安全設定檔可協助您為資源定義第 7 層檢查政策。Google Cloud 這些是防火牆端點使用的通用政策結構,可掃描攔截的流量,提供應用程式層服務,例如網址篩選服務和入侵偵測與防範服務。
本文件詳細說明安全設定檔及其功能。
規格
安全性設定檔是組織層級的資源。
Cloud Next Generation Firewall 支援
url-filtering和threat-prevention類型的安全設定檔。每個安全性設定檔都有專屬網址,包含下列元素:
- 機構 ID:機構的 ID。
- 位置:安全性設定檔的範圍。位置一律設為「
global」。 - 名稱:安全性設定檔名稱,格式如下:
- 長度介於 1 至 63 個字元的字串
- 只能包含英數字元或連字號 (-)
- 開頭不得為數字
如要為安全性設定檔建構專屬網址 ID,請使用下列格式:
organization/ORGANIZATION_ID/locations/LOCATION/securityProfiles/SECURITY_PROFILE_NAME舉例來說,機構
2345678432中的global安全性設定檔example-security-profile具有下列專屬 ID:organization/2345678432/locations/global/securityProfiles/example-security-profile建立安全性設定檔後,您可以選擇將其附加至安全性設定檔群組,也可以稍後再附加。您要強制執行第 7 層檢查的虛擬私有雲 (VPC) 網路防火牆政策,會參照這個安全性設定檔群組。
每個安全性設定檔都必須有相關聯的專案 ID。相關聯的專案會用於安全設定檔資源的配額和存取限制。如果您使用
gcloud auth activate-service-account指令驗證服務帳戶,可以將服務帳戶與安全性設定檔建立關聯。如要進一步瞭解如何建立安全性設定檔,請參閱「建立威脅防範安全性設定檔」和「建立網址篩選安全性設定檔」。
網址篩選安全性設定檔
Cloud NGFW 會使用網址篩選安全性設定檔,設定網址篩選服務。
網址篩選安全性設定檔是一種安全性設定檔,會使用一或多個網址篩選器,為防火牆端點定義安全性政策。網址篩選器是比對字串清單,具有專屬優先順序和動作。比對字串包含網域名稱,Cloud NGFW 會依據這類字串,比對正在評估的 HTTP 訊息,如果是加密郵件,Cloud NGFW 會根據 TLS 協商期間傳送的 SNI,檢查比對字串。啟用 TLS 檢查功能後,Cloud NGFW 會解密訊息標頭,並評估主機標頭。對於未加密的流量,Cloud NGFW 一律會比對比對字串與 HTTP 訊息的主機標頭。
網址篩選器的優先順序取決於您使用 priority 欄位指定的專屬值。網址篩選器的優先順序值範圍為 0 到 2147483647。Cloud NGFW 會先處理最低的數值 (代表最高優先順序),然後依序處理較高的數值,直到找到相符項目為止。Cloud NGFW 不會依優先順序評估網址篩選清單中的個別網域。
如要進一步瞭解如何建立及管理網址篩選安全性設定檔,請參閱「建立及管理網址篩選安全性設定檔」。
如要進一步瞭解如何設定網址篩選,請參閱「設定網址篩選服務」。
威脅防護安全性設定檔
Cloud NGFW 會使用威脅防範安全性設定檔,提供入侵偵測與防範功能。
建立 threat-prevention 類型的安全性設定檔時,系統會將下列預設威脅簽章新增至設定檔,並套用預設嚴重程度和相關聯的動作:
- 安全漏洞偵測簽章
- 反間諜軟體特徵
- 防毒特徵碼
- DNS 簽章
您可以選擇在威脅防護安全設定檔中新增嚴重程度覆寫。每個預設簽章都有威脅嚴重性等級。嚴重程度代表偵測到的威脅風險。每個嚴重程度等級也都有相關聯的預設動作。預設動作會指定 Cloud NGFW 採取哪些措施,處理特定嚴重程度的威脅。您可以透過威脅防護安全設定檔,覆寫嚴重性等級的預設動作。
支援的動作如下:
- 不覆寫:執行與威脅相關聯的預設動作。
- 拒絕:記錄威脅並捨棄封包。
- 警示:記錄威脅並允許工作階段。
- 允許:忽略偵測到的威脅。
建立威脅防護安全性設定檔時,所有嚴重程度的預設覆寫動作都會設為 No override。
您也可以在威脅防護安全設定檔中新增簽章覆寫。每個威脅簽章都有相關聯的預設動作。您可以透過威脅防護安全設定檔,使用上述動作覆寫威脅簽章的預設動作。簽章覆寫動作的優先順序高於嚴重程度覆寫動作。
如要進一步瞭解如何設定威脅防護功能,請參閱「設定入侵偵測和防護服務」。
身分與存取權管理角色
Identity and Access Management (IAM) 角色會控管下列安全性設定檔動作:
- 在機構中建立安全設定檔
- 修改或刪除安全性設定檔
- 查看安全性設定檔的詳細資料
- 查看機構中的安全性設定檔清單
- 在安全性設定檔群組中使用安全性設定檔
下表說明每個步驟所需的角色。
| 能力 | 必要角色 |
|---|---|
| 建立安全性設定檔 | 在建立安全設定檔的機構中,具備Compute 網路管理員 (roles/compute.networkAdmin) 和安全設定檔管理員 (roles/networksecurity.securityProfileAdmin) 角色。 |
| 修改安全性設定檔 | 在建立安全設定檔的機構中,具備Compute 網路管理員 (roles/compute.networkAdmin) 和安全設定檔管理員 (roles/networksecurity.securityProfileAdmin) 角色。 |
| 刪除安全性設定檔 | 在建立安全設定檔的機構中,具有 Compute 網路管理員 (roles/compute.networkAdmin) 角色。 |
| 查看機構中安全性設定檔的詳細資料 | 機構的下列任一角色: Compute 網路管理員 ( roles/compute.networkAdmin)Compute 網路使用者 ( roles/compute.networkUser)Compute 網路檢視者 ( roles/compute.networkViewer)安全設定檔管理員 ( roles/networksecurity.securityProfileAdmin) |
| 查看機構中的所有安全設定檔 | 機構的下列任一角色: Compute 網路管理員 ( roles/compute.networkAdmin)Compute 網路使用者 ( roles/compute.networkUser)Compute 網路檢視者 ( roles/compute.networkViewer)安全設定檔管理員 ( roles/networksecurity.securityProfileAdmin) |
| 在安全性設定檔群組中使用安全性設定檔 | 機構的下列任一角色: Compute Network Admin ( roles/compute.networkAdmin)Compute Network User ( roles/compute.networkUser)Security Profile Admin ( roles/networksecurity.securityProfileAdmin) |
配額
如要查看與安全性設定檔相關聯的配額,請參閱「配額與限制」。
定價
如要瞭解安全性設定檔的定價,請參閱 Cloud NGFW 定價。