보안 프로필은Google Cloud 리소스에 대한 레이어 7 검사 정책을 정의하는 데 도움이 됩니다. URL 필터링 서비스, 침입 감지 및 방지 서비스와 같은 애플리케이션 레이어 서비스를 제공하기 위해 가로채기 트래픽을 스캔하는 방화벽 엔드포인트에서 사용하는 일반 정책 구조입니다.
이 문서에서는 보안 프로필 개요와 해당 기능을 자세히 설명합니다.
사양
보안 프로필은 조직 수준 리소스입니다.
Cloud Next Generation Firewall은
url-filtering및threat-prevention유형의 보안 프로필을 지원합니다.각 보안 프로필은 다음 요소가 있는 URL로 고유하게 식별됩니다.
- 조직 ID: 조직 ID입니다.
- 위치: 보안 프로필 범위입니다. 위치는 항상
global로 설정됩니다. - 이름: 다음 형식의 보안 프로필 이름입니다.
- 1~63자(영문 기준)의 문자열
- 영숫자 문자 또는 하이픈(-)만 포함
- 숫자로 시작하지 않아야 함
보안 프로필의 고유한 URL 식별자를 구성하려면 다음 형식을 사용합니다.
organization/ORGANIZATION_ID/locations/LOCATION/securityProfiles/SECURITY_PROFILE_NAME예를 들어
2345678432조직의global보안 프로필example-security-profile에는 다음과 같은 고유 식별자가 있습니다.organization/2345678432/locations/global/securityProfiles/example-security-profile보안 프로필을 만든 후 보안 프로필 그룹에 연결하거나 나중에 연결할 수 있습니다. 이 보안 프로필 그룹은 레이어 7 검사를 시행할 가상 프라이빗 클라우드(VPC) 네트워크의 방화벽 정책에서 참조됩니다.
각 보안 프로필에는 연결된 프로젝트 ID가 있어야 합니다. 연결된 프로젝트는 보안 프로필 리소스의 할당량, 액세스 제한에 사용됩니다.
gcloud auth activate-service-account명령어를 사용하여 서비스 계정을 인증하는 경우 서비스 계정을 보안 프로필과 연결할 수 있습니다. 보안 프로필을 만드는 방법에 대한 자세한 내용은 위협 방지 보안 프로필 만들기 및 URL 필터링 보안 프로필 만들기를 참고하세요.
URL 필터링 보안 프로필
Cloud NGFW는 URL 필터링 보안 프로필을 사용하여 URL 필터링 서비스를 구성합니다.
URL 필터링 보안 프로필은 하나 이상의 URL 필터를 사용하여 방화벽 엔드포인트의 보안 정책을 정의하는 보안 프로필 유형입니다. URL 필터는 고유한 우선순위와 작업이 있는 일치자 문자열 목록입니다. 일치자 문자열에는 Cloud NGFW가 평가 중인 HTTP 메시지와 일치시키는 도메인 이름이 포함됩니다. 암호화된 메시지의 경우 Cloud NGFW는 TLS 협상 중에 전송된 SNI에 대해 일치자 문자열을 확인합니다. TLS 검사를 사용 설정하면 Cloud NGFW가 메시지 헤더를 복호화하고 호스트 헤더도 평가합니다. 암호화되지 않은 트래픽의 경우 Cloud NGFW는 항상 HTTP 메시지의 호스트 헤더와 일치자 문자열을 비교합니다.
URL 필터의 우선순위는 priority 필드를 사용하여 지정한 고유한 값에 따라 결정됩니다. URL 필터의 우선순위 값은 0~2147483647입니다. Cloud NGFW는 가장 낮은 숫자 값(가장 높은 우선순위)을 먼저 처리한 다음 일치하는 항목을 찾을 때까지 다음으로 높은 숫자 값을 처리합니다. Cloud NGFW는 URL 필터링 목록 내의 개별 도메인을 우선순위 순서로 평가하지 않습니다.
URL 필터링 보안 프로필을 만들고 관리하는 방법을 자세히 알아보려면 URL 필터링 보안 프로필 만들기 및 관리를 참고하세요.
URL 필터링을 구성하는 방법을 자세히 알아보려면 URL 필터링 서비스 구성을 참고하세요.
위협 방지 보안 프로필
Cloud NGFW는 위협 방지 보안 프로필을 사용하여 침입 감지 및 방지를 제공합니다.
threat-prevention 유형의 보안 프로필을 만들면 기본 심각도와 관련 작업이 있는 다음 기본 위협 서명이 프로필에 추가됩니다.
- 취약점 감지 서명
- 스파이웨어 방지 서명
- 바이러스 백신 서명
- DNS 서명
위협 방지 보안 프로필에 심각도 재정의를 추가할 수 있습니다. 각 기본 서명에는 위협 심각도 수준이 있습니다. 심각도 수준은 감지된 위협의 위험을 나타냅니다. 각 심각도 수준에는 연결된 기본 작업도 있습니다. 기본 작업은 Cloud NGFW가 특정 심각도 수준의 위협을 처리하기 위해 취하는 조치를 지정합니다. 위협 방지 보안 프로필을 사용하여 심각도 수준의 기본 작업을 재정의할 수 있습니다.
지원되는 작업은 다음과 같습니다.
- 재정의 없음: 위협과 연결된 기본 작업 수행
- 거부: 위협 로깅 및 패킷 삭제
- 알림: 위협 로깅 및 세션 허용
- 허용: 위협이 감지되면 무시
위협 방지 보안 프로필을 만들 때 모든 심각도 수준의 기본 재정의 작업은 No override으로 설정됩니다.
위협 방지 보안 프로필에 서명 재정의를 추가할 수도 있습니다. 각 위협 서명에는 연결된 기본 작업이 있습니다. 위협 방지 보안 프로필을 사용하여 이전 작업으로 위협 서명의 기본 작업을 재정의할 수 있습니다. 참고: 서명 재정의는 심각도 재정의보다 우선 적용됩니다.
위협 방지를 구성하는 방법에 대한 자세한 내용은 침입 감지 및 방지 서비스 구성을 참고하세요.
Identity and Access Management 역할
Identity and Access Management(IAM) 역할은 다음 보안 프로필 작업을 제어합니다.
- 조직에 보안 프로필 만들기
- 보안 프로필 수정 또는 삭제
- 보안 프로필 세부정보 보기
- 조직의 보안 프로필 목록 보기
- 보안 프로필 그룹에서 보안 프로필 사용
다음 표에서는 각 단계에 필요한 역할을 설명합니다.
| 기능 | 필수 역할 |
|---|---|
| 보안 프로필 만들기 | 보안 프로필이 생성된 조직에 대한 Compute 네트워크 관리자 (roles/compute.networkAdmin) 및 보안 프로필 관리자 (roles/networksecurity.securityProfileAdmin) 역할 |
| 보안 프로필 수정 | 보안 프로필이 생성된 조직에 대한 Compute 네트워크 관리자 (roles/compute.networkAdmin) 및 보안 프로필 관리자 (roles/networksecurity.securityProfileAdmin) 역할 |
| 보안 프로필 삭제 | 보안 프로필이 생성된 조직에 대한 Compute 네트워크 관리자 (roles/compute.networkAdmin) 역할 |
| 조직의 보안 프로필에 대한 세부정보 보기 | 조직에 대한 다음 역할 중 하나입니다. Compute 네트워크 관리자 ( roles/compute.networkAdmin)Compute 네트워크 사용자 ( roles/compute.networkUser)Compute 네트워크 뷰어 ( roles/compute.networkViewer)보안 프로필 관리자 ( roles/networksecurity.securityProfileAdmin) |
| 조직 내 모든 보안 프로필 보기 | 조직에 대한 다음 역할 중 하나입니다. Compute 네트워크 관리자 ( roles/compute.networkAdmin)Compute 네트워크 사용자 ( roles/compute.networkUser)Compute 네트워크 뷰어 ( roles/compute.networkViewer)보안 프로필 관리자 ( roles/networksecurity.securityProfileAdmin) |
| 보안 프로필 그룹에서 보안 프로필 사용 | 조직에 대한 다음 역할 중 하나입니다. Compute 네트워크 관리자 ( roles/compute.networkAdmin)Compute 네트워크 사용자 ( roles/compute.networkUser)보안 프로필 관리자 ( roles/networksecurity.securityProfileAdmin) |
할당량
보안 프로필과 연결된 할당량을 보려면 할당량 및 한도를 참조하세요.
가격 책정
보안 프로필 가격 책정 방식은 Cloud NGFW 가격 책정을 참조하세요.