環境全体に一貫したネットワーク セキュリティ ポリシーを適用するには、セキュリティ プロファイル グループを使用して、脅威防止プロファイルと URL フィルタリング プロファイルを組み合わせて適用します。 Google Cloudこれらのプロファイルをグループ化することで、単一のファイアウォール ポリシー ルールを介してネットワーク トラフィックに脅威防止や URL フィルタリングなどの複数のセキュリティ チェックを適用し、一貫したポリシー適用と管理の簡素化を実現できます。 このドキュメントでは、コンソールまたは Google Cloud CLI を使用して、組織レベルと プロジェクト レベルのセキュリティ プロファイル グループを作成して構成する方法について説明します。 Google Cloud
このドキュメントは、ネットワーク セキュリティとファイアウォール ポリシーを構成するネットワーク管理者とセキュリティ エンジニアを対象としています。
始める前に、 セキュリティ プロファイル グループの概要のコンセプトを確認してください。
このページに記載されているオペレーションの進行状況を確認するには、
ユーザー ロールに次の
Compute ネットワーク ユーザー
(roles/compute.networkUser)の権限が付与されていることを確認してください。
networksecurity.operations.getnetworksecurity.operations.list
始める前に
- プロジェクトで Network Security API を有効にする必要があります。
このガイドの
gcloudコマンドラインのサンプルを実行する場合は、gcloud CLI をインストールします。
ロール
セキュリティ プロファイル グループを作成するために必要な権限を取得するには、組織またはプロジェクトに必要な IAM ロールの付与を管理者に依頼してください。ロールの付与の詳細については、 アクセス権の管理をご覧ください。
セキュリティ プロファイル グループを作成する
各セキュリティ プロファイル グループには、次のタイプのセキュリティ プロファイルをそれぞれ 1 つずつ含めることができます。
url-filteringthreat-prevention
組織レベルのセキュリティ プロファイル グループ
組織レベルのセキュリティ プロファイル グループを作成するには、 Google Cloud コンソールまたは gcloud CLI を使用します。
セキュリティ プロファイル グループを作成するときに、セキュリティ プロファイル グループの名前を文字列または一意の URL 識別子として指定できます。セキュリティ プロファイル グループの一意の URL を作成するには、次の形式を使用します。
organizations/ORGANIZATION_ID/locations/global/securityProfileGroups/NAME
セキュリティ プロファイル グループ名に一意の URL 識別子を使用している場合、セキュリティ プロファイル グループの組織とロケーションは URL 識別子にすでに含まれています。ただし、セキュリティ プロファイル グループ名のみを使用する場合は、組織とロケーションを個別に指定する必要があります。 一意の URL 識別子の詳細については、 セキュリティ プロファイル グループの仕様をご覧ください。
コンソール
コンソールで、[セキュリティ プロファイル] ページに移動します。 Google Cloud
プロジェクト セレクタのメニューで、組織を選択します。
[セキュリティ プロファイル グループ] タブを選択します。
セキュリティ プロファイル グループを構成します。
- [プロファイル グループを作成] をクリックします。
- 必要に応じて、[名前] フィールドに名前を入力します。
- 省略可: [説明] フィールドに説明を入力します。
- Cloud Next Generation Firewall Enterprise のセキュリティ プロファイル グループを作成するには、[目的] セクションで [Cloud NGFW Enterprise] を選択します。
- [脅威防止プロファイル] リストまたは [URL フィルタリング プロファイル] リストで、このセキュリティ プロファイル グループに追加するセキュリティ プロファイルを選択します。
- [作成] をクリックします。
gcloud
セキュリティ プロファイル グループを作成するには、gcloud network-security
security-profile-groups create
コマンドを使用します。
gcloud network-security security-profile-groups create NAME \
--organization ORGANIZATION_ID \
--location LOCATION \
--billing-project QUOTA_PROJECT_ID \
--url-filtering-profile SECURITY_PROFILE_URL \
--threat-prevention-profile SECURITY_PROFILE_URL \
--description DESCRIPTION
次のように置き換えます。
NAME: セキュリティ プロファイル グループの名前。名前は文字列または一意の URL 識別子として指定できます。ORGANIZATION_ID: セキュリティ プロファイル グループが作成される組織。NAME変数に一意の URL 識別子を使用する場合、--organizationフラグは省略できます。LOCATION: セキュリティ プロファイル グループのロケーション。ロケーションは常に
globalに設定されます。NAME変数に一意の URL 識別子を使用する場合、--locationフラグは省略できます。QUOTA_PROJECT_ID: セキュリティ プロファイル グループの割り当てとアクセス制限に使用するプロジェクト ID(省略可)。SECURITY_PROFILE_URL:url-filteringまたはthreat-preventionタイプのセキュリティ プロファイルの一意の URL 識別子。これらのセキュリティ プロファイルのいずれか 1 つ以上を追加する必要があります。DESCRIPTION: セキュリティ プロファイル グループの説明(省略可)。
プロジェクト レベルのセキュリティ プロファイル グループ
プロジェクト レベルのセキュリティ プロファイル グループを作成するには、gcloud CLI を使用します。
セキュリティ プロファイル グループを作成するときに、セキュリティ プロファイル グループの名前を文字列または一意の URL 識別子として指定できます。セキュリティ プロファイル グループの一意の URL を作成するには、次の形式を使用します。
projects/PROJECT_ID/locations/global/securityProfileGroups/NAME
セキュリティ プロファイル グループ名に一意の URL 識別子を使用している場合、セキュリティ プロファイル グループのプロジェクトとロケーションは URL 識別子にすでに含まれています。ただし、セキュリティ プロファイル グループ名のみを使用する場合は、プロジェクトとロケーションを個別に指定する必要があります。 一意の URL 識別子の詳細については、 セキュリティ プロファイル グループの仕様をご覧ください。
gcloud
セキュリティ プロファイル グループを作成するには、gcloud network-security
security-profile-groups create
コマンドを使用します。
gcloud beta network-security security-profile-groups create NAME \
--project PROJECT_ID \
--location LOCATION \
--url-filtering-profile SECURITY_PROFILE_URL \
--threat-prevention-profile SECURITY_PROFILE_URL \
--description DESCRIPTION
次のように置き換えます。
NAME: セキュリティ プロファイル グループの名前。名前は文字列または一意の URL 識別子として指定できます。PROJECT_ID: セキュリティ プロファイル グループが作成されるプロジェクト。NAME変数に一意の URL 識別子を使用する場合、--projectフラグは省略できます。LOCATION: セキュリティ プロファイル グループのロケーション。ロケーションは常に
globalに設定されます。NAME変数に一意の URL 識別子を使用する場合、--locationフラグは省略できます。SECURITY_PROFILE_URL:url-filteringまたはthreat-preventionタイプのセキュリティ プロファイルの一意の URL 識別子。これらのセキュリティ プロファイルのいずれか 1 つ以上を追加する必要があります。DESCRIPTION: セキュリティ プロファイル グループの説明(省略可)。