 严重级别表示检测到的威胁的风险。每个严重级别还具有一个关联的默认操作。默认操作指定 Cloud NGFW 处理具有特定严重级别的威胁所采取的措施。您可以使用威胁防护安全配置文件来替换严重级别的默认操作。

系统支持以下操作:

  • 无替换:执行与威胁关联的默认操作。
  • 拒绝:记录威胁并丢弃数据包。
  • 提醒:记录威胁并允许会话。
  • 允许:检测到威胁时忽略威胁。

创建威胁防护安全配置文件时,所有 严重级别的默认替换操作均设置为No override

您还可以向威胁防护安全配置文件添加签名替换项。每个威胁签名都有一个关联的默认操作。您可以按照上述操作,使用威胁防护安全配置文件替换威胁签名的默认操作。签名替换项优先于严重级别替换项。

如需详细了解如何配置威胁防护,请参阅 配置入侵检测与防御服务

Identity and Access Management 角色

Identity and Access Management (IAM) 角色控制以下安全配置文件操作:

  • 在组织或项目中创建安全配置文件
  • 在组织或项目中修改或删除安全配置文件
  • 查看组织或项目中安全配置文件的详细信息
  • 查看组织或项目中安全配置文件的列表
  • 使用安全配置文件组中的安全配置文件

下表介绍了每个步骤所需的角色。

特性 必要角色
创建安全配置文件 对于组织级安全配置文件,组织级 Compute Network Admin (roles/compute.networkAdmin) 和 Security Profile Admin (roles/networksecurity.securityProfileAdmin);对于安全配置文件,项目级([预览版](https://cloud.google.com/products#product-launch-stages))或组织级
修改安全配置文件 对于组织级安全配置文件,组织级 Compute Network Admin (roles/compute.networkAdmin) 和 Security Profile Admin (roles/networksecurity.securityProfileAdmin);对于安全配置文件,项目级([预览版](https://cloud.google.com/products#product-launch-stages))或组织级
删除安全配置文件 对于组织级安全配置文件,组织级 Compute Network Admin (roles/compute.networkAdmin) 角色;对于项目级安全配置文件([预览版](https://cloud.google.com/products#product-launch-stages)),项目级 Compute Network Admin (roles/compute.networkAdmin) 角色(配置文件存在于该项目中)。
查看组织中安全配置文件的详细信息 组织的以下角色之一:
Compute Network Admin (roles/compute.networkAdmin)
Compute Network User (roles/compute.networkUser)
Compute Network Viewer (roles/compute.networkViewer)
对于组织级安全配置文件,组织级 Security Profile Admin (roles/networksecurity.securityProfileAdmin);对于安全配置文件,项目级([预览版](https://cloud.google.com/products#product-launch-stages))或组织级
查看组织中的所有安全配置文件 组织的以下角色之一:
Compute Network Admin (roles/compute.networkAdmin)
Compute Network User (roles/compute.networkUser)
Compute Network Viewer (roles/compute.networkViewer)
对于组织级安全配置文件,组织级 Security Profile Admin (roles/networksecurity.securityProfileAdmin);对于安全配置文件,项目级([预览版](https://cloud.google.com/products#product-launch-stages))或组织级
使用安全配置文件组中的安全配置文件 组织的以下角色之一:
Compute Network Admin (roles/compute.networkAdmin)
Compute Network User (roles/compute.networkUser)
对于组织级安全配置文件,组织级 Security Profile Admin (roles/networksecurity.securityProfileAdmin);对于安全配置文件,项目级([预览版](https://cloud.google.com/products#product-launch-stages))或组织级

配额

如需查看与安全配置文件关联的配额,请参阅配额和限制

后续步骤