Sicherheitsprofilgruppen erstellen und verwalten

Auf dieser Seite wird erläutert, wie Sie Sicherheitsprofilgruppen mit der Google Cloud Console oder der Google Cloud CLI erstellen und verwalten.

Vorbereitung

Rollen

Bitten Sie Ihren Administrator, Ihnen die erforderlichen IAM-Rollen in Ihrer Organisation oder Ihrem Projekt zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Erstellen, Aufrufen, Aktualisieren oder Löschen von Sicherheitsprofilgruppen benötigen. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff verwalten.

Sicherheitsprofilgruppe erstellen

Jede Sicherheitsprofilgruppe kann maximal ein Sicherheitsprofil der folgenden Typen enthalten:

  • url-filtering
  • threat-prevention

Sicherheitsprofilgruppen auf Organisationsebene

Wenn Sie eine Sicherheitsprofilgruppe auf Organisationsebene erstellen möchten, verwenden Sie dieGoogle Cloud Console oder die gcloud CLI.

Wenn Sie eine Sicherheitsprofilgruppe erstellen, können Sie den Namen der Sicherheitsprofilgruppe als String oder als eindeutige URL-ID angeben. Verwenden Sie das folgende Format, um die eindeutige URL für eine Sicherheitsprofilgruppe zu erstellen:

organizations/ORGANIZATION_ID/locations/global/securityProfileGroups/NAME

Wenn Sie für den Namen der Sicherheitsprofilgruppe eine eindeutige URL-ID verwenden, sind die Organisation und der Standort der Sicherheitsprofilgruppe bereits in der URL-ID enthalten. Wenn Sie jedoch nur den Namen der Sicherheitsprofilgruppe verwenden, müssen Sie die Organisation und den Standort separat angeben. Weitere Informationen zu eindeutigen URL-Kennungen finden Sie unter Spezifikationen für Sicherheitsgruppengruppen.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Sicherheitsprofile auf.

    Zu „Sicherheitsprofile“

  2. Wählen Sie im Menü „Projektauswahl“ Ihre Organisation aus.

  3. Wählen Sie den Tab Sicherheitsprofilgruppen aus.

Konfigurieren Sie eine Sicherheitsprofilgruppe:

  1. Klicken Sie auf Profilgruppe erstellen.
  2. Geben Sie in das Feld Name einen Namen ein.
  3. Optional: Geben Sie im Feld Beschreibung eine Beschreibung ein.
  4. Wenn Sie eine Sicherheitsprofilgruppe für Cloud Next Generation Firewall Enterprise erstellen möchten, wählen Sie im Bereich Zweck die Option Cloud NGFW Enterprise aus.
  5. Wählen Sie in der Liste Profil zum Schutz vor Bedrohungen oder URL-Filterprofil das Sicherheitsprofil aus, das Sie dieser Sicherheitsprofilgruppe hinzufügen möchten.
  6. Klicken Sie auf Erstellen.

gcloud

Verwenden Sie zum Erstellen einer Sicherheitsprofilgruppe den gcloud network-security security-profile-groups create-Befehl:

gcloud network-security security-profile-groups create NAME \
    --organization ORGANIZATION_ID \
    --location LOCATION \
    --billing-project QUOTA_PROJECT_ID \
    --url-filtering-profile SECURITY_PROFILE_URL \
    --threat-prevention-profile SECURITY_PROFILE_URL \
    --description DESCRIPTION

Ersetzen Sie Folgendes:

  • NAME: der Name der Sicherheitsprofilgruppe. Sie können den Namen als String oder als eindeutige URL-ID angeben.

  • ORGANIZATION_ID: die Organisation, in der die Sicherheitsprofilgruppe erstellt wird. Wenn Sie eine eindeutige URL-ID für die Variable NAME verwenden, können Sie das Flag --organization weglassen.

  • LOCATION: der Standort der Sicherheitsprofilgruppe.

    Der Standort ist immer auf global festgelegt. Wenn Sie eine eindeutige URL-ID für die Variable NAME verwenden, können Sie das Flag --location weglassen.

  • QUOTA_PROJECT_ID: Optionale Projekt-ID zur Verwendung für Kontingente und Zugriffsbeschränkungen für die Sicherheitsprofilgruppe.

  • SECURITY_PROFILE_URL: eine eindeutige URL-ID für ein Sicherheitsprofil vom Typ url-filtering oder threat-prevention. Sie müssen mindestens eines dieser Sicherheitsprofile hinzufügen.

  • DESCRIPTION: Eine optionale Beschreibung für die Sicherheitsprofilgruppe.

Sicherheitsprofilgruppen auf Projektebene

Verwenden Sie die gcloud CLI, um eine Sicherheitsprofilgruppe auf Projektebene zu erstellen.

Wenn Sie eine Sicherheitsprofilgruppe erstellen, können Sie den Namen der Sicherheitsprofilgruppe als String oder als eindeutige URL-ID angeben. Verwenden Sie das folgende Format , um die eindeutige URL für eine Sicherheitsprofilgruppe zu erstellen:

projects/PROJECT_ID/locations/global/securityProfileGroups/NAME

Wenn Sie für den Namen der Sicherheitsprofilgruppe eine eindeutige URL-ID verwenden, sind das Projekt und der Standort der Sicherheitsprofilgruppe bereits in der URL-ID enthalten. Wenn Sie jedoch nur den Namen der Sicherheitsprofilgruppe verwenden, müssen Sie das Projekt und den Standort separat angeben. Weitere Informationen zu eindeutigen URL-Kennungen finden Sie unter Spezifikationen für Sicherheitsgruppengruppen.

gcloud

Verwenden Sie zum Erstellen einer Sicherheitsprofilgruppe den gcloud network-security security-profile-groups create-Befehl:

gcloud beta network-security security-profile-groups create NAME \
    --project PROJECT_ID \
    --location LOCATION \
    --url-filtering-profile SECURITY_PROFILE_URL \
    --threat-prevention-profile SECURITY_PROFILE_URL \
    --description DESCRIPTION

Ersetzen Sie Folgendes:

  • NAME: der Name der Sicherheitsprofilgruppe. Sie können den Namen als String oder als eindeutige URL-ID angeben.

  • PROJECT_ID: das Projekt, in dem die Sicherheitsprofilgruppe erstellt wird. Wenn Sie eine eindeutige URL-ID für die Variable NAME verwenden, können Sie das Flag --project weglassen.

  • LOCATION: der Standort der Sicherheitsprofilgruppe.

    Der Standort ist immer auf global festgelegt. Wenn Sie eine eindeutige URL-ID für die Variable NAME verwenden, können Sie das Flag --location weglassen.

  • SECURITY_PROFILE_URL: eine eindeutige URL-ID für ein Sicherheitsprofil vom Typ url-filtering oder threat-prevention. Sie müssen mindestens eines dieser Sicherheitsprofile hinzufügen.

  • DESCRIPTION: Eine optionale Beschreibung für die Sicherheitsprofilgruppe.

Sicherheitsprofilgruppe ansehen

Sie können die Details einer bestimmten Sicherheitsprofilgruppe in einer Organisation oder einem Projekt aufrufen.

Sicherheitsprofilgruppen auf Organisationsebene

Wenn Sie eine Sicherheitsprofilgruppe auf Organisationsebene aufrufen möchten, verwenden Sie dieGoogle Cloud Console oder die gcloud CLI.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Sicherheitsprofile auf.

    Zu „Sicherheitsprofile“

  2. Wählen Sie den Tab Sicherheitsprofilgruppen aus. Der Tab enthält eine Liste der konfigurierten Sicherheitsprofilgruppen.

  3. Wählen Sie die Sicherheitsprofilgruppe aus, um sich die zugehörigen Details anzusehen.

gcloud

Wenn Sie die Details einer Sicherheitsprofilgruppe aufrufen möchten, verwenden Sie den gcloud network-security security-profile-groups describe-Befehl:

gcloud network-security security-profile-groups describe NAME \
    --organization ORGANIZATION_ID \
    --location LOCATION \
    --billing-project QUOTA_PROJECT_ID

Ersetzen Sie Folgendes:

  • NAME: der Name der Sicherheitsprofilgruppe. Sie können den Namen als String oder als eindeutige URL-ID angeben.

  • ORGANIZATION_ID: die Organisation, in der die Sicherheitsprofilgruppe vorhanden ist. Wenn Sie eine eindeutige URL-ID für die Variable NAME verwenden, können Sie das Flag --organization weglassen.

  • LOCATION: der Standort der Sicherheitsprofilgruppe.

    Der Standort ist immer auf global festgelegt. Wenn Sie eine eindeutige URL-ID für die Variable NAME verwenden, können Sie das Flag --location weglassen.

  • QUOTA_PROJECT_ID: Optionale Projekt-ID zur Verwendung für Kontingente und Zugriffsbeschränkungen für die Sicherheitsprofilgruppe.

Sicherheitsprofilgruppen auf Projektebene

Wenn Sie eine Sicherheitsprofilgruppe auf Projektebene aufrufen möchten, verwenden Sie die gcloud CLI.

gcloud

Wenn Sie die Details einer Sicherheitsprofilgruppe aufrufen möchten, verwenden Sie den gcloud beta network-security security-profile-groups describe-Befehl:

gcloud beta network-security security-profile-groups describe NAME \
    --project PROJECT_ID \
    --location LOCATION

Ersetzen Sie Folgendes:

  • NAME: der Name der Sicherheitsprofilgruppe. Sie können den Namen als String oder als eindeutige URL-ID angeben.

  • PROJECT_ID: das Projekt, in dem die Sicherheitsprofilgruppe vorhanden ist. Wenn Sie eine eindeutige URL-ID für das Flag NAME verwenden, können Sie das Flag --project weglassen.

  • LOCATION: der Standort der Sicherheitsprofilgruppe.

    Der Standort ist immer auf global festgelegt. Wenn Sie eine eindeutige URL-ID für das Flag NAME verwenden, können Sie das Flag --location weglassen.

Sicherheitsprofilgruppen auflisten

Sie können alle Sicherheitsprofilgruppen in einer Organisation oder einem Projekt auflisten.

Sicherheitsprofilgruppen auf Organisationsebene

Verwenden Sie dieGoogle Cloud Console oder die gcloud CLI, um alle Sicherheitsprofilgruppen auf Organisationsebene aufzulisten.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Sicherheitsprofile auf.

    Zu „Sicherheitsprofile“

  2. Wählen Sie den Tab Sicherheitsprofilgruppen aus. Der Tab enthält eine Liste der konfigurierten Sicherheitsprofilgruppen.

gcloud

Verwenden Sie den gcloud network-security security-profile-groups list-Befehl, um Sicherheitsprofilgruppen aufzulisten:

gcloud network-security security-profile-groups list \
    --organization ORGANIZATION_ID \
    --location LOCATION \
    --billing-project BILLING_PROJECT_ID

Ersetzen Sie Folgendes:

  • ORGANIZATION_ID: die Organisation, in der die Sicherheitsprofilgruppe vorhanden ist. Wenn Sie eine eindeutige URL-ID für die Variable NAME verwenden, können Sie das Flag --organization weglassen.

  • LOCATION: der Standort der Sicherheitsprofilgruppe.

    Der Standort ist immer auf global festgelegt. Wenn Sie eine eindeutige URL-ID für die Variable NAME verwenden, können Sie das Flag --location weglassen.

  • BILLING_PROJECT_ID: Optionale Projekt-ID zur Abrechnung der Sicherheitsprofilgruppe.

Sicherheitsprofilgruppen auf Projektebene

Verwenden Sie die gcloud CLI, um alle Sicherheitsprofilgruppen auf Projektebene aufzulisten.

gcloud

Verwenden Sie den gcloud network-security security-profile-groups list-Befehl, um Sicherheitsprofilgruppen aufzulisten:

gcloud network-security security-profile-groups list \
    --project PROJECT_ID \
    --location LOCATION

Ersetzen Sie Folgendes:

  • PROJECT_ID: das Projekt, in dem die Sicherheitsprofilgruppe vorhanden ist.

  • LOCATION: der Standort der Sicherheitsprofilgruppe.

    Der Standort ist immer auf global festgelegt.

Sicherheitsprofilgruppe aktualisieren

Sie können den Namen des Sicherheitsprofils aktualisieren, auf das in einer Sicherheitsprofilgruppe verwiesen wird.

Sicherheitsprofilgruppen auf Organisationsebene

Verwenden Sie dieGoogle Cloud -Konsole oder die gcloud CLI, um eine Sicherheitsprofilgruppe auf Organisationsebene zu aktualisieren.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Sicherheitsprofile auf.

    Zu „Sicherheitsprofile“

  2. Wählen Sie den Tab Sicherheitsprofilgruppen aus. Der Tab enthält eine Liste der konfigurierten Sicherheitsprofilgruppen.

  3. Wählen Sie die Sicherheitsprofilgruppe aus und klicken Sie auf Bearbeiten.

  4. Aktualisieren Sie die Pflichtfelder und klicken Sie dann auf Speichern.

gcloud

Verwenden Sie den gcloud network-security security-profile-groups update-Befehl, um eine Sicherheitsprofilgruppe zu aktualisieren:

gcloud network-security security-profile-groups update NAME \
    --organization ORGANIZATION_ID \
    --location LOCATION \
    --clear-threat-prevention-profile | --threat-prevention-profile SECURITY_PROFILE_URL \
    --clear-url-filtering-profile | --url-filtering-profile SECURITY_PROFILE_URL \
    --billing-project QUOTA_PROJECT_ID \
    --description DESCRIPTION

Ersetzen Sie Folgendes:

  • NAME: der Name der Sicherheitsprofilgruppe, die Sie aktualisieren möchten. Sie können den Namen als String oder als eindeutige URL-ID angeben.

  • ORGANIZATION_ID: die Organisation, in der die Sicherheitsprofilgruppe vorhanden ist. Wenn Sie eine eindeutige URL-ID für die Variable NAME verwenden, können Sie das Flag --organization weglassen.

  • LOCATION: der Standort der Sicherheitsprofilgruppe.

    Der Standort ist immer auf global festgelegt. Wenn Sie eine eindeutige URL-ID für die Variable NAME verwenden, können Sie das Flag --location weglassen.

  • SECURITY_PROFILE_URL: eine eindeutige URL-ID des Sicherheitsprofils vom Typ url-filtering oder threat-prevention.

    Geben Sie höchstens eines dieser Flags an:

    • clear-threat-prevention-profile: Das Feld „Profil zur Gefahrenabwehr“ wird geleert.
    • threat-prevention-profile: Aktualisieren Sie das Feld „threat-prevention-profile“ mit der eindeutigen URL-ID des Sicherheitsprofils vom Typ threat-prevention.

    Geben Sie auch hier höchstens eines dieser Flags an:

    • clear-url-filtering-profile: Löschen Sie das Feld „URL-Filterprofil“.
    • url-filtering-profile: Aktualisieren Sie das Feld „url-filtering-profile“ mit der eindeutigen URL-ID des Sicherheitsprofils vom Typ url-filtering.

  • QUOTA_PROJECT_ID: Optionale Projekt-ID zur Verwendung für Kontingente und Zugriffsbeschränkungen für die Sicherheitsprofilgruppe.

  • DESCRIPTION: Eine optionale Beschreibung für die Sicherheitsprofilgruppe.

Sicherheitsprofilgruppen auf Projektebene

Verwenden Sie die gcloud CLI, um eine Sicherheitsprofilgruppe auf Projektebene zu aktualisieren.

gcloud

Verwenden Sie den gcloud beta network-security security-profile-groups update-Befehl, um eine Sicherheitsprofilgruppe zu aktualisieren:

gcloud beta network-security security-profile-groups update NAME \
    --project PROJECT_ID \
    --location LOCATION \
    --clear-threat-prevention-profile | --threat-prevention-profile SECURITY_PROFILE_URL \
    --clear-url-filtering-profile | --url-filtering-profile SECURITY_PROFILE_URL \
    --description DESCRIPTION

Ersetzen Sie Folgendes:

  • NAME: der Name der Sicherheitsprofilgruppe, die Sie aktualisieren möchten. Sie können den Namen als String oder als eindeutige URL-ID angeben.

  • PROJECT_ID: das Projekt, in dem die Sicherheitsprofilgruppe vorhanden ist. Wenn Sie eine eindeutige URL-ID für das Flag NAME verwenden, können Sie das Flag --project weglassen.

  • LOCATION: der Standort der Sicherheitsprofilgruppe.

    Der Standort ist immer auf global festgelegt. Wenn Sie eine eindeutige URL-ID für die Variable NAME verwenden, können Sie das Flag --location weglassen.

  • SECURITY_PROFILE_URL: eine eindeutige URL-ID des Sicherheitsprofils vom Typ url-filtering oder threat-prevention.

    Geben Sie höchstens eines dieser Flags an:

    • clear-threat-prevention-profile: Das Feld „Profil zur Gefahrenabwehr“ wird geleert.
    • threat-prevention-profile: Aktualisieren Sie das Feld „threat-prevention-profile“ mit der eindeutigen URL-ID des Sicherheitsprofils vom Typ threat-prevention.

    Geben Sie auch hier höchstens eines dieser Flags an:

    • clear-url-filtering-profile: Löschen Sie das Feld „URL-Filterprofil“.
    • url-filtering-profile: Aktualisieren Sie das Feld „url-filtering-profile“ mit der eindeutigen URL-ID des Sicherheitsprofils vom Typ url-filtering.

  • DESCRIPTION: Eine optionale Beschreibung für die Sicherheitsprofilgruppe.

Sicherheitsprofilgruppe löschen

Sie können eine Sicherheitsprofilgruppe löschen, indem Sie ihren Namen, ihren Standort und ihre Organisation oder ihr Projekt angeben. Wenn jedoch eine Firewallrichtlinie auf ein Sicherheitsprofil verweist, kann diese Sicherheitsprofilgruppe nicht gelöscht werden.

Sicherheitsprofilgruppen auf Organisationsebene

Verwenden Sie zum Löschen einer Sicherheitsprofilgruppe auf Organisationsebene dieGoogle Cloud -Konsole oder die gcloud CLI.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Sicherheitsprofile auf.

    Zu „Sicherheitsprofile“

  2. Wählen Sie den Tab Sicherheitsprofilgruppen aus. Der Tab enthält eine Liste der konfigurierten Sicherheitsprofilgruppen.

  3. Wählen Sie die Sicherheitsprofilgruppe aus und klicken Sie auf Löschen.

  4. Klicken Sie zum Bestätigen noch einmal auf Löschen.

gcloud

Verwenden Sie zum Löschen einer Sicherheitsprofilgruppe den gcloud network-security security-profile-groups delete-Befehl:

gcloud network-security security-profile-groups delete NAME \
    --organization ORGANIZATION_ID \
    --location LOCATION \
    --billing-project QUOTA_PROJECT_ID

Ersetzen Sie Folgendes:

  • NAME: der Name der Sicherheitsprofilgruppe, die Sie löschen möchten. Sie können den Namen als String oder als eindeutige URL-ID angeben.

  • ORGANIZATION_ID: die Organisation, in der die Sicherheitsprofilgruppe vorhanden ist. Wenn Sie eine eindeutige URL-ID für die Variable NAME verwenden, können Sie das Flag --organization weglassen.

  • LOCATION: der Standort der Sicherheitsprofilgruppe.

    Der Standort ist immer auf global festgelegt. Wenn Sie eine eindeutige URL-ID für die Variable NAME verwenden, können Sie das Flag --location weglassen.

  • QUOTA_PROJECT_ID: Optionale Projekt-ID zur Verwendung für Kontingente und Zugriffsbeschränkungen für die Sicherheitsprofilgruppe.

Sicherheitsprofilgruppen auf Projektebene

Verwenden Sie die gcloud CLI, um eine Sicherheitsprofilgruppe auf Projektebene zu löschen.

gcloud

Verwenden Sie zum Löschen einer Sicherheitsprofilgruppe den gcloud beta network-security security-profile-groups delete-Befehl:

gcloud beta network-security security-profile-groups delete NAME \
    --project PROJECT_ID \
    --location LOCATION

Ersetzen Sie Folgendes:

  • NAME: der Name der Sicherheitsprofilgruppe, die Sie löschen möchten. Sie können den Namen als String oder als eindeutige URL-ID angeben.

  • PROJECT_ID: das Projekt, in dem die Sicherheitsprofilgruppe vorhanden ist. Wenn Sie eine eindeutige URL-ID für die Variable NAME verwenden, können Sie das Flag --project weglassen.

  • LOCATION: der Standort der Sicherheitsprofilgruppe.

    Der Standort ist immer auf global festgelegt. Wenn Sie eine eindeutige URL-ID für die Variable NAME verwenden, können Sie das Flag --location weglassen.

Nächste Schritte