セキュリティ プロファイル グループは、セキュリティ プロファイルのコンテナです。セキュリティ プロファイル タイプをバンドルして、管理を容易にし、ファイアウォール ルールに適用できます。これらのグループは、組織レベルまたはプロジェクト レベルで作成できます。
各セキュリティ プロファイル グループには、次のタイプのセキュリティ プロファイルをそれぞれ 1 つずつ含めることができます。
THREAT_PREVENTIONURL_FILTERING
Google Cloud環境全体に一貫したネットワーク セキュリティ ポリシーを適用するには、セキュリティ プロファイル グループを使用して、脅威防止プロファイルと URL フィルタリング プロファイルを組み合わせて適用します。これらのプロファイルをグループ化すると、単一のファイアウォール ポリシールールを介して、ネットワーク トラフィックに対する脅威防止や URL フィルタリングなどの複数のセキュリティ チェックを適用できます。これにより、一貫したポリシーの適用と管理の簡素化が実現します。このドキュメントでは、 Google Cloud コンソールまたは Google Cloud CLI を使用して、組織レベルとプロジェクト レベルのセキュリティ プロファイル グループを作成して構成する方法について説明します。
このドキュメントは、ネットワーク セキュリティとファイアウォール ポリシーを構成するネットワーク管理者とセキュリティ エンジニアを対象としています。
始める前に、セキュリティ プロファイル グループの概要でコンセプトを確認してください。
始める前に
- プロジェクトで Network Security API を有効にする必要があります。
- このガイドの
gcloudコマンドラインのサンプルを実行する場合は、gcloud CLI をインストールします。 - セキュリティ プロファイル グループに追加する必要があるセキュリティ プロファイルを作成します。
ロール
セキュリティ プロファイル グループを作成するために必要な権限を取得するには、組織またはプロジェクトに必要な Identity and Access Management(IAM)ロールを付与するよう管理者に依頼してください。ロールの付与の詳細については、アクセス権の管理をご覧ください。
セキュリティ プロファイル グループを作成する
セキュリティ プロファイル グループを作成して、1 つ以上のセキュリティ プロファイルを 1 つのリソースにバンドルし、管理を容易にしてファイアウォール ルールに適用します。
各セキュリティ プロファイル グループには、次のタイプのセキュリティ プロファイルをそれぞれ 1 つずつ含めることができます。
URL_FILTERINGTHREAT_PREVENTION
コンソール
Google Cloud コンソールで、[セキュリティ プロファイル] ページに移動します。
プロジェクト セレクタのメニューで、組織またはプロジェクトを選択します。
[セキュリティ プロファイル グループ] タブを選択します。
[プロファイル グループを作成] をクリックします。
必要に応じて、[名前] フィールドに名前を入力します。
省略可: [説明] フィールドに説明を入力します。
Cloud Next Generation Firewall Enterprise のセキュリティ プロファイル グループを作成するには、[目的] セクションで [Cloud NGFW Enterprise] を選択します。
グループに 1 つ以上のセキュリティ プロファイルを追加します。
- 脅威防止プロファイルを追加するには、[脅威防止プロファイル] を選択します。
- URL フィルタリング プロファイルを追加するには、[URL フィルタリング プロファイル] を選択します。
[作成] をクリックします。
gcloud
セキュリティ プロファイル グループを作成するには、gcloud network-security security-profile-groups create コマンドを使用します。
gcloud network-security security-profile-groups create NAME \
--organization ORGANIZATION_ID | --project PROJECT_ID \
[--billing-project QUOTA_PROJECT_ID] \
--threat-prevention-profile THREAT_SECURITY_PROFILE_URL \
--url-filtering-profile URL_SECURITY_PROFILE_URL \
--location global
次のように置き換えます。
NAME: セキュリティ プロファイル グループの名前。一意の URL 識別子形式で名前を指定しない場合は、組織またはプロジェクトの名前とロケーションを指定する必要があります。
ORGANIZATION_ID: 組織 ID。このフラグは、組織レベルのセキュリティ プロファイル グループに使用します。PROJECT_ID: プロジェクト ID。このフラグは、プロジェクト レベルのセキュリティ プロファイル グループに使用します。QUOTA_PROJECT_ID: 割り当てプロジェクト ID。このフラグは、組織レベルのセキュリティ プロファイル グループでのみ使用します。THREAT_SECURITY_PROFILE_URL:THREAT_PREVENTIONタイプのセキュリティ プロファイルの一意の URL 識別子。URL_SECURITY_PROFILE_URL:URL_FILTERINGタイプのセキュリティ プロファイルの一意の URL 識別子。