セキュリティ プロファイルは、Google Cloud リソースのレイヤ 7 検査ポリシーを定義するのに役立ちます。これは、ファイアウォール エンドポイントがインターセプトしたトラフィックをスキャンし、URL フィルタリング サービスや侵入検知および防止サービスなどのアプリケーション レイヤ サービスを提供するために使用される汎用のポリシー構造です。
このドキュメントでは、セキュリティ プロファイルとその機能について詳しく説明します。
仕様
セキュリティ プロファイルは組織レベルのリソースです。
Cloud Next Generation Firewall は、
url-filteringタイプとthreat-preventionタイプのセキュリティ プロファイルをサポートしています。各セキュリティ プロファイルは、次の要素を含む URL で一意に識別されます。
- 組織 ID: 組織の ID。
- ロケーション: セキュリティ プロファイルの範囲。ロケーションは常に
globalに設定されます。 - 名前: 次の形式のセキュリティ プロファイル名。
- 1~63 文字の文字列
- 英数字とハイフン(-)のみを使用
- 先頭は数字以外
セキュリティ プロファイルの一意の URL 識別子を作成するには、次の形式を使用します。
organization/ORGANIZATION_ID/locations/LOCATION/securityProfiles/SECURITY_PROFILE_NAMEたとえば、組織
2345678432のglobalセキュリティ プロファイルexample-security-profileには、次のような固有識別子を設定します。organization/2345678432/locations/global/securityProfiles/example-security-profile作成したセキュリティ プロファイルは、セキュリティ プロファイル グループに関連付けるか、後で適用できます。このセキュリティ プロファイル グループは、レイヤ 7 検査を適用する Virtual Private Cloud(VPC)ネットワークのファイアウォール ポリシーから参照されます。
各セキュリティ プロファイルにはプロジェクト ID が関連付けられている必要があります。関連付けられたプロジェクトは、セキュリティ プロファイル リソースに対する割り当てとアクセス制限に使用されます。
gcloud auth activate-service-accountコマンドを使用してサービス アカウントを認証する場合は、サービス アカウントをセキュリティ プロファイルに関連付けることができます。セキュリティ プロファイルを作成する方法については、脅威防止セキュリティ プロファイルを作成すると URL フィルタリング セキュリティ プロファイルを作成するをご覧ください。
URL フィルタリング セキュリティ プロファイル
Cloud NGFW は、URL フィルタリング セキュリティ プロファイルを使用して URL フィルタリング サービスを構成します。
URL フィルタリング セキュリティ プロファイルは、1 つ以上の URL フィルタを使用してファイアウォール エンドポイントのセキュリティ ポリシーを定義するセキュリティ プロファイルの一種です。URL フィルタは、一意の優先度とアクションを持つマッチャー文字列のリストです。マッチャー文字列には、Cloud NGFW が評価対象の HTTP メッセージと照合するドメイン名が含まれています。暗号化されたメッセージの場合、Cloud NGFW は TLS ネゴシエーション中に送信された SNI に対してマッチャー文字列を照合します。TLS インスペクションを有効にすると、Cloud NGFW はメッセージ ヘッダーを復号し、ホスト ヘッダーも評価します。暗号化されていないトラフィックの場合、Cloud NGFW は常にマッチャー文字列と HTTP メッセージのホスト ヘッダーを比較します。
URL フィルタの優先度は、priority フィールドを使用して指定する一意の値によって決まります。URL フィルタの優先度値は 0~2147483647 の範囲で指定できます。Cloud NGFW は、数値が最も小さい値(優先度が最も高い値)から順に、一致する値が見つかるまで処理します。Cloud NGFW は、URL フィルタリング リスト内の個々のドメインを優先順位で評価しません。
URL フィルタリング セキュリティ プロファイルの作成と管理の詳細については、URL フィルタリング セキュリティ プロファイルの作成と管理をご覧ください。
URL フィルタリングの構成方法については、URL フィルタリング サービスを構成するをご覧ください。
脅威防止のセキュリティ プロファイル
Cloud NGFW は、脅威防止セキュリティ プロファイルを使用して侵入の検知と防止を提供します。
threat-prevention タイプのセキュリティ プロファイルを作成すると、次のデフォルトの脅威シグネチャが、デフォルトの重大度と関連アクションとともにプロファイルに追加されます。
- 脆弱性検出シグネチャ
- スパイウェア対策シグネチャ
- ウイルス対策シグネチャ
- DNS シグネチャ
脅威防止のセキュリティ プロファイルに重大度のオーバーライドを追加することもできます。デフォルトのシグネチャにはそれぞれ脅威の重大度があります。重大度は、検出された脅威のリスクを示します。各重大度レベルには、デフォルトのアクションが関連付けられています。デフォルトのアクションには、Cloud NGFW が特定の重大度レベルの脅威を処理するために行う対策を指定します。脅威防止セキュリティ プロファイルを使用すると、重大度レベルのデフォルトのアクションをオーバーライドできます。
次のアクションがサポートされます。
- オーバーライドなし: 脅威に関連付けられたデフォルトのアクションを実行します。
- 拒否: 脅威をログに記録してパケットをドロップします。
- アラート: 脅威をログに記録して、セッションを許可します。
- 許可: 検出された脅威を無視します。
脅威防止のセキュリティ プロファイルを作成すると、すべての重大度レベルのデフォルト オーバーライド アクションが No override に設定されます。
脅威防止のセキュリティ プロファイルにシグネチャのオーバーライドを追加することもできます。それぞれの脅威シグネチャには、デフォルトのアクションが関連付けられています。脅威防止セキュリティ プロファイルを使用すると、前述のアクションを使用して脅威シグネチャのデフォルト アクションをオーバーライドできます。署名のオーバーライドは、重大度のオーバーライドよりも優先されます。
脅威防止の構成方法については、侵入検知と防止サービスを構成するをご覧ください。
Identity and Access Management ロール
Identity and Access Management(IAM)ロールは、次のセキュリティ プロファイルのアクションを管理します。
- 組織でのセキュリティ プロファイルの作成
- セキュリティ プロファイルの変更または削除
- セキュリティ プロファイルの詳細の表示
- 組織内のセキュリティ プロファイルのリストの表示
- セキュリティ プロファイル グループでのセキュリティ プロファイルの使用
次の表に、各ステップに必要なロールを示します。
| 機能 | 必要なロール |
|---|---|
| セキュリティ プロファイルを作成する | セキュリティ プロファイルが作成される組織に対する Compute ネットワーク管理者(roles/compute.networkAdmin)ロールとセキュリティ プロファイル管理者(roles/networksecurity.securityProfileAdmin)ロール。 |
| セキュリティ プロファイルを変更する | セキュリティ プロファイルが作成される組織に対する Compute ネットワーク管理者(roles/compute.networkAdmin)ロールとセキュリティ プロファイル管理者(roles/networksecurity.securityProfileAdmin)ロール。 |
| セキュリティ プロファイルを削除する | セキュリティ プロファイルが作成される組織に対する Compute ネットワーク管理者(roles/compute.networkAdmin)ロール。 |
| 組織のセキュリティ プロファイルの詳細を表示する | 組織に対する次のいずれかのロール: Compute ネットワーク管理者( roles/compute.networkAdmin)Compute ネットワーク ユーザー( roles/compute.networkUser)Compute ネットワーク閲覧者( roles/compute.networkViewer)セキュリティ プロファイル管理者( roles/networksecurity.securityProfileAdmin) |
| 組織内のすべてのセキュリティ プロファイルを表示する | 組織に対する次のいずれかのロール: Compute ネットワーク管理者( roles/compute.networkAdmin)Compute ネットワーク ユーザー( roles/compute.networkUser)Compute ネットワーク閲覧者( roles/compute.networkViewer)セキュリティ プロファイル管理者( roles/networksecurity.securityProfileAdmin) |
| セキュリティ プロファイル グループでセキュリティ プロファイルを使用する | 組織の次のいずれかのロール: Compute ネットワーク管理者( roles/compute.networkAdmin)Compute ネットワーク ユーザー( roles/compute.networkUser)セキュリティ プロファイル管理者( roles/networksecurity.securityProfileAdmin) |
割り当て
セキュリティ プロファイルに関連付けられた割り当てを表示するには、割り当てと上限をご覧ください。
料金
セキュリティ プロファイルの料金については、Cloud NGFW の料金をご覧ください。