Mit Sicherheitsprofilen können Sie die Layer-7-Prüfungsrichtlinie für IhreGoogle Cloud -Ressourcen definieren. Es sind allgemeine Richtlinienstrukturen, die von Firewall-Endpunkten verwendet werden, um abgefangenen Traffic zu scannen und Dienste auf Anwendungsebene bereitzustellen, z. B. den URL-Filterdienst und den Dienst zur Erkennung und Vermeidung von Einbrüchen.
In diesem Dokument erhalten Sie eine detaillierte Übersicht über Sicherheitsprofile und ihre Funktionen.
Spezifikationen
Ein Sicherheitsprofil ist eine Ressource auf Organisationsebene.
Cloud Next Generation Firewall unterstützt Sicherheitsprofile vom Typ
url-filteringundthreat-prevention.Jedes Sicherheitsprofil wird eindeutig durch eine URL mit den folgenden Elementen identifiziert:
- Organisations-ID: ID der Organisation.
- Standort: Geltungsbereich des Sicherheitsprofils. Der Standort ist immer auf
globalfestgelegt. - Name: Name des Sicherheitsprofils im folgenden Format:
- Ein String mit 1 bis 63 Zeichen
- Enthält nur alphanumerische Zeichen oder Bindestriche (-)
- Darf nicht mit einer Ziffer beginnen
Verwenden Sie das folgende Format, um eine eindeutige URL-ID für ein Sicherheitsprofil zu erstellen:
organization/ORGANIZATION_ID/locations/LOCATION/securityProfiles/SECURITY_PROFILE_NAMEEin
global-Sicherheitsprofilexample-security-profilein der Organisation2345678432hat beispielsweise die folgende eindeutige Kennung:organization/2345678432/locations/global/securityProfiles/example-security-profileNachdem Sie ein Sicherheitsprofil erstellt haben, können Sie es gleich oder später an eine Sicherheitsprofilgruppe anhängen. Diese Sicherheitsprofilgruppe wird von der Firewallrichtlinie des VPC-Netzwerks (Virtual Private Cloud) berücksichtigt, in dem Sie die Layer 7-Prüfung erzwingen möchten.
Jedem Sicherheitsprofil muss eine Projekt-ID zugeordnet sein. Das zugehörige Projekt wird für Kontingente und Zugriffsbeschränkungen für Sicherheitsprofilressourcen verwendet. Wenn Sie Ihr Dienstkonto mit dem Befehl
gcloud auth activate-service-accountauthentifizieren, können Sie Ihr Dienstkonto dem Sicherheitsprofil zuordnen. Weitere Informationen zum Erstellen eines Sicherheitsprofils finden Sie unter Sicherheitsprofil für die Bedrohungsvermeidung erstellen und Sicherheitsprofil für die URL-Filterung erstellen.
Sicherheitsprofil für die URL-Filterung
Cloud NGFW verwendet ein Sicherheitsprofil für die URL-Filterung, um den URL-Filterdienst zu konfigurieren.
Ein Sicherheitsprofil für die URL-Filterung ist ein Sicherheitsprofil, in dem ein oder mehrere URL-Filter verwendet werden, um Sicherheitsrichtlinien für die Firewall-Endpunkte zu definieren. Ein URL-Filter ist eine Liste von Abgleichstrings mit einer eindeutigen Priorität und einer Aktion. Abgleichstrings enthalten Domainnamen, die Cloud NGFW mit der ausgewerteten HTTP-Nachricht abgleicht. Bei verschlüsselten Nachrichten vergleicht Cloud NGFW die Abgleichstrings mit der SNI, die während der TLS-Aushandlung gesendet wird. Wenn Sie die TLS-Prüfung aktivieren, entschlüsselt Cloud NGFW den Nachrichtenheader und wertet auch den Hostheader aus. Bei unverschlüsseltem Traffic vergleicht Cloud NGFW die Abgleichstrings immer mit dem Host-Header der HTTP-Nachricht.
Die Priorität eines URL-Filters wird durch den eindeutigen Wert bestimmt, den Sie mit dem Feld priority angeben. Der Prioritätswert eines URL-Filters kann zwischen 0 und 2147483647 liegen. Cloud NGFW verarbeitet zuerst den niedrigsten numerischen Wert (der die höchste Priorität darstellt), gefolgt vom nächsthöheren numerischen Wert, bis eine Übereinstimmung gefunden wird. Cloud NGFW wertet die einzelnen Domains in einer URL-Filterliste nicht in der Reihenfolge ihrer Priorität aus.
Weitere Informationen zum Erstellen und Verwalten von Sicherheitsprofilen für die URL-Filterung finden Sie unter Sicherheitsprofile für die URL-Filterung erstellen und verwalten.
Weitere Informationen zum Konfigurieren der URL-Filterung finden Sie unter URL-Filterdienst konfigurieren.
Sicherheitsprofil für die Bedrohungsvermeidung
Cloud NGFW verwendet Sicherheitsprofile zur Vermeidung von Bedrohungen, um Einbruchserkennung und ‑vermeidung zu ermöglichen.
Wenn Sie ein Sicherheitsprofil vom Typ threat-prevention erstellen, werden dem Profil die folgenden Standardbedrohungssignaturen mit Standardschweregrad und zugehörigen Aktionen hinzugefügt:
- Signaturen zur Sicherheitslückenerkennung
- Anti-Spyware-Signaturen
- Antivirensignaturen
- DNS-Signaturen
Sie haben die Möglichkeit, Ihren Sicherheitsprofilen zum Schutz vor Bedrohungen Überschreibungen für Schweregrade hinzuzufügen. Jede Standardsignatur hat einen Bedrohungsschweregrad. Der Schweregrad gibt das Risiko der erkannten Bedrohung an. Jedem Schweregrad ist auch eine Standardaktion zugeordnet. Die Standardaktion gibt die Maßnahmen an, die Cloud NGFW ergreift, um Bedrohungen mit einem bestimmten Schweregrad zu behandeln. Sie können Sicherheitsprofile zur Bedrohungsvermeidung verwenden, um die Standardaktion für einen Schweregrad zu überschreiben.
Die folgenden Aktionen werden unterstützt:
- Keine Überschreibung: Die Standardaktion wird für die Bedrohung ausgeführt.
- Ablehnen: Protokolliert die Bedrohung und verwirft das Paket
- Benachrichtigen: Protokolliert die Bedrohung und lässt die Sitzung zu
- Zulassen: Bedrohung wird ignoriert, wenn sie erkannt wird
Wenn Sie ein Sicherheitsprofil für die Bedrohungsvermeidung erstellen, wird die Standardüberschreibungsaktion für alle Schweregrade auf No override festgelegt.
Sie können Ihren Sicherheitsprofilen zur Vermeidung von Bedrohungen auch Signaturüberschreibungen hinzufügen. Jeder Bedrohungssignatur ist eine Standardaktion zugeordnet. Sie können Sicherheitsprofile zur Bedrohungsvermeidung verwenden, um die Standardaktionen der Bedrohungssignaturen mit den vorherigen Aktionen zu überschreiben. Signaturüberschreibungen haben Vorrang vor Schweregradüberschreibungen.
Weitere Informationen zum Konfigurieren der Bedrohungsvermeidung finden Sie unter Dienst zur Einbruchserkennung und ‑prävention konfigurieren.
Identitäts- und Zugriffsverwaltungsrollen
IAM-Rollen (Identity and Access Management) regeln die Aktionen von Sicherheitsprofilen:
- Sicherheitsprofil in einer Organisation erstellen
- Sicherheitsprofil ändern oder löschen
- Details eines Sicherheitsprofils ansehen
- Liste der Sicherheitsprofile in einer Organisation ansehen
- Sicherheitsprofil in einer Sicherheitsprofilgruppe verwenden
In der folgenden Tabelle werden die Rollen beschrieben, die für jeden Schritt erforderlich sind.
| Funktion | Erforderliche Rolle |
|---|---|
| Sicherheitsprofil erstellen | Rollen Compute-Netzwerkadministrator (roles/compute.networkAdmin) und Administrator für Sicherheitsprofile (roles/networksecurity.securityProfileAdmin) für die Organisation, in der das Sicherheitsprofil erstellt wird. |
| Sicherheitsprofil ändern | Rollen Compute-Netzwerkadministrator (roles/compute.networkAdmin) und Administrator für Sicherheitsprofile (roles/networksecurity.securityProfileAdmin) für die Organisation, in der das Sicherheitsprofil erstellt wird. |
| Sicherheitsprofil löschen | Rolle Compute-Netzwerkadministrator (roles/compute.networkAdmin) für die Organisation, in der das Sicherheitsprofil erstellt wird. |
| Details zum Sicherheitsprofil in einer Organisation ansehen | Eine der folgenden Rollen für die Organisation: Compute-Netzwerkadministrator ( roles/compute.networkAdmin)Compute-Netzwerkadministrator ( roles/compute.networkUser)Compute-Netzwerkadministrator ( roles/compute.networkViewer)Administrator für Sicherheitsprofile ( roles/networksecurity.securityProfileAdmin) |
| Alle Sicherheitsprofile in einer Organisation ansehen | Eine der folgenden Rollen für die Organisation: Compute-Netzwerkadministrator ( roles/compute.networkAdmin)Compute-Netzwerkadministrator ( roles/compute.networkUser)Compute-Netzwerkadministrator ( roles/compute.networkViewer)Administrator für Sicherheitsprofile ( roles/networksecurity.securityProfileAdmin) |
| Sicherheitsprofil in einer Sicherheitsprofilgruppe verwenden | Eine der folgenden Rollen für die Organisation: Compute-Netzwerkadministrator ( roles/compute.networkAdmin)Compute-Netzwerkadministrator ( roles/compute.networkUser)Administrator von Sicherheitsprofilen ( roles/networksecurity.securityProfileAdmin) |
Kontingente
Informationen zu Kontingenten für Sicherheitsprofile finden Sie unter Kontingente und Limits.
Preise
Die Preise für Sicherheitsprofile werden unter Cloud NGFW-Preise beschrieben.
Nächste Schritte
- URL-Filterdienst konfigurieren
- Dienst zur Einbruchserkennung und -vermeidung konfigurieren
- Sicherheitsprofile für die Bedrohungsvermeidung erstellen und verwalten
- Sicherheitsprofile für die URL-Filterung erstellen und verwalten