脅威から Google Cloud リソースを保護するには、脅威防止のセキュリティ プロファイルを定義して適用します。このドキュメントでは、Google Cloud コンソールまたは Google Cloud CLI を使用して、これらのプロファイルを作成、表示、一覧表示、変更、削除する方法について説明します。
このドキュメントは、ネットワーク セキュリティと脅威防止ポリシーを構成するネットワーク管理者とセキュリティ エンジニアを対象としています。
Google Cloud は、次の 2 つのレベルで脅威防止セキュリティ プロファイルをサポートしています。
- 組織レベルのセキュリティ プロファイル: 組織内の複数のプロジェクトに適用できる一元化された脅威防止ルールを有効にします。
- プロジェクト レベルのセキュリティ プロファイル: 単一プロジェクト内のワークロードに合わせて調整されたプロジェクト固有の脅威防止ルールを有効にします。
詳細については、セキュリティ プロファイルの概要をご覧ください。
始める前に
- プロジェクトで Network Security API を有効にする必要があります。
- このガイドの
gcloudコマンドラインのサンプルを実行する場合は、gcloud CLI をインストールします。
ロール
セキュリティ プロファイルを作成、表示、更新、削除するために必要な権限を取得するには、組織に必要な Identity and Access Management(IAM)ロールの付与を管理者に依頼してください。ロールの付与の詳細については、アクセス権の管理をご覧ください。
脅威防止のセキュリティ プロファイルを作成する
タイプ threat-prevention のセキュリティ プロファイルを作成し、セキュリティ プロファイルの名前を文字列または一意の URL 識別子として指定します。
コンソール
Google Cloud コンソールで、[セキュリティ プロファイル] ページに移動します。
プロジェクト セレクタのメニューで、セキュリティ プロファイルを作成する組織またはプロジェクトを選択します。
[セキュリティ プロファイル] タブを選択します。
[プロファイルを作成] をクリックします。
必要に応じて、[名前] フィールドに名前を入力します。
省略可: [説明] フィールドに説明を入力します。
Cloud Next Generation Firewall Enterprise セキュリティ プロファイルを作成するには、[目的] セクションで [Cloud NGFW Enterprise] を選択します。
脅威防止セキュリティ プロファイルを作成するには、[タイプ] セクションで [脅威防止] を選択します。
[続行] をクリックします。
必要に応じて、重大度と脅威のオーバーライドを追加します。
- [重大度のオーバーライド] で、オーバーライドする重大度の横にある [編集] をクリックします。
- [オーバーライド アクション] リストで、重大度レベルに適したアクションを選択します。
- 脅威シグネチャのオーバーライドを追加するには、[ID で署名を追加] をクリックします。
- [署名 ID] フィールドに、オーバーライドする脅威 ID を入力します。脅威 ID は脅威ダッシュボードで確認できます。
- [オーバーライド アクション] リストで、脅威 ID に適したアクションを選択します。
- [作成] をクリックします。
gcloud
脅威防止セキュリティ プロファイルを作成するには、gcloud network-security security-profiles threat-prevention create コマンドを使用します。
gcloud network-security security-profiles threat-prevention create NAME \ [--organization ORGANIZATION_ID | --project PROJECT_ID] \ [--billing-project QUOTA_PROJECT_ID] \ --description DESCRIPTION \ --location global
次のように置き換えます。
NAME: セキュリティ プロファイルの名前。一意の URL 識別子形式で名前を指定しない場合は、組織またはプロジェクトの名前とロケーションを指定する必要があります。
ORGANIZATION_ID: 組織 ID。組織レベルのセキュリティ プロファイルには、このフラグを使用します。PROJECT_ID: プロジェクト ID。このフラグは、プロジェクト レベルのセキュリティ プロファイルに使用します。QUOTA_PROJECT_ID: 割り当てプロジェクト ID。このフラグは、組織レベルのセキュリティ プロファイルでのみ使用します。DESCRIPTION: 脅威防止セキュリティ プロファイルの説明(省略可)。
セキュリティ プロファイルの詳細を一覧表示して表示する
組織またはプロジェクトで作成されたすべての脅威防止セキュリティ プロファイルを一覧表示できます。セキュリティ プロファイルの詳細(プロファイル タイプ、目的、説明など)を表示することもできます。
コンソール
Google Cloud コンソールで、[セキュリティ プロファイル] ページに移動します。
プロジェクト セレクタのメニューで、組織を選択します。
[セキュリティ プロファイル] タブを選択します。このタブには、構成済みのセキュリティ プロファイルのリストが表示されます。
脅威防止のセキュリティ プロファイルをフィルタするには、[フィルタ] フィールドで、[プロファイル タイプ] を [脅威防止] に指定します。
このタブには、脅威防止セキュリティ プロファイルのリストが表示されます。
[脅威防止] タイプのセキュリティ プロファイルをクリックして、詳細を表示します。
コンソール
Google Cloud コンソールで、[セキュリティ プロファイル] ページに移動します。
プロジェクト選択メニューで、プロジェクトを選択します。
[セキュリティ プロファイル] タブを選択します。このタブには、構成済みのセキュリティ プロファイルのリストが表示されます。
[脅威防止] タイプのセキュリティ プロファイルをクリックして、プロファイルの詳細を表示します。
gcloud
すべての脅威防止セキュリティ プロファイルを一覧表示するには、gcloud network-security security-profiles threat-prevention list コマンドを使用します。
gcloud network-security security-profiles threat-prevention list \
--organization ORGANIZATION_ID | --project PROJECT_ID \
[--billing-project QUOTA_PROJECT_ID] \
--location global
脅威防止セキュリティ プロファイルの詳細を表示するには、gcloud network-security security-profiles describe コマンドを使用します。
gcloud network-security security-profiles describe NAME \
--organization ORGANIZATION_ID | --project PROJECT_ID \
[--billing-project QUOTA_PROJECT_ID] \
--location global
次のように置き換えます。
NAME: セキュリティ プロファイルの名前。一意の URL 識別子形式で名前を指定しない場合は、組織またはプロジェクトの名前とロケーションを指定する必要があります。
ORGANIZATION_ID: セキュリティ プロファイルが存在する組織 ID。このフラグは、組織レベルのセキュリティ プロファイルに使用します。PROJECT_ID: セキュリティ プロファイルが存在するプロジェクト ID。このフラグは、プロジェクト レベルのセキュリティ プロファイルに使用します。QUOTA_PROJECT_ID: 割り当てプロジェクト ID。このフラグは、組織レベルのセキュリティ プロファイルでのみ使用します。
脅威防止のセキュリティ プロファイルを削除する
脅威防止のセキュリティ プロファイルは、名前、ロケーション、組織またはプロジェクトを指定して削除できます。ただし、セキュリティ プロファイルがセキュリティ プロファイル グループによって参照されている場合、そのセキュリティ プロファイルは削除できません。
コンソール
Google Cloud コンソールで、[セキュリティ プロファイル] ページに移動します。
[セキュリティ プロファイル] タブを選択します。このタブには、構成済みのセキュリティ プロファイルのリストが表示されます。
削除する脅威防止セキュリティ プロファイルを選択して、[削除] をクリックします。
もう一度 [削除] をクリックして確定します。
gcloud
脅威防止セキュリティ プロファイルを削除するには、gcloud network-security security-profiles threat-prevention delete コマンドを使用します。
gcloud network-security security-profiles threat-prevention delete NAME \ --organization ORGANIZATION_ID | --project PROJECT_ID \ [--billing-project QUOTA_PROJECT_ID] \ --location global
次のように置き換えます。
NAME: セキュリティ プロファイルの名前。一意の URL 識別子形式で名前を指定しない場合は、組織またはプロジェクトの名前とロケーションを指定する必要があります。
ORGANIZATION_ID: 組織 ID。組織レベルのセキュリティ プロファイルには、このフラグを使用します。PROJECT_ID: プロジェクト ID。このフラグは、プロジェクト レベルのセキュリティ プロファイルに使用します。QUOTA_PROJECT_ID: 割り当てプロジェクト ID。このフラグは、組織レベルのセキュリティ プロファイルでのみ使用します。
脅威防止のセキュリティ プロファイルをインポートする
YAML ファイルから脅威防御セキュリティ プロファイル(カスタム作成または以前にエクスポートされたもの)をインポートできます。脅威防止セキュリティ プロファイルをインポートするときに、同じ名前のプロファイルがすでに存在する場合、Cloud NGFW は既存のプロファイルを更新します。
gcloud
YAML ファイルから脅威防止セキュリティ プロファイルをインポートするには、gcloud network-security security-profiles import コマンドを使用します。
gcloud network-security security-profiles import NAME \ --organization ORGANIZATION_ID | --project PROJECT_ID \ [--billing-project QUOTA_PROJECT_ID] \ --source FILE_NAME \ --location global
次のように置き換えます。
NAME: セキュリティ プロファイルの名前。一意の URL 識別子形式で名前を指定しない場合は、組織またはプロジェクトの名前とロケーションを指定する必要があります。
ORGANIZATION_ID: 組織 ID。組織レベルのセキュリティ プロファイルには、このフラグを使用します。PROJECT_ID: プロジェクト ID。このフラグは、プロジェクト レベルのセキュリティ プロファイルに使用します。QUOTA_PROJECT_ID: 割り当てプロジェクト ID。このフラグは、組織レベルのセキュリティ プロファイルでのみ使用します。FILE_NAME: 脅威防止セキュリティ プロファイルの構成エクスポート データを含む YAML ファイルのパス。例:threat-prevention-sp.yamlYAML ファイルに出力専用フィールドを含めることはできません。または、
sourceフラグを省略して標準入力から読み取ることもできます。
脅威防止のセキュリティ プロファイルをエクスポートする
脅威防止セキュリティ プロファイルを YAML ファイルにエクスポートできます。たとえば、大規模なセキュリティ プロファイルをユーザー インターフェースで変更する代わりに、この機能を使用してセキュリティ プロファイルをエクスポートし、すばやく変更して、インポートし直すことができます。
gcloud
脅威防止セキュリティ プロファイルを YAML ファイルにエクスポートするには、gcloud beta network-security security-profiles export コマンドを使用します。
gcloud network-security security-profiles export NAME \ --organization ORGANIZATION_ID | --project PROJECT_ID \ [--billing-project QUOTA_PROJECT_ID] \ --destination FILE_NAME \ --location global
次のように置き換えます。
NAME: セキュリティ プロファイルの名前。一意の URL 識別子形式で名前を指定しない場合は、組織またはプロジェクトの名前とロケーションを指定する必要があります。
ORGANIZATION_ID: 組織 ID。組織レベルのセキュリティ プロファイルには、このフラグを使用します。PROJECT_ID: プロジェクト ID。このフラグは、プロジェクト レベルのセキュリティ プロファイルに使用します。QUOTA_PROJECT_ID: 割り当てプロジェクト ID。このフラグは、組織レベルのセキュリティ プロファイルでのみ使用します。FILE_NAME: Cloud NGFW が脅威防止セキュリティ プロファイルの構成をエクスポートする YAML ファイルのパス。例:threat-prevention-sp.yamlエクスポートされた構成データには、出力専用フィールドは含まれません。また、
destinationフラグを省略して標準出力に書き込むこともできます。
脅威防止のセキュリティ プロファイルにオーバーライド アクションを追加する
既存の脅威防止セキュリティ プロファイルで、特定の脅威シグネチャまたは重大度レベルに関連付けられているアクションをオーバーライドできます。
コンソール
Google Cloud コンソールで、[セキュリティ プロファイル] ページに移動します。
プロジェクト セレクタのメニューで、組織またはプロジェクトを選択します。
[セキュリティ プロファイル] タブを選択します。このタブには、構成済みのセキュリティ プロファイルのリストが表示されます。
アクションをオーバーライドするセキュリティ プロファイルを選択し、[編集] をクリックします。
[重大度のオーバーライド] で、オーバーライドする重大度の横にある [編集] をクリックします。
[オーバーライド アクション] リストで、重大度レベルに適したアクションを選択します。
[確認] をクリックします。
[保存] をクリックします。
gcloud
脅威防止セキュリティ プロファイルにオーバーライドを追加するには、gcloud
network-security security-profiles threat-prevention add-override コマンドを使用します。
gcloud network-security security-profiles threat-prevention add-override NAME \ --location global \ [--organization ORGANIZATION_ID | --project PROJECT_ID] \ [--billing-project QUOTA_PROJECT_ID] \ [--severities SEVERITIES | --threat-ids THREAT_IDS | --antivirus PROTOCOLS] \ --action ACTION
次のように置き換えます。
NAME: セキュリティ プロファイルの名前。名前は文字列または一意の URL 識別子として指定できます。ORGANIZATION_ID: 組織 ID。組織レベルのセキュリティ プロファイルには、このフラグを使用します。PROJECT_ID: プロジェクト ID。このフラグは、プロジェクト レベルのセキュリティ プロファイルに使用します。QUOTA_PROJECT_ID: 割り当てプロジェクト ID。このフラグは、組織レベルのセキュリティ プロファイルでのみ使用します。SEVERITIES: アクションをオーバーライドする重大度レベルのカンマ区切りリスト。ファイアウォール エンドポイントは、指定された重大度レベルのすべての脅威に、構成された--actionフラグを適用します。重大度は次のいずれかになります。
INFORMATIONALLOWMEDIUMHIGHCRITICAL
THREAT_IDS: アクションをオーバーライドする脅威シグネチャ ID のカンマ区切りリスト。ファイアウォール エンドポイントは、指定された脅威 ID のすべての脅威に、構成された--actionフラグを適用します。PROTOCOLS: ウイルス対策の脅威をモニタリングするネットワーク プロトコルのカンマ区切りのリスト。詳細については、サポートされているプロトコルをご覧ください。ACTION: 指定した脅威 ID または重大度のアクション。詳細については、サポートされているアクションをご覧ください。
脅威防止セキュリティ プロファイルのオーバーライド アクションを一覧表示する
脅威防止セキュリティ プロファイルのすべてのオーバーライド アクションを一覧表示できます。
コンソール
Google Cloud コンソールで、[セキュリティ プロファイル] ページに移動します。
プロジェクト セレクタのメニューで、組織またはプロジェクトを選択します。
[セキュリティ プロファイル] タブを選択します。このタブには、構成済みのセキュリティ プロファイルのリストが表示されます。
セキュリティ プロファイルを選択すると、構成済みの重大度のオーバーライド アクションと脅威シグネチャのオーバーライド アクションが表示されます。
gcloud
脅威防止セキュリティ プロファイルのオーバーライド アクションを一覧表示するには、gcloud network-security security-profiles threat-prevention list-overrides コマンドを使用します。
gcloud network-security security-profiles threat-prevention list-overrides NAME \ --location global \ [--organization ORGANIZATION_ID | --project PROJECT_ID]
次のように置き換えます。
NAME: セキュリティ プロファイルの名前。名前は文字列または一意の URL 識別子として指定できます。ORGANIZATION_ID: 組織 ID。組織レベルのセキュリティ プロファイルには、このフラグを使用します。PROJECT_ID: プロジェクト ID。このフラグは、プロジェクト レベルのセキュリティ プロファイルに使用します。
脅威防止のセキュリティ プロファイルのオーバーライド アクションを更新する
脅威防止のセキュリティ プロファイルで、重大度レベルまたは脅威シグネチャの既存のオーバーライド アクションを更新できます。
コンソール
Google Cloud コンソールで、[セキュリティ プロファイル] ページに移動します。
プロジェクト セレクタのメニューで、組織またはプロジェクトを選択します。
[セキュリティ プロファイル] タブを選択します。このタブには、構成済みのセキュリティ プロファイルのリストが表示されます。
セキュリティ プロファイルを選択して、[編集] をクリックします。
[重大度のオーバーライド] で、オーバーライド アクションを更新する重大度の横にある [編集] をクリックします。
[オーバーライド アクション] リストで、重大度レベルに適したアクションを選択します。
[確認] をクリックします。
[保存] をクリックします。
gcloud
脅威防止セキュリティ プロファイルのオーバーライド アクションを更新するには、gcloud network-security security-profiles threat-prevention update-override コマンドを使用します。
gcloud network-security security-profiles threat-prevention update-override NAME \ --location global \ [--organization ORGANIZATION_ID | --project PROJECT_ID] \ [--billing-project QUOTA_PROJECT_ID] \ [--severities SEVERITIES | --threat-ids THREAT_IDS | --antivirus PROTOCOLS] \ --action ACTION
次のように置き換えます。
NAME: セキュリティ プロファイルの名前。名前は文字列または一意の URL 識別子として指定できます。ORGANIZATION_ID: 組織 ID。組織レベルのセキュリティ プロファイルには、このフラグを使用します。PROJECT_ID: プロジェクト ID。このフラグは、プロジェクト レベルのセキュリティ プロファイルに使用します。QUOTA_PROJECT_ID: 割り当てプロジェクト ID。このフラグは、組織レベルのセキュリティ プロファイルでのみ使用します。SEVERITIES: オーバーライドを更新する重大度レベルのカンマ区切りのリスト。重大度は次のいずれかになります。
INFORMATIONALLOWMEDIUMHIGHCRITICAL
THREAT_IDS: オーバーライドを更新する脅威シグネチャ ID のカンマ区切りのリスト。PROTOCOLS: ウイルス対策の脅威をモニタリングするネットワーク プロトコルのカンマ区切りのリスト。次のプロトコルがサポートされています。
SMTPSMBPOP3IMAPHTTP2HTTPFTP
ACTION: 指定した脅威 ID または重大度のデフォルトのアクション。ロールは次のいずれかです
DEFAULTALLOWDENYALERT
脅威防止セキュリティ プロファイルからオーバーライド アクションを削除する
脅威防止セキュリティ プロファイルから、重大度レベルまたは脅威シグネチャの既存のオーバーライド アクションを削除できます。
コンソール
Google Cloud コンソールで、[セキュリティ プロファイル] ページに移動します。
プロジェクト セレクタのメニューで、組織またはプロジェクトを選択します。
[セキュリティ プロファイル] タブを選択します。このタブには、構成済みのセキュリティ プロファイルのリストが表示されます。
セキュリティ プロファイルを選択して、[編集] をクリックします。
[重大度のオーバーライド] で、オーバーライド アクションを削除する重大度の横にある [編集] をクリックします。
[オーバーライド アクション] リストで、[オーバーライドなし] を選択します。
[確認] をクリックします。
[署名のオーバーライド] で、削除する脅威 ID を選択します。
[削除] をクリックします。
[保存] をクリックします。
gcloud
脅威防止セキュリティ プロファイルからオーバーライド アクションを削除するには、gcloud network-security security-profiles threat-prevention
delete-override コマンドを使用します。
gcloud network-security security-profiles threat-prevention delete-override NAME \ --location global \ [--organization ORGANIZATION_ID | --project PROJECT_ID] \ [--billing-project QUOTA_PROJECT_ID] \ [--severities SEVERITIES | --threat-ids THREAT_IDS | --antivirus PROTOCOLS]
次のように置き換えます。
NAME: セキュリティ プロファイルの名前。名前は文字列または一意の URL 識別子として指定できます。ORGANIZATION_ID: 組織 ID。組織レベルのセキュリティ プロファイルには、このフラグを使用します。PROJECT_ID: プロジェクト ID。このフラグは、プロジェクト レベルのセキュリティ プロファイルに使用します。QUOTA_PROJECT_ID: 割り当てプロジェクト ID。このフラグは、組織レベルのセキュリティ プロファイルでのみ使用します。SEVERITIES: オーバーライドを削除する重大度レベルのカンマ区切りのリスト。重大度は次のいずれかになります。
INFORMATIONALLOWMEDIUMHIGHCRITICAL
THREAT_IDS: オーバーライドを削除する脅威シグネチャ ID のカンマ区切りのリスト。PROTOCOLS: ウイルス対策の脅威をモニタリングするネットワーク プロトコルのカンマ区切りのリスト。次のプロトコルがサポートされています。
SMTPSMBPOP3IMAPHTTP2HTTPFTP