Sicherheitsprofile

Mit Sicherheitsprofilen können Sie die Layer-7-Prüfungsrichtlinie für IhreGoogle Cloud -Ressourcen definieren. Es sind allgemeine Richtlinienstrukturen, die von Firewall-Endpunkten verwendet werden, um abgefangenen Traffic zu scannen und Dienste auf Anwendungsebene bereitzustellen, z. B. den URL-Filterdienst und den Dienst zur Einbruchserkennung und -vermeidung.

In diesem Dokument erhalten Sie eine detaillierte Übersicht über Sicherheitsprofile und ihre Funktionen.

Spezifikationen

  • Cloud Next Generation Firewall unterstützt die folgenden Arten von Sicherheitsprofilen:

    • URL_FILTERING
    • THREAT_PREVENTION
  • Ein Sicherheitsprofil ist eine Ressource, die Sie auf Organisations- oder Projektebene konfigurieren können.

    • Sicherheitsprofil auf Organisationsebene: Mit diesem Profil können Sie Firewall-Endpunkte auf Organisations- und Projektebene erstellen und verwalten.

    • Sicherheitsprofil auf Projektebene:Mit diesem Profil können Sie Firewall-Endpunkte auf Projektebene im selben Projekt erstellen und verwalten.

  • Der Name eines Sicherheitsprofils wird im folgenden URL-ID-Format konfiguriert:

    • Organisationsebene:

      organizations/ORGANIZATION_ID/locations/global/securityProfiles/NAME
      
    • Auf Projektebene:

      projects/PROJECT_ID/locations/global/securityProfiles/NAME
      

    Die NAME des Sicherheitsprofils muss die folgenden Anforderungen erfüllen:

    • Ein String mit 1 bis 63 Zeichen
    • Enthält nur kleingeschriebene alphanumerische Zeichen oder Bindestriche (-)
    • Beginnt mit einem Buchstaben

    Beispiele:

    • Sicherheitsprofil auf Organisationsebene:

      organizations/2345678432/locations/global/securityProfiles/example-security-profile
      
    • Sicherheitsprofil auf Projektebene:

      projects/my-project-123/locations/global/securityProfiles/example-security-profile
      

    Wenn Sie die eindeutige URL-ID für den Namen des Sicherheitsprofils verwenden, enthält die URL die Organisation oder das Projekt und den Standort. Wenn Sie nur den Namen angeben, müssen Sie die Organisations-ID oder die Projekt-ID und den Standort separat angeben, wenn Sie gcloud-Befehle verwenden.

  • Nachdem Sie ein Sicherheitsprofil erstellt haben, hängen Sie es manuell an eine Sicherheitsprofilgruppe an. Diese Sicherheitsprofilgruppe wird von der Firewallrichtlinie des VPC-Netzwerks (Virtual Private Cloud) berücksichtigt, in dem Sie die Layer 7-Prüfung erzwingen möchten.

  • Jedem Sicherheitsprofil muss eine Projekt-ID zugeordnet sein. Das zugehörige Projekt wird für Kontingente und Zugriffsbeschränkungen für Sicherheitsprofilressourcen verwendet. Wenn Sie Ihr Dienstkonto mit dem Befehl gcloud auth activate-service-account authentifizieren, können Sie Ihr Dienstkonto dem Sicherheitsprofil zuordnen. Weitere Informationen zum Erstellen eines Sicherheitsprofils finden Sie unter Sicherheitsprofil für die Bedrohungsvermeidung erstellen und Sicherheitsprofil für die URL-Filterung erstellen.

  • Wenn Sie einer Sicherheitsprofilgruppe Sicherheitsprofile hinzufügen, gelten die folgenden Einschränkungen:

    • In einer Sicherheitsprofilgruppe auf Organisationsebene kann nur auf Sicherheitsprofile auf Organisationsebene verwiesen werden.
    • In einer Sicherheitsprofilgruppe auf Projektebene kann auf Sicherheitsprofile auf Projektebene im selben Projekt verwiesen werden.

Sicherheitsprofil für die URL-Filterung

Cloud NGFW verwendet ein Sicherheitsprofil für die URL-Filterung, um den URL-Filterdienst zu konfigurieren.

Ein Sicherheitsprofil für die URL-Filterung ist ein Sicherheitsprofil, in dem ein oder mehrere URL-Filter verwendet werden, um Sicherheitsrichtlinien für die Firewall-Endpunkte zu definieren. Ein URL-Filter ist eine Liste von Abgleichstrings mit einer eindeutigen Priorität und einer Aktion. Abgleichstrings enthalten Domainnamen, die Cloud NGFW mit der ausgewerteten HTTP-Nachricht abgleicht. Bei verschlüsselten Nachrichten vergleicht Cloud NGFW die Abgleichstrings mit der SNI, die während der TLS-Aushandlung gesendet wird. Wenn Sie die TLS-Prüfung aktivieren, entschlüsselt Cloud NGFW den Nachrichtenheader und wertet auch den Hostheader aus. Bei unverschlüsseltem Traffic vergleicht Cloud NGFW die Abgleichstrings immer mit dem Host-Header der HTTP-Nachricht.

Die Priorität eines URL-Filters wird durch den eindeutigen Wert bestimmt, den Sie mit dem Feld priority angeben. Der Prioritätswert eines URL-Filters kann zwischen 0 und 2147483647 liegen. Cloud NGFW verarbeitet zuerst den niedrigsten numerischen Wert (der die höchste Priorität darstellt), gefolgt vom nächsthöheren numerischen Wert, bis eine Übereinstimmung gefunden wird. Cloud NGFW wertet die einzelnen Domains in einer URL-Filterliste nicht in der Reihenfolge ihrer Priorität aus.

Weitere Informationen zum Erstellen und Verwalten von Sicherheitsprofilen für die URL-Filterung finden Sie unter Sicherheitsprofile für die URL-Filterung erstellen und verwalten.

Weitere Informationen zum Konfigurieren der URL-Filterung finden Sie unter URL-Filterdienst konfigurieren.

Sicherheitsprofil für die Bedrohungsvermeidung

Cloud NGFW verwendet Sicherheitsprofile zur Vermeidung von Bedrohungen, um einen Dienst zur Einbruchserkennung und ‑vermeidung bereitzustellen.

Wenn Sie ein Sicherheitsprofil vom Typ THREAT_PREVENTION erstellen, werden dem Profil die folgenden Standardbedrohungssignaturen mit Standardschweregrad und zugehörigen Aktionen hinzugefügt:

  • Signaturen zur Sicherheitslückenerkennung
  • Anti-Spyware-Signaturen
  • Antivirensignaturen
  • DNS-Signaturen

Sie haben die Möglichkeit, Ihren Sicherheitsprofilen zum Schutz vor Bedrohungen Überschreibungen für Schweregrade hinzuzufügen. Jede Standardsignatur hat einen Bedrohungsschweregrad. Der Schweregrad gibt das Risiko der erkannten Bedrohung an. Jedem Schweregrad ist auch eine Standardaktion zugeordnet. Die Standardaktion gibt die Maßnahmen an, die Cloud NGFW ergreift, um Bedrohungen mit einem bestimmten Schweregrad zu behandeln. Sie können Sicherheitsprofile zur Bedrohungsabwehr verwenden, um die Standardaktion für einen Schweregrad zu überschreiben.

Die folgenden Aktionen werden unterstützt:

  • Keine Überschreibung: Die Standardaktion wird für die Bedrohung ausgeführt.
  • Ablehnen: Protokolliert die Bedrohung und verwirft das Paket
  • Benachrichtigen: Protokolliert die Bedrohung und lässt die Sitzung zu
  • Zulassen: Bedrohung wird ignoriert, wenn sie erkannt wird

Wenn Sie ein Sicherheitsprofil zur Bedrohungsvermeidung erstellen, wird die Standardüberschreibungsaktion für alle Schweregrade auf No override festgelegt.

Sie können Ihren Sicherheitsprofilen zur Bedrohungsvermeidung auch Signaturüberschreibungen hinzufügen. Jeder Bedrohungssignatur ist eine Standardaktion zugeordnet. Sie können Sicherheitsprofile zur Bedrohungsvermeidung verwenden, um die Standardaktionen der Bedrohungssignaturen mit den vorherigen Aktionen zu überschreiben. Signaturüberschreibungen haben Vorrang vor Schweregradüberschreibungen.

Weitere Informationen zum Konfigurieren der Bedrohungsvermeidung finden Sie unter Dienst zur Einbruchserkennung und ‑prävention konfigurieren.

Identitäts- und Zugriffsverwaltungsrollen

IAM-Rollen (Identity and Access Management) regeln die folgenden Aktionen für Sicherheitsprofile:

  • Sicherheitsprofil in einer Organisation oder einem Projekt erstellen
  • Sicherheitsprofil in einer Organisation oder einem Projekt ändern oder löschen
  • Details eines Sicherheitsprofils in einer Organisation oder einem Projekt ansehen
  • Liste der Sicherheitsprofile in einer Organisation oder einem Projekt ansehen
  • Sicherheitsprofil in einer Sicherheitsprofilgruppe verwenden

In der folgenden Tabelle werden die Rollen beschrieben, die für jeden Schritt erforderlich sind.

Funktion Erforderliche Rolle
Sicherheitsprofil erstellen Eine der folgenden Rollen:
Sicherheitsprofil ändern Eine der folgenden Rollen:
Sicherheitsprofil löschen Eine der folgenden Rollen:
Details zu einem Sicherheitsprofil ansehen Eine der folgenden Rollen:
Alle Sicherheitsprofile in einer Organisation ansehen Eine der folgenden Rollen:
Sicherheitsprofil in einer Sicherheitsprofilgruppe verwenden Eine der folgenden Rollen:

Kontingente

Informationen zu Kontingenten für Sicherheitsprofile finden Sie unter Kontingente und Limits.

Nächste Schritte