Sicherheitsprofilgruppen erstellen

Sicherheitsprofilgruppen sind Container für Sicherheitsprofile. Damit können Sie Sicherheitsprofiltypen bündeln, um die Verwaltung und Anwendung auf Firewallregeln zu vereinfachen. Sie können diese Gruppen entweder auf Organisations- oder auf Projektebene erstellen.

Jede Sicherheitsprofilgruppe kann maximal ein Sicherheitsprofil der folgenden Typen enthalten:

  • THREAT_PREVENTION
  • URL_FILTERING

Wenn Sie einheitliche Netzwerksicherheitsrichtlinien in Ihrer Google Cloud-Umgebung anwenden möchten, können Sie Sicherheitsprofilgruppen verwenden, um Profile für Bedrohungsschutz und URL-Filterung zu kombinieren und anzuwenden. Durch das Gruppieren dieser Profile können Sie mehrere Sicherheitsprüfungen wie die Bedrohungsabwehr und die URL-Filterung für den Netzwerk-Traffic über eine einzelne Firewallrichtlinienregel erzwingen. So sorgen Sie für eine konsistente Richtliniendurchsetzung und eine vereinfachte Verwaltung. In diesem Dokument wird beschrieben, wie Sie Sicherheitsprofilgruppen auf Organisations- und Projektebene mit der Google Cloud Console oder der Google Cloud CLI erstellen und konfigurieren.

Dieses Dokument richtet sich an Netzwerkadministratoren und Sicherheitsexperten, die Netzwerksicherheits- und Firewallrichtlinien konfigurieren.

Lesen Sie sich zuerst die Konzepte in der Übersicht zu Sicherheitsprofilgruppen durch.

Vorbereitung

  • Sie müssen die Network Connectivity API in Ihrem Projekt aktivieren.
  • Installieren Sie die gcloud CLI, wenn Sie die gcloud-Befehlszeilenbeispiele in dieser Anleitung ausführen möchten.
  • Erstellen Sie die Sicherheitsprofile, die Sie der Sicherheitsprofilgruppe hinzufügen möchten.

Rollen

Bitten Sie Ihren Administrator, Ihnen die erforderlichen IAM-Rollen (Identity and Access Management) in Ihrer Organisation oder Ihrem Projekt zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Erstellen von Sicherheitsprofilgruppen benötigen. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff verwalten.

Sicherheitsprofilgruppe erstellen

Erstellen Sie eine Sicherheitsprofilgruppe, um ein oder mehrere Sicherheitsprofile in einer Ressource zu bündeln. So lassen sie sich einfacher verwalten und auf Firewallregeln anwenden.

Jede Sicherheitsprofilgruppe kann maximal ein Sicherheitsprofil der folgenden Typen enthalten:

  • URL_FILTERING
  • THREAT_PREVENTION

Console

  1. Rufen Sie in der Google Cloud Console die Seite Sicherheitsprofile auf.

    Zu „Sicherheitsprofile“

  2. Wählen Sie im Menü „Projektauswahl“ Ihre Organisation oder das Projekt aus.

  3. Wählen Sie den Tab Sicherheitsprofilgruppen aus.

  4. Klicken Sie auf Profilgruppe erstellen.

  5. Geben Sie in das Feld Name einen Namen ein.

  6. Optional: Geben Sie im Feld Beschreibung eine Beschreibung ein.

  7. Wenn Sie eine Sicherheitsprofilgruppe für Cloud Next Generation Firewall Enterprise erstellen möchten, wählen Sie im Bereich Zweck die Option Cloud NGFW Enterprise aus.

  8. Fügen Sie der Gruppe ein oder mehrere Sicherheitsprofile hinzu:

    • Wenn Sie ein Profil zum Schutz vor Bedrohungen hinzufügen möchten, wählen Sie Profil zum Schutz vor Bedrohungen aus.
    • Wenn Sie ein URL-Filterprofil hinzufügen möchten, wählen Sie das URL-Filterprofil aus.
  9. Klicken Sie auf Erstellen.

gcloud

Verwenden Sie zum Erstellen einer Sicherheitsprofilgruppe den gcloud network-security security-profile-groups create-Befehl:

gcloud network-security security-profile-groups create NAME \
    --organization ORGANIZATION_ID | --project PROJECT_ID \
    [--billing-project QUOTA_PROJECT_ID] \
    --threat-prevention-profile THREAT_SECURITY_PROFILE_URL \
    --url-filtering-profile URL_SECURITY_PROFILE_URL \
    --location global

Ersetzen Sie Folgendes:

  • NAME: der Name der Sicherheitsprofilgruppe.

    Wenn Sie den Namen nicht im Format der eindeutigen URL-ID angeben, müssen Sie den Namen der Organisation oder des Projekts sowie den Standort angeben.

  • ORGANIZATION_ID: die Organisations-ID. Verwenden Sie dieses Flag für eine Sicherheitsprofilgruppe auf Organisationsebene.

  • PROJECT_ID: Projekt-ID. Verwenden Sie dieses Flag für eine Sicherheitsprofilgruppe auf Projektebene.

  • QUOTA_PROJECT_ID: die Projekt-ID des Kontingents. Verwenden Sie dieses Flag nur für Sicherheitsprofilgruppen auf Organisationsebene.

  • THREAT_SECURITY_PROFILE_URL: eine eindeutige URL-ID für ein Sicherheitsprofil vom Typ THREAT_PREVENTION.

  • URL_SECURITY_PROFILE_URL: eine eindeutige URL-ID für ein Sicherheitsprofil vom Typ URL_FILTERING.

Nächste Schritte