סקירה כללית על פרופיל אבטחה

פרופילי אבטחה עוזרים לכם להגדיר מדיניות בדיקה בשכבה 7 עבור משאביGoogle Cloud . אלה מבנים כלליים של מדיניות שמשמשים נקודות קצה של חומת אש לסריקת תעבורה שיירטה, כדי לספק שירותים של שכבת האפליקציה, כמו שירות סינון כתובות URL ושירות גילוי חדירות ומניעה של פריצות.

במסמך הזה מפורטת סקירה כללית של פרופילי אבטחה והיכולות שלהם.

מפרטים

  • ‫Cloud Next Generation Firewall תומך בסוגים הבאים של פרופילי אבטחה:

    • URL_FILTERING
    • THREAT_PREVENTION
  • פרופיל אבטחה הוא משאב שאפשר להגדיר ברמת הארגון או ברמת הפרויקט.

    • פרופיל אבטחה ברמת הארגון: משתמשים בפרופיל הזה כדי ליצור ולנהל נקודות קצה של חומת אש ברמת הארגון וברמת הפרויקט.

    • פרופיל אבטחה ברמת הפרויקט: משתמשים בפרופיל הזה כדי ליצור ולנהל נקודות קצה של חומת אש ברמת הפרויקט באותו פרויקט.

  • השם של פרופיל אבטחה מוגדר בפורמט הבא של מזהה כתובת URL:

    • ברמת הארגון:

      organizations/ORGANIZATION_ID/locations/global/securityProfiles/NAME
      
    • ברמת הפרויקט:

      projects/PROJECT_ID/locations/global/securityProfiles/NAME
      

    הNAME של פרופיל האבטחה צריך לעמוד בדרישות הבאות:

    • מחרוזת באורך של 1 עד 63 תווים
    • השם יכול להכיל רק תווים אלפאנומריים באותיות קטנות או מקפים (-).
    • מתחיל באות

    דוגמאות:

    • פרופיל אבטחה ברמת הארגון:

      organizations/2345678432/locations/global/securityProfiles/example-security-profile
      
    • פרופיל אבטחה ברמת הפרויקט:

      projects/my-project-123/locations/global/securityProfiles/example-security-profile
      

    אם משתמשים במזהה הייחודי של כתובת ה-URL בשם פרופיל האבטחה, כתובת ה-URL כוללת את הארגון או הפרויקט ואת המיקום. אם מציינים רק את השם, צריך לספק בנפרד את מזהה הארגון או את מזהה הפרויקט והמיקום כשמשתמשים בפקודות gcloud.

  • אחרי שיוצרים פרופיל אבטחה, צריך לצרף אותו באופן ידני לקבוצת פרופילי אבטחה. קבוצת פרופילי האבטחה הזו מפנה למדיניות חומת האש של רשת הענן הוירטואלי הפרטי (VPC) שבה רוצים לאכוף בדיקה בשכבה 7.

  • לכל פרופיל אבטחה צריך להיות משויך מזהה פרויקט. הפרויקט המשויך משמש למכסות ולהגבלות גישה למשאבים של פרופיל האבטחה. אם תאמתו את חשבון השירות באמצעות הפקודה gcloud auth activate-service-account, תוכלו לשייך את חשבון השירות לפרופיל האבטחה. מידע נוסף על יצירת פרופיל אבטחה זמין במאמרים יצירת פרופיל אבטחה למניעת איומים ויצירת פרופיל אבטחה לסינון כתובות URL.

  • כשמוסיפים פרופילי אבטחה לקבוצה של פרופילי אבטחה, חלים האילוצים הבאים:

    • קבוצת פרופילים של אבטחה ברמת הארגון יכולה להפנות רק לפרופילים של אבטחה ברמת הארגון.
    • קבוצת פרופילים לאבטחה ברמת הפרויקט יכולה להפנות לפרופילים לאבטחה ברמת הפרויקט באותו פרויקט.

פרופיל אבטחה לסינון כתובות URL

‫Cloud NGFW משתמש בפרופיל אבטחה של סינון כתובות URL כדי להגדיר את שירות סינון כתובות ה-URL.

פרופיל אבטחה לסינון כתובות URL הוא סוג של פרופיל אבטחה שמשתמש במסנן כתובות URL אחד או יותר כדי להגדיר מדיניות אבטחה לנקודות הקצה של חומת האש. מסנן כתובות URL הוא רשימה של מחרוזות התאמה עם עדיפות ופעולה ייחודיות. מחרוזות ההתאמה מכילות שמות דומיינים ש-Cloud NGFW מתאים להודעת ה-HTTP שנבדקת. בהודעות מוצפנות,‏ Cloud NGFW בודק את מחרוזות ההתאמה מול ה-SNI שנשלח במהלך המשא ומתן של TLS. אם מפעילים את בדיקת ה-TLS, ‏ Cloud NGFW מפענח את כותרת ההודעה ומעריך גם את כותרת המארח. בתנועה לא מוצפנת, Cloud NGFW תמיד משווה את מחרוזות ההתאמה לכותרת המארח של הודעת ה-HTTP.

העדיפות של מסנן כתובות URL נקבעת לפי הערך הייחודי שמציינים בשדה priority. ערך העדיפות של מסנן כתובות URL יכול להיות בין 0 ל-2147483647. ‫Cloud NGFW מעבד קודם את הערך המספרי הנמוך ביותר (שמייצג את העדיפות הגבוהה ביותר), ואז את הערך המספרי הגבוה יותר הבא, עד שהוא מוצא התאמה. ‫Cloud NGFW לא מעריך את הדומיינים הנפרדים ברשימת סינון כתובות URL לפי סדר העדיפות.

מידע נוסף על יצירה וניהול של פרופילים לאבטחה של סינון כתובות URL זמין במאמר יצירה וניהול של פרופילים לאבטחה של סינון כתובות URL.

מידע נוסף על הגדרת סינון כתובות URL זמין במאמר הגדרת שירות סינון כתובות URL.

פרופיל אבטחה למניעת איומים

‫Cloud NGFW משתמש בפרופילים של אבטחה למניעת איומים כדי לספק שירות לגילוי חדירות ולמניעת חדירות.

כשיוצרים פרופיל אבטחה מסוג THREAT_PREVENTION, חתימות ברירת המחדל של איומים עם חומרת ברירת המחדל והפעולות המשויכות מתווספות לפרופיל:

  • חתימות לגילוי נקודות חולשה
  • חתימות של תוכנות נגד רוגלות
  • חתימות של אנטי-וירוס
  • חתימות DNS

יש לכם אפשרות להוסיף חריגות לרמת החומרה לפרופילי האבטחה שלכם למניעת איומים. לכל חתימת ברירת מחדל יש רמת חומרה של האיום. רמת החומרה מציינת את הסיכון של האיום שזוהה. לכל רמת חומרה משויכת גם פעולת ברירת מחדל. פעולת ברירת המחדל מציינת את האמצעים ש-Cloud NGFW נוקט כדי לטפל באיומים ברמת חומרה ספציפית. אתם יכולים להשתמש בפרופילי אבטחה למניעת איומים כדי לבטל את פעולת ברירת המחדל לרמת חומרה מסוימת.

הפעולות הבאות נתמכות:

  • ללא ביטול: מתבצעת פעולת ברירת המחדל שמשויכת לאיום.
  • דחייה: הנתונים נרשמים ביומן האיומים והחבילה נמחקת.
  • התראה: הרישום ביומן של האיום והסשן מותר.
  • אישור: המערכת מתעלמת מהאיום, אם הוא מזוהה.

כשיוצרים פרופיל אבטחה למניעת איומים, פעולת ברירת המחדל לביטול ההגדרה לכל רמות החומרה מוגדרת ל-No override.

אפשר גם להוסיף החלפות של חתימות לפרופילים של אבטחה למניעת איומים. לכל חתימת איום משויכת פעולת ברירת מחדל. אתם יכולים להשתמש בפרופילי אבטחה למניעת איומים כדי לבטל את פעולות ברירת המחדל של חתימות האיומים באמצעות הפעולות הקודמות. החלפות של חתימות מקבלות עדיפות על פני החלפות של רמת חומרה.

מידע נוסף על הגדרת מניעת איומים זמין במאמר הגדרת שירות לזיהוי ולמניעת פריצות.

תפקידים בניהול זהויות והרשאות גישה (IAM)

תפקידים בניהול זהויות והרשאות גישה (IAM) קובעים את הפעולות הבאות בפרופיל האבטחה:

  • יצירת פרופיל אבטחה בארגון או בפרויקט
  • שינוי או מחיקה של פרופיל אבטחה בארגון או בפרויקט
  • הצגת פרטים של פרופיל אבטחה בארגון או בפרויקט
  • צפייה ברשימה של פרופילי אבטחה בארגון או בפרויקט
  • שימוש בפרופיל אבטחה בקבוצת פרופילי אבטחה

בטבלה הבאה מפורטים התפקידים שנדרשים בכל שלב.

יכולת תפקיד נדרש
יצירת פרופיל אבטחה כל אחד מהתפקידים הבאים:
שינוי פרופיל אבטחה כל אחד מהתפקידים הבאים:
מחיקת פרופיל אבטחה כל אחד מהתפקידים הבאים:
הצגת פרטים על פרופיל אבטחה כל אחד מהתפקידים הבאים:
הצגת כל פרופילי האבטחה בארגון כל אחד מהתפקידים הבאים:
שימוש בפרופיל אבטחה בקבוצת פרופילי אבטחה כל אחד מהתפקידים הבאים:

מכסות

כדי לראות את המכסות שמשויכות לפרופילי אבטחה, אפשר לעיין במאמר מכסות ומגבלות.

המאמרים הבאים