יצירה של קבוצות פרופילי אבטחה

כדי להחיל מדיניות אחידה של אבטחת רשת בסביבת Google Cloud העבודה, אפשר להשתמש בקבוצות של פרופילי אבטחה כדי לשלב ולהחיל פרופילים של מניעת איומים וסינון כתובות URL. קיבוץ הפרופילים מאפשר לאכוף כמה בדיקות אבטחה, כמו מניעת איומים וסינון כתובות URL בתעבורת הרשת, באמצעות כלל מדיניות חומת אש יחיד. כך אפשר לאכוף את המדיניות באופן עקבי ולפשט את הניהול. במאמר הזה מוסבר איך ליצור ולהגדיר קבוצות של פרופילי אבטחה ברמת הארגון וברמת הפרויקט באמצעות Google Cloud המסוף או Google Cloud CLI.

המסמך הזה מיועד לאדמינים של רשתות ולמהנדסי אבטחה שמגדירים מדיניות אבטחה ומדיניות חומת אש ברשת.

לפני שמתחילים, כדאי לעיין במושגים שבמאמר סקירה כללית על קבוצות של פרופילי אבטחה.

כדי לבדוק את התקדמות הפעולות שמפורטות בדף הזה, צריך לוודא שלתפקיד המשתמש שלכם יש את ההרשאות הבאות של Compute Network User ‏(roles/compute.networkUser):

  • networksecurity.operations.get
  • networksecurity.operations.list

לפני שמתחילים

תפקידים

כדי לקבל את ההרשאות שדרושות ליצירת קבוצות של פרופילי אבטחה, צריך לבקש מהאדמין להקצות לכם את תפקידי ה-IAM הנדרשים בארגון או בפרויקט. מידע נוסף על מתן תפקידים מופיע במאמר ניהול הגישה.

יצירה של קבוצת פרופילי אבטחה

כל קבוצת פרופילים לאבטחה יכולה להכיל עד פרופיל אבטחה אחד מכל אחד מהסוגים הבאים:

  • url-filtering
  • threat-prevention

קבוצות של פרופילי אבטחה ברמת הארגון

כדי ליצור קבוצת פרופילים של אבטחה ברמת הארגון, משתמשים במסוףGoogle Cloud או ב-CLI של gcloud.

כשיוצרים קבוצה של פרופילי אבטחה, אפשר לציין את השם של קבוצת פרופילי האבטחה כמחרוזת או כמזהה ייחודי של כתובת URL. כדי ליצור את כתובת ה-URL הייחודית לקבוצת פרופילים של אבטחה, משתמשים בפורמט הבא:

organizations/ORGANIZATION_ID/locations/global/securityProfileGroups/NAME

אם משתמשים במזהה URL ייחודי לשם קבוצת פרופילי האבטחה, הארגון והמיקום של קבוצת פרופילי האבטחה כבר כלולים במזהה ה-URL. עם זאת, אם משתמשים רק בשם של קבוצת פרופילים לאבטחה, צריך לציין את הארגון והמיקום בנפרד. מידע נוסף על מזהים ייחודיים של כתובות URL זמין במפרטים של קבוצות פרופילי אבטחה.

המסוף

  1. נכנסים לדף Security profiles במסוף Google Cloud .

    מעבר לפרופילי אבטחה

  2. בתפריט לבחירת פרויקטים, בוחרים את הארגון.

  3. לוחצים על הכרטיסייה קבוצות של פרופילי אבטחה.

הגדרת קבוצת פרופילי אבטחה:

  1. לוחצים על יצירת קבוצת פרופילים.
  2. מזינים שם בשדה Name.
  3. אם רוצים, מוסיפים תיאור בשדה Description.
  4. כדי ליצור קבוצת פרופילים של אבטחה עבור Cloud Next Generation Firewall Enterprise, בקטע Purpose בוחרים באפשרות Cloud NGFW Enterprise.
  5. ברשימה Threat prevention profile או ברשימה URL filtering profile, בוחרים את פרופיל האבטחה שרוצים להוסיף לקבוצת פרופילי האבטחה הזו.
  6. לוחצים על יצירה.

gcloud

כדי ליצור קבוצת פרופילי אבטחה, משתמשים בפקודה gcloud network-security security-profile-groups create:

gcloud network-security security-profile-groups create NAME \
    --organization ORGANIZATION_ID \
    --location LOCATION \
    --billing-project QUOTA_PROJECT_ID \
    --url-filtering-profile SECURITY_PROFILE_URL \
    --threat-prevention-profile SECURITY_PROFILE_URL \
    --description DESCRIPTION

מחליפים את מה שכתוב בשדות הבאים:

  • NAME: השם של קבוצת פרופילי האבטחה. אפשר לציין את השם כמחרוזת או כמזהה ייחודי של כתובת URL.

  • ORGANIZATION_ID: הארגון שבו נוצרה קבוצת פרופילי האבטחה. אם אתם משתמשים במזהה ייחודי של כתובת URL עבור המשתנה NAME, אתם יכולים להשמיט את הדגל --organization.

  • LOCATION: המיקום של קבוצת פרופילי האבטחה.

    המיקום תמיד מוגדר לערך global. אם משתמשים במזהה ייחודי של כתובת URL עבור המשתנה NAME, אפשר להשמיט את הדגל --location.

  • QUOTA_PROJECT_ID: מזהה פרויקט אופציונלי שישמש למכסות ולהגבלות גישה בקבוצת פרופילי האבטחה.

  • SECURITY_PROFILE_URL: מזהה ייחודי של כתובת URL לפרופיל אבטחה מסוג url-filtering או threat-prevention. חובה להוסיף לפחות אחד מהפרופילים האלה של אבטחה.

  • DESCRIPTION: תיאור אופציונלי של קבוצת פרופילי האבטחה.

קבוצות של פרופילי אבטחה ברמת הפרויקט

כדי ליצור קבוצת פרופילים של אבטחה ברמת הפרויקט, משתמשים ב-CLI של gcloud.

כשיוצרים קבוצה של פרופילי אבטחה, אפשר לציין את השם של קבוצת פרופילי האבטחה כמחרוזת או כמזהה ייחודי של כתובת URL. כדי ליצור את כתובת ה-URL הייחודית של קבוצת פרופילים של אבטחה , משתמשים בפורמט הבא:

projects/PROJECT_ID/locations/global/securityProfileGroups/NAME

אם משתמשים במזהה URL ייחודי בשביל שם קבוצת פרופילי האבטחה, הפרויקט והמיקום של קבוצת פרופילי האבטחה כבר כלולים במזהה ה-URL. עם זאת, אם משתמשים רק בשם של קבוצת פרופילי האבטחה, צריך לציין את הפרויקט ואת המיקום בנפרד. מידע נוסף על מזהים ייחודיים של כתובות URL זמין במפרטים של קבוצות פרופילי אבטחה.

gcloud

כדי ליצור קבוצת פרופילי אבטחה, משתמשים בפקודה gcloud network-security security-profile-groups create:

gcloud beta network-security security-profile-groups create NAME \
    --project PROJECT_ID \
    --location LOCATION \
    --url-filtering-profile SECURITY_PROFILE_URL \
    --threat-prevention-profile SECURITY_PROFILE_URL \
    --description DESCRIPTION

מחליפים את מה שכתוב בשדות הבאים:

  • NAME: השם של קבוצת פרופילי האבטחה. אפשר לציין את השם כמחרוזת או כמזהה ייחודי של כתובת URL.

  • PROJECT_ID: הפרויקט שבו נוצרה קבוצת פרופילי האבטחה. אם אתם משתמשים במזהה ייחודי של כתובת URL עבור המשתנה NAME, אתם יכולים להשמיט את הדגל --project.

  • LOCATION: המיקום של קבוצת פרופילי האבטחה.

    המיקום תמיד מוגדר לערך global. אם משתמשים במזהה ייחודי של כתובת URL עבור המשתנה NAME, אפשר להשמיט את הדגל --location.

  • SECURITY_PROFILE_URL: מזהה ייחודי של כתובת URL לפרופיל אבטחה מסוג url-filtering או threat-prevention. חובה להוסיף לפחות אחד מהפרופילים האלה של אבטחה.

  • DESCRIPTION: תיאור אופציונלי של קבוצת פרופילי האבטחה.

המאמרים הבאים