セキュリティ プロファイル グループを作成する

セキュリティ プロファイル グループは、セキュリティ プロファイルのコンテナです。セキュリティ プロファイル タイプをバンドルして、管理を容易にし、ファイアウォール ルールに適用できます。これらのグループは、組織レベルまたはプロジェクト レベルで作成できます。

各セキュリティ プロファイル グループには、次のタイプのセキュリティ プロファイルをそれぞれ 1 つずつ含めることができます。

  • THREAT_PREVENTION
  • URL_FILTERING

Google Cloud環境全体に一貫したネットワーク セキュリティ ポリシーを適用するには、セキュリティ プロファイル グループを使用して、脅威防止プロファイルと URL フィルタリング プロファイルを組み合わせて適用します。これらのプロファイルをグループ化すると、単一のファイアウォール ポリシールールを介して、ネットワーク トラフィックに対する脅威防止や URL フィルタリングなどの複数のセキュリティ チェックを適用できます。これにより、一貫したポリシーの適用と管理の簡素化が実現します。このドキュメントでは、 Google Cloud コンソールまたは Google Cloud CLI を使用して、組織レベルとプロジェクト レベルのセキュリティ プロファイル グループを作成して構成する方法について説明します。

このドキュメントは、ネットワーク セキュリティとファイアウォール ポリシーを構成するネットワーク管理者とセキュリティ エンジニアを対象としています。

始める前に、セキュリティ プロファイル グループの概要でコンセプトを確認してください。

始める前に

  • プロジェクトで Network Security API有効にする必要があります。
  • このガイドの gcloud コマンドラインのサンプルを実行する場合は、gcloud CLI をインストールします。
  • セキュリティ プロファイル グループに追加する必要があるセキュリティ プロファイルを作成します。

ロール

セキュリティ プロファイル グループを作成するために必要な権限を取得するには、組織またはプロジェクトに必要な Identity and Access Management(IAM)ロールを付与するよう管理者に依頼してください。ロールの付与の詳細については、アクセス権の管理をご覧ください。

セキュリティ プロファイル グループを作成する

セキュリティ プロファイル グループを作成して、1 つ以上のセキュリティ プロファイルを 1 つのリソースにバンドルし、管理を容易にしてファイアウォール ルールに適用します。

各セキュリティ プロファイル グループには、次のタイプのセキュリティ プロファイルをそれぞれ 1 つずつ含めることができます。

  • URL_FILTERING
  • THREAT_PREVENTION

コンソール

  1. Google Cloud コンソールで、[セキュリティ プロファイル] ページに移動します。

    [セキュリティ プロファイル] に移動

  2. プロジェクト セレクタのメニューで、組織またはプロジェクトを選択します。

  3. [セキュリティ プロファイル グループ] タブを選択します。

  4. [プロファイル グループを作成] をクリックします。

  5. 必要に応じて、[名前] フィールドに名前を入力します。

  6. 省略可: [説明] フィールドに説明を入力します。

  7. Cloud Next Generation Firewall Enterprise のセキュリティ プロファイル グループを作成するには、[目的] セクションで [Cloud NGFW Enterprise] を選択します。

  8. グループに 1 つ以上のセキュリティ プロファイルを追加します。

    • 脅威防止プロファイルを追加するには、[脅威防止プロファイル] を選択します。
    • URL フィルタリング プロファイルを追加するには、[URL フィルタリング プロファイル] を選択します。
  9. [作成] をクリックします。

gcloud

セキュリティ プロファイル グループを作成するには、gcloud network-security security-profile-groups create コマンドを使用します。

gcloud network-security security-profile-groups create NAME \
    --organization ORGANIZATION_ID | --project PROJECT_ID \
    [--billing-project QUOTA_PROJECT_ID] \
    --threat-prevention-profile THREAT_SECURITY_PROFILE_URL \
    --url-filtering-profile URL_SECURITY_PROFILE_URL \
    --location global

次のように置き換えます。

  • NAME: セキュリティ プロファイル グループの名前。

    一意の URL 識別子形式で名前を指定しない場合は、組織またはプロジェクトの名前とロケーションを指定する必要があります。

  • ORGANIZATION_ID: 組織 ID。このフラグは、組織レベルのセキュリティ プロファイル グループに使用します。

  • PROJECT_ID: プロジェクト ID。このフラグは、プロジェクト レベルのセキュリティ プロファイル グループに使用します。

  • QUOTA_PROJECT_ID: 割り当てプロジェクト ID。このフラグは、組織レベルのセキュリティ プロファイル グループでのみ使用します。

  • THREAT_SECURITY_PROFILE_URL: THREAT_PREVENTION タイプのセキュリティ プロファイルの一意の URL 識別子。

  • URL_SECURITY_PROFILE_URL: URL_FILTERING タイプのセキュリティ プロファイルの一意の URL 識別子。

次のステップ