セキュリティ プロファイルは、 リソースの Google Cloud レイヤ 7 検査ポリシーを定義するのに役立ちます。これは、ファイアウォール エンドポイントがインターセプトしたトラフィックをスキャンし、URL フィルタリング サービスや侵入検知および防止サービスなどのアプリケーション レイヤ サービスを提供するために使用される汎用のポリシー構造です。
このドキュメントでは、セキュリティ プロファイルとその機能について詳しく説明します。
仕様
Cloud Next Generation Firewall は、
URL_FILTERINGタイプとTHREAT_PREVENTIONタイプのセキュリティ プロファイルをサポートしています。各セキュリティ プロファイルは、次の要素を含む URL で一意に識別されます。
- 組織 ID またはプロジェクト ID (プレビュー): ホスト組織またはホスト プロジェクトの ID。
- ロケーション: セキュリティ プロファイルの範囲。ロケーションは常に
globalに設定されます。 - 名前: 次の形式のセキュリティ プロファイル名。
- 1~63 文字の文字列
- 英数字とハイフン(-)のみを使用
- 先頭は数字以外
セキュリティ プロファイルの一意の URL 識別子を作成するには、次の形式を使用します。
- 組織レベルのセキュリティ プロファイルの場合:
organizations/ORGANIZATION_ID/locations/global/securityProfiles/SECURITY_PROFILE_NAMEたとえば、組織
2345678432のセキュリティ プロファイルexample-security-profileの一意の識別子は次のようになります。organizations/2345678432/locations/global/securityProfiles/example-security-profile- プロジェクト レベルのセキュリティ プロファイルの場合(プレビュー):
projects/PROJECT_ID/locations/global/securityProfiles/SECURITY_PROFILE_NAMEたとえば、プロジェクト
my-project-123のセキュリティ プロファイルexample-security-profileの一意の識別子は次のようになります。projects/my-project-123/locations/global/securityProfiles/example-security-profileセキュリティ プロファイルを作成したら、セキュリティ プロファイル グループに手動で関連付けます。 このセキュリティ プロファイル グループは、レイヤ 7 検査を適用する Virtual Private Cloud(VPC)ネットワークのファイアウォール ポリシーから参照されます。
各セキュリティ プロファイルにはプロジェクト ID が関連付けられている必要があります。関連付けられたプロジェクトは、セキュリティ プロファイル リソースに対する割り当てとアクセス制限に使用されます。サービス アカウントを
gcloud auth activate-service-accountコマンドを使用して認証する場合は、 サービス アカウントをセキュリティ プロファイルに関連付けることができます。 セキュリティ プロファイルを作成する詳しい方法については、 脅威防止のセキュリティ プロファイルを作成する および URL フィルタリング セキュリティ プロファイルを作成するをご覧ください。
URL フィルタリング セキュリティ プロファイル
Cloud NGFW は、URL フィルタリング セキュリティ プロファイルを使用して URL フィルタリング サービスを構成します。
URL フィルタリング セキュリティ プロファイルは、1 つ以上の URL フィルタを使用してファイアウォール エンドポイントのセキュリティ ポリシーを定義するセキュリティ プロファイルの一種です。URL フィルタは、一意の優先度とアクションを持つマッチャー文字列のリストです。 マッチャー文字列には、Cloud NGFW が評価対象の HTTP メッセージと照合するドメイン名が含まれています。暗号化されたメッセージの場合、Cloud NGFW は TLS ネゴシエーション中に送信された SNI とマッチャー文字列を照合します。TLS インスペクションを有効にすると、Cloud NGFW はメッセージ ヘッダーを復号し、ホスト ヘッダーも評価します。暗号化されていないトラフィックの場合、Cloud NGFW は常に HTTP メッセージのホスト ヘッダーとマッチャー文字列を比較します。
URL フィルタの優先度は、priority フィールドを使用して指定する一意の値によって決まります。URL フィルタの優先度の値は 0~2147483647 の範囲で指定できます。Cloud NGFW は、数値が小さい順(優先度が高い順)に処理し、一致するものが見つかるまで数値の大きい順に処理します。Cloud NGFW は、URL フィルタリング リスト内の個々のドメインを優先度順に評価しません。
URL フィルタリング セキュリティ プロファイルの作成と管理の詳細については、 URL フィルタリング セキュリティ プロファイルの作成と管理をご覧ください。
URL フィルタリングの構成方法については、 URL フィルタリング サービスを構成するをご覧ください。
脅威防止のセキュリティ プロファイル
Cloud NGFW は、脅威防止セキュリティ プロファイルを使用して 侵入検知および防止サービスを提供します。
THREAT_PREVENTION タイプのセキュリティ プロファイルを作成すると、次の
デフォルトの脅威シグネチャ
が、デフォルトの重大度と関連アクションとともにプロファイルに追加されます。
- 脆弱性検出シグネチャ
- スパイウェア対策シグネチャ
- ウイルス対策シグネチャ
- DNS シグネチャ
脅威防止のセキュリティ プロファイルに重大度のオーバーライドを追加することもできます。デフォルトのシグネチャにはそれぞれ脅威の重大度があります。重大度は、検出された脅威のリスクを示します。各重大度レベルには、デフォルトのアクションが関連付けられています。デフォルトのアクションには、Cloud NGFW が特定の重大度レベルの脅威を処理するために行う対策を指定します。脅威防止のセキュリティ プロファイルを使用すると、重大度レベルのデフォルトのアクションをオーバーライドできます。
次のアクションがサポートされます。
- オーバーライドなし: 脅威に関連付けられたデフォルトのアクションを実行します。
- 拒否: 脅威をログに記録してパケットをドロップします。
- アラート: 脅威をログに記録して、セッションを許可します。
- 許可: 検出された脅威を無視します。
脅威防止のセキュリティ プロファイルを作成すると、すべての重大度レベルのデフォルト オーバーライド アクションが No override に設定されます。
脅威防止のセキュリティ プロファイルにシグネチャのオーバーライドを追加することもできます。それぞれの脅威シグネチャには、デフォルトのアクションが関連付けられています。脅威防止のセキュリティ プロファイルを使用すると、前述のアクションを使用して脅威シグネチャのデフォルト アクションをオーバーライドできます。署名のオーバーライドは、重大度のオーバーライドよりも優先されます。
脅威防止の構成方法については、 侵入検知および防止サービスを構成するをご覧ください。
Identity and Access Management ロール
Identity and Access Management(IAM)ロールは、次のセキュリティ プロファイルのアクションを管理します。
- 組織またはプロジェクトでのセキュリティ プロファイルの作成
- 組織またはプロジェクトでのセキュリティ プロファイルの変更または削除
- 組織またはプロジェクトでのセキュリティ プロファイルの詳細の表示
- 組織またはプロジェクトでのセキュリティ プロファイルのリストの表示
- セキュリティ プロファイル グループでのセキュリティ プロファイルの使用
次の表に、各ステップに必要なロールを示します。
| 機能 | 必要なロール |
|---|---|
| セキュリティ プロファイルを作成する | [Compute Network Admin] (roles/compute.networkAdmin) と [Security Profile Admin] (roles/networksecurity.securityProfileAdmin)(組織レベルのセキュリティ プロファイルの場合は組織レベル、セキュリティ プロファイルの場合はプロジェクト([プレビュー](https://cloud.google.com/products#product-launch-stages))または組織レベル) |
| セキュリティ プロファイルを変更する | [Compute Network Admin] (roles/compute.networkAdmin) と [Security Profile Admin] (roles/networksecurity.securityProfileAdmin)(組織レベルのセキュリティ プロファイルの場合は組織レベル、セキュリティ プロファイルの場合はプロジェクト([プレビュー](https://cloud.google.com/products#product-launch-stages))または組織レベル) |
| セキュリティ プロファイルを削除する | [Compute Network Admin](roles/compute.networkAdmin)組織レベルのセキュリティ プロファイルの場合は組織に対するロール、プロジェクト レベルのセキュリティ プロファイルの場合はプロファイルが存在するプロジェクトに対するロール([プレビュー](https://cloud.google.com/products#product-launch-stages)) |
| 組織のセキュリティ プロファイルの詳細を表示する | 組織に対する次のいずれかのロール: [Compute Network Admin] ( roles/compute.networkAdmin)[Compute Network User] ( roles/compute.networkUser)[Compute Network Viewer] ( roles/compute.networkViewer)[Security Profile Admin] ( roles/networksecurity.securityProfileAdmin) 組織レベルのセキュリティ プロファイルの場合は組織レベル、セキュリティ プロファイルの場合はプロジェクト([プレビュー](https://cloud.google.com/products#product-launch-stages))または組織レベル |
| 組織内のすべてのセキュリティ プロファイルを表示する | 組織に対する次のいずれかのロール: [Compute Network Admin] ( roles/compute.networkAdmin)[Compute Network User] ( roles/compute.networkUser)[Compute Network Viewer] ( roles/compute.networkViewer)[Security Profile Admin] ( roles/networksecurity.securityProfileAdmin) 組織レベルのセキュリティ プロファイルの場合は組織レベル、セキュリティ プロファイルの場合はプロジェクト([プレビュー](https://cloud.google.com/products#product-launch-stages))または組織レベル |
| セキュリティ プロファイル グループでセキュリティ プロファイルを使用する | 組織に対する次のいずれかのロール: [Compute Network Admin] ( roles/compute.networkAdmin)[Compute Network User] ( roles/compute.networkUser)[Security Profile Admin] ( roles/networksecurity.securityProfileAdmin)。組織レベルのセキュリティ プロファイルの場合は組織レベル、セキュリティ プロファイルの場合はプロジェクト([プレビュー](https://cloud.google.com/products#product-launch-stages))または組織レベル |
割り当て
セキュリティ プロファイルに関連付けられた割り当てを表示するには、割り当てと上限をご覧ください。
次のステップ
- URL フィルタリング サービスを構成する
- 侵入検知および防止サービスを構成する
- 脅威防止のセキュリティ プロファイルを作成して管理する
- URL フィルタリング セキュリティ プロファイルを作成して管理する