Untuk menerapkan kebijakan keamanan jaringan yang konsisten di seluruh Google Cloud lingkungan Anda, Anda dapat menggunakan grup profil keamanan untuk menggabungkan dan menerapkan profil pencegahan ancaman dan pemfilteran URL. Dengan mengelompokkan profil ini, Anda dapat menerapkan beberapa pemeriksaan keamanan seperti pencegahan ancaman dan pemfilteran URL pada traffic jaringan melalui satu aturan kebijakan firewall, sehingga memastikan penerapan kebijakan yang konsisten dan pengelolaan yang disederhanakan. Dokumen ini menjelaskan cara membuat dan mengonfigurasi grup profil keamanan tingkat organisasi dan tingkat project menggunakan Google Cloud konsol atau Google Cloud CLI.
Dokumen ini ditujukan untuk administrator jaringan dan engineer keamanan yang mengonfigurasi kebijakan keamanan jaringan dan firewall.
Sebelum memulai, tinjau konsep dalam Ringkasan grup profil keamanan.
Untuk memeriksa progres operasi yang tercantum di halaman ini,
pastikan peran pengguna Anda memiliki izin berikut:
Pengguna Jaringan Compute
(roles/compute.networkUser)
networksecurity.operations.getnetworksecurity.operations.list
Sebelum memulai
- Anda harus mengaktifkan Network Security API di project Anda.
Instal gcloud CLI jika Anda ingin menjalankan
gcloudcontoh command line dalam panduan ini.Anda memerlukan profil keamanan pencegahan ancaman atau profil keamanan pemfilteran URL.
Peran
Untuk mendapatkan izin yang diperlukan untuk membuat grup profil keamanan, minta administrator untuk memberi Anda peran IAM yang diperlukan di organisasi atau project Anda. Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses.
Membuat grup profil keamanan
Setiap grup profil keamanan dapat berisi maksimal satu profil keamanan dari setiap jenis berikut:
url-filteringthreat-prevention
Grup profil keamanan tingkat organisasi
Untuk membuat grup profil keamanan tingkat organisasi, gunakan konsol atau gcloud CLI.Google Cloud
Saat membuat grup profil keamanan, Anda dapat menentukan nama grup profil keamanan sebagai string atau sebagai ID URL unik. Untuk membuat URL unik untuk grup profil keamanan, gunakan format berikut:
organizations/ORGANIZATION_ID/locations/global/securityProfileGroups/NAME
Jika Anda menggunakan ID URL unik untuk nama grup profil keamanan, organisasi dan lokasi grup profil keamanan sudah disertakan dalam ID URL. Namun, jika hanya menggunakan nama grup profil keamanan, Anda harus menentukan organisasi dan lokasi secara terpisah. Untuk mengetahui informasi selengkapnya tentang ID URL unik, lihat spesifikasi grup profil keamanan.
Konsol
Di Google Cloud konsol, buka halaman Security profiles.
Di menu pemilih project, pilih organisasi Anda.
Pilih tab Security profile groups.
Konfigurasi grup profil keamanan:
- Klik Create profile group.
- Masukkan nama di kolom Name.
- Opsional: Masukkan deskripsi di kolom Description.
- Untuk membuat grup profil keamanan untuk Cloud Next Generation Firewall Enterprise, di bagian Purpose, pilih Cloud NGFW Enterprise.
- Di daftar Threat prevention profile atau daftar URL filtering profile, pilih profil keamanan yang ingin Anda tambahkan ke grup profil keamanan ini.
- Klik Create.
gcloud
Untuk membuat grup profil keamanan, gunakan gcloud network-security
security-profile-groups create
perintah:
gcloud network-security security-profile-groups create NAME \
--organization ORGANIZATION_ID \
--location LOCATION \
--billing-project QUOTA_PROJECT_ID \
--url-filtering-profile SECURITY_PROFILE_URL \
--threat-prevention-profile SECURITY_PROFILE_URL \
--description DESCRIPTION
Ganti kode berikut:
NAME: nama grup profil keamanan; Anda dapat menentukan nama sebagai string atau sebagai ID URL unik.ORGANIZATION_ID: organisasi tempat grup profil keamanan dibuat. Jika Anda menggunakan ID URL unik untuk variabelNAME, Anda dapat menghapus flag--organization.LOCATION: lokasi grup profil keamanan.Lokasi selalu ditetapkan ke
global. Jika Anda menggunakan ID URL unik untuk variabelNAME, Anda dapat menghapus flag--location.QUOTA_PROJECT_ID: project ID opsional yang akan digunakan untuk kuota dan batasan akses pada grup profil keamanan.SECURITY_PROFILE_URL: ID URL unik untuk profil keamanan jenisurl-filteringatauthreat-prevention. Anda harus menambahkan setidaknya salah satu profil keamanan ini.DESCRIPTION: deskripsi opsional untuk grup profil keamanan.
Grup profil keamanan tingkat project
Untuk membuat grup profil keamanan tingkat project, gunakan gcloud CLI.
Saat membuat grup profil keamanan, Anda dapat menentukan nama grup profil keamanan sebagai string atau sebagai ID URL unik. Untuk membuat URL unik untuk grup profil keamanan , gunakan format berikut:
projects/PROJECT_ID/locations/global/securityProfileGroups/NAME
Jika Anda menggunakan ID URL unik untuk nama grup profil keamanan, project, dan lokasi grup profil keamanan sudah disertakan dalam ID URL. Namun, jika hanya menggunakan nama grup profil keamanan, Anda harus menentukan project dan lokasi secara terpisah. Untuk mengetahui informasi selengkapnya tentang ID URL unik, lihat spesifikasi grup profil keamanan.
gcloud
Untuk membuat grup profil keamanan, gunakan gcloud network-security
security-profile-groups create
perintah:
gcloud beta network-security security-profile-groups create NAME \
--project PROJECT_ID \
--location LOCATION \
--url-filtering-profile SECURITY_PROFILE_URL \
--threat-prevention-profile SECURITY_PROFILE_URL \
--description DESCRIPTION
Ganti kode berikut:
NAME: nama grup profil keamanan; Anda dapat menentukan nama sebagai string atau sebagai ID URL unik.PROJECT_ID: project tempat grup profil keamanan dibuat. Jika Anda menggunakan ID URL unik untuk variabelNAME, Anda dapat menghapus flag--project.LOCATION: lokasi grup profil keamanan.Lokasi selalu ditetapkan ke
global. Jika Anda menggunakan ID URL unik untuk variabelNAME, Anda dapat menghapus flag--location.SECURITY_PROFILE_URL: ID URL unik untuk profil keamanan jenisurl-filteringatauthreat-prevention. Anda harus menambahkan setidaknya salah satu profil keamanan ini.DESCRIPTION: deskripsi opsional untuk grup profil keamanan.