Um Ihre Google Cloud Ressourcen vor Bedrohungen zu schützen, definieren und erzwingen Sie Sicherheitsprofile für die Bedrohungsvermeidung. In diesem Dokument wird beschrieben, wie Sie diese Profile mit derGoogle Cloud Console oder der Google Cloud CLI erstellen, ansehen, auflisten, ändern und löschen.
Dieses Dokument richtet sich an Netzwerkadministratoren und Sicherheitsexperten, die Richtlinien für Netzwerksicherheit und Bedrohungsabwehr konfigurieren.
Google Cloud unterstützt Sicherheitsprofile für die Bedrohungsvermeidung auf zwei Ebenen:
- Sicherheitsprofile auf Organisationsebene: Aktivieren Sie zentralisierte Regeln zur Gefahrenabwehr, die auf mehrere Projekte in Ihrer Organisation angewendet werden können.
- Sicherheitsprofile auf Projektebene: Aktivieren Sie projektspezifische Regeln zur Bedrohungsabwehr, die auf die Arbeitslasten in einem einzelnen Projekt zugeschnitten sind.
Weitere Informationen finden Sie unter Sicherheitsprofile – Übersicht.
Vorbereitung
- Sie müssen die Network Connectivity API in Ihrem Projekt aktivieren.
- Installieren Sie die gcloud CLI, wenn Sie die
gcloud-Befehlszeilenbeispiele in dieser Anleitung ausführen möchten.
Rollen
Bitten Sie Ihren Administrator, Ihnen die erforderlichen IAM-Rollen in Ihrer Organisation zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Erstellen, Aufrufen, Aktualisieren oder Löschen von Sicherheitsprofilen benötigen. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff verwalten.
Sicherheitsprofil für die Bedrohungsvermeidung erstellen
Erstellen Sie ein Sicherheitsprofil vom Typ threat-prevention und geben Sie den Namen des Sicherheitsprofils als String oder als eindeutige URL-ID an.
Console
Rufen Sie in der Google Cloud Console die Seite Sicherheitsprofile auf.
Wählen Sie im Menü „Projektauswahl“ Ihre Organisation oder Ihr Projekt aus, in dem Sie das Sicherheitsprofil erstellen möchten.
Wählen Sie den Tab Sicherheitsprofile aus.
Klicken Sie auf Profil erstellen.
Geben Sie in das Feld Name einen Namen ein.
Optional: Geben Sie im Feld Beschreibung eine Beschreibung ein.
Wenn Sie ein Cloud Next Generation Firewall Enterprise-Sicherheitsprofil erstellen möchten, wählen Sie im Bereich Zweck die Option Cloud NGFW Enterprise aus.
Wählen Sie zum Erstellen eines Sicherheitsprofils für die Bedrohungsvermeidung im Abschnitt Typ die Option Bedrohungsvermeidung aus.
Klicken Sie auf Weiter.
Fügen Sie optional Überschreibungen für Schweregrade und Bedrohungen hinzu:
- Klicken Sie unter Schweregradüberschreibungen neben dem Schweregrad, den Sie überschreiben möchten, auf Bearbeiten.
- Wählen Sie in der Liste Überschreibungsaktion die entsprechende Aktion für den Schweregrad aus.
- Klicken Sie auf Signatur nach ID hinzufügen, um eine Bedrohungssignaturüberschreibung hinzuzufügen.
- Geben Sie im Feld Signatur-ID die Bedrohungs-ID ein, die Sie überschreiben möchten. Sie können die Bedrohungs-IDs im Bedrohungs-Dashboard aufrufen.
- Wählen Sie in der Liste Überschreibungsaktion die entsprechende Aktion für die Bedrohungs-ID aus.
- Klicken Sie auf Erstellen.
gcloud
Verwenden Sie den gcloud network-security security-profiles threat-prevention create-Befehl, um ein Sicherheitsprofil für die Bedrohungsvermeidung zu erstellen:
gcloud network-security security-profiles threat-prevention create NAME \ [--organization ORGANIZATION_ID | --project PROJECT_ID] \ [--billing-project QUOTA_PROJECT_ID] \ --description DESCRIPTION \ --location global
Ersetzen Sie Folgendes:
NAME: der Name des Sicherheitsprofils.Wenn Sie den Namen nicht im Format der eindeutigen URL-ID angeben, müssen Sie den Namen der Organisation oder des Projekts sowie den Standort angeben.
ORGANIZATION_ID: die Organisations-ID. Verwenden Sie dieses Flag für ein Sicherheitsprofil auf Organisationsebene.PROJECT_ID: Projekt-ID. Verwenden Sie dieses Flag für ein Sicherheitsprofil auf Projektebene.QUOTA_PROJECT_ID: die Projekt-ID des Kontingents. Verwenden Sie dieses Flag nur für Sicherheitsprofile auf Organisationsebene.DESCRIPTION: Eine optionale Beschreibung für das Sicherheitsprofil zur Gefahrenabwehr.
Sicherheitsprofile auflisten und Details ansehen
Sie können alle Sicherheitsprofile zum Schutz vor Bedrohungen auflisten, die in einer Organisation oder einem Projekt erstellt wurden. Sie können sich auch die Details eines Sicherheitsprofils ansehen, z. B. den Profiltyp, den Zweck und die Beschreibung.
Console
Rufen Sie in der Google Cloud Console die Seite Sicherheitsprofile auf.
Wählen Sie im Menü „Projektauswahl“ Ihre Organisation aus.
Wählen Sie den Tab Sicherheitsprofile aus. Der Tab enthält eine Liste der konfigurierten Sicherheitsprofile.
Wenn Sie nach Sicherheitsprofilen zur Vermeidung von Bedrohungen filtern möchten, geben Sie im Feld Filter Profiltyp als Bedrohungsvermeidung an.
Auf dem Tab wird eine Liste der Sicherheitsprofile für die Bedrohungsvermeidung angezeigt.
Klicken Sie auf ein Sicherheitsprofil vom Typ Bedrohungsvermeidung, um die zugehörigen Details aufzurufen.
Console
Rufen Sie in der Google Cloud Console die Seite Sicherheitsprofile auf.
Wählen Sie im Menü „Projektauswahl“ Ihr Projekt aus.
Wählen Sie den Tab Sicherheitsprofile aus. Der Tab enthält eine Liste der konfigurierten Sicherheitsprofile.
Klicken Sie auf ein Sicherheitsprofil vom Typ Bedrohungsvermeidung, um die Profildetails aufzurufen.
gcloud
Verwenden Sie den gcloud network-security security-profiles threat-prevention list-Befehl, um alle Sicherheitsprofile zur Bedrohungsvermeidung aufzulisten:
gcloud network-security security-profiles threat-prevention list \
--organization ORGANIZATION_ID | --project PROJECT_ID \
[--billing-project QUOTA_PROJECT_ID] \
--location global
Verwenden Sie den gcloud network-security security-profiles describe-Befehl, um die Details eines Sicherheitsprofils für die Bedrohungsvermeidung aufzurufen:
gcloud network-security security-profiles describe NAME \
--organization ORGANIZATION_ID | --project PROJECT_ID \
[--billing-project QUOTA_PROJECT_ID] \
--location global
Ersetzen Sie Folgendes:
NAME: der Name des Sicherheitsprofils.Wenn Sie den Namen nicht im Format der eindeutigen URL-ID angeben, müssen Sie den Namen der Organisation oder des Projekts sowie den Standort angeben.
ORGANIZATION_ID: die Organisations-ID, in der das Sicherheitsprofil vorhanden ist. Verwenden Sie dieses Flag für ein Sicherheitsprofil auf Organisationsebene.PROJECT_ID: die Projekt-ID, in der das Sicherheitsprofil vorhanden ist. Verwenden Sie dieses Flag für ein Sicherheitsprofil auf Projektebene.QUOTA_PROJECT_ID: die Projekt-ID des Kontingents. Verwenden Sie dieses Flag nur für Sicherheitsprofile auf Organisationsebene.
Sicherheitsprofil für die Bedrohungsvermeidung löschen
Sie können ein Sicherheitsprofil zur Bedrohungsvermeidung löschen, indem Sie dessen Namen, Standort und Organisation oder Projekt angeben. Wenn jedoch von einer Sicherheitsprofilgruppe auf ein Sicherheitsprofil verwiesen wird, kann dieses nicht gelöscht werden.
Console
Rufen Sie in der Google Cloud Console die Seite Sicherheitsprofile auf.
Wählen Sie den Tab Sicherheitsprofile aus. Der Tab enthält eine Liste der konfigurierten Sicherheitsprofile.
Wählen Sie das Sicherheitsprofil zur Bedrohungsabwehr aus, das Sie löschen möchten, und klicken Sie dann auf Löschen.
Klicken Sie zum Bestätigen noch einmal auf Löschen.
gcloud
Verwenden Sie den gcloud network-security security-profiles threat-prevention delete-Befehl, um ein Sicherheitsprofil für die Bedrohungsprävention zu löschen:
gcloud network-security security-profiles threat-prevention delete NAME \ --organization ORGANIZATION_ID | --project PROJECT_ID \ [--billing-project QUOTA_PROJECT_ID] \ --location global
Ersetzen Sie Folgendes:
NAME: der Name des Sicherheitsprofils.Wenn Sie den Namen nicht im Format der eindeutigen URL-ID angeben, müssen Sie den Namen der Organisation oder des Projekts sowie den Standort angeben.
ORGANIZATION_ID: die Organisations-ID. Verwenden Sie dieses Flag für ein Sicherheitsprofil auf Organisationsebene.PROJECT_ID: Projekt-ID. Verwenden Sie dieses Flag für ein Sicherheitsprofil auf Projektebene.QUOTA_PROJECT_ID: die Projekt-ID des Kontingents. Verwenden Sie dieses Flag nur für Sicherheitsprofile auf Organisationsebene.
Sicherheitsprofil für die Bedrohungsvermeidung importieren
Sie können ein Sicherheitsprofil für die Bedrohungsvermeidung (entweder benutzerdefiniert oder zuvor exportiert) aus einer YAML-Datei importieren. Wenn Sie ein Sicherheitsprofil zur Vermeidung von Bedrohungen importieren und bereits ein Profil mit demselben Namen vorhanden ist, wird das vorhandene Profil von Cloud NGFW aktualisiert.
gcloud
Verwenden Sie den gcloud network-security security-profiles import-Befehl, um ein Sicherheitsprofil für die Bedrohungsprävention aus einer YAML-Datei zu importieren:
gcloud network-security security-profiles import NAME \ --organization ORGANIZATION_ID | --project PROJECT_ID \ [--billing-project QUOTA_PROJECT_ID] \ --source FILE_NAME \ --location global
Ersetzen Sie Folgendes:
NAME: der Name des Sicherheitsprofils.Wenn Sie den Namen nicht im Format der eindeutigen URL-ID angeben, müssen Sie den Namen der Organisation oder des Projekts sowie den Standort angeben.
ORGANIZATION_ID: die Organisations-ID. Verwenden Sie dieses Flag für ein Sicherheitsprofil auf Organisationsebene.PROJECT_ID: Projekt-ID. Verwenden Sie dieses Flag für ein Sicherheitsprofil auf Projektebene.QUOTA_PROJECT_ID: die Projekt-ID des Kontingents. Verwenden Sie dieses Flag nur für Sicherheitsprofile auf Organisationsebene.FILE_NAME: der Pfad zur YAML-Datei mit den Konfigurationsexportdaten für das Sicherheitsprofil zur Gefahrenabwehr. Beispiel:threat-prevention-sp.yaml.Die YAML-Datei darf keine Felder enthalten, die nur zur Ausgabe zulässig sind. Alternativ können Sie das Flag
sourceweglassen, um aus der Standardeingabe zu lesen.
Sicherheitsprofil für die Bedrohungsvermeidung exportieren
Sie können ein Sicherheitsprofil zur Bedrohungsvermeidung in eine YAML-Datei exportieren. Anstatt beispielsweise ein großes Sicherheitsprofil über die Benutzeroberfläche zu ändern, können Sie es exportieren, schnell ändern und wieder importieren.
gcloud
Verwenden Sie den gcloud beta network-security security-profiles export-Befehl, um ein Sicherheitsprofil für die Bedrohungsprävention in eine YAML-Datei zu exportieren:
gcloud network-security security-profiles export NAME \ --organization ORGANIZATION_ID | --project PROJECT_ID \ [--billing-project QUOTA_PROJECT_ID] \ --destination FILE_NAME \ --location global
Ersetzen Sie Folgendes:
NAME: der Name des Sicherheitsprofils.Wenn Sie den Namen nicht im Format der eindeutigen URL-ID angeben, müssen Sie den Namen der Organisation oder des Projekts sowie den Standort angeben.
ORGANIZATION_ID: die Organisations-ID. Verwenden Sie dieses Flag für ein Sicherheitsprofil auf Organisationsebene.PROJECT_ID: Projekt-ID. Verwenden Sie dieses Flag für ein Sicherheitsprofil auf Projektebene.QUOTA_PROJECT_ID: die Projekt-ID des Kontingents. Verwenden Sie dieses Flag nur für Sicherheitsprofile auf Organisationsebene.FILE_NAME: der Pfad zur YAML-Datei, in die Cloud NGFW die Konfiguration für das Sicherheitsprofil zur Gefahrenabwehr exportiert. Beispiel:threat-prevention-sp.yaml.Die exportierten Konfigurationsdaten enthalten keine reinen Ausgabefelder. Alternativ können Sie das Flag
destinationweglassen, um in die Standardausgabe zu schreiben.
Überschreibungsaktionen in einem Sicherheitsprofil zur Bedrohungsvermeidung hinzufügen
Sie können die mit bestimmten Bedrohungssignaturen oder Schweregraden verknüpften Aktionen in einem vorhandenen Sicherheitsprofil zur Bedrohungsvermeidung überschreiben.
Console
Rufen Sie in der Google Cloud Console die Seite Sicherheitsprofile auf.
Wählen Sie im Menü „Projektauswahl“ Ihre Organisation oder Ihr Projekt aus.
Wählen Sie den Tab Sicherheitsprofile aus. Der Tab enthält eine Liste der konfigurierten Sicherheitsprofile.
Wählen Sie das Sicherheitsprofil aus, in dem Sie Aktionen überschreiben möchten, und klicken Sie dann auf Bearbeiten.
Klicken Sie unter Schweregradüberschreibungen neben dem Schweregrad, den Sie überschreiben möchten, auf Bearbeiten.
Wählen Sie in der Liste Überschreibungsaktion die entsprechende Aktion für den Schweregrad aus.
Klicken Sie auf Bestätigen.
Klicken Sie auf Speichern.
gcloud
Verwenden Sie den gcloud
network-security security-profiles threat-prevention add-override-Befehl, um einem Sicherheitsprofil für die Bedrohungsvermeidung eine Überschreiboption hinzuzufügen:
gcloud network-security security-profiles threat-prevention add-override NAME \ --location global \ [--organization ORGANIZATION_ID | --project PROJECT_ID] \ [--billing-project QUOTA_PROJECT_ID] \ [--severities SEVERITIES | --threat-ids THREAT_IDS | --antivirus PROTOCOLS] \ --action ACTION
Ersetzen Sie Folgendes:
NAME: Name des Sicherheitsprofils. Sie können den Namen als String oder als eindeutige URL-ID angeben.ORGANIZATION_ID: die Organisations-ID. Verwenden Sie dieses Flag für ein Sicherheitsprofil auf Organisationsebene.PROJECT_ID: Projekt-ID. Verwenden Sie dieses Flag für ein Sicherheitsprofil auf Projektebene.QUOTA_PROJECT_ID: die Projekt-ID des Kontingents. Verwenden Sie dieses Flag nur für Sicherheitsprofile auf Organisationsebene.SEVERITIES: eine durch Kommas getrennte Liste der Schweregrade, für die die Aktion überschrieben werden soll. Der Firewall-Endpunkt wendet das konfigurierte Flag--actionauf alle Bedrohungen der angegebenen Schweregrade an.Der Schweregrad kann einer der folgenden sein:
INFORMATIONALLOWMEDIUMHIGHCRITICAL
THREAT_IDS: eine durch Kommas getrennte Liste mit Bedrohungssignatur-IDs, für die die Aktion überschrieben werden soll. Der Firewall-Endpunkt wendet das konfigurierte Flag--actionauf alle Bedrohungen der angegebenen Bedrohungs-IDs an.PROTOCOLS: Eine durch Kommas getrennte Liste der Netzwerkprotokolle, die auf die Antivirenbedrohung überwacht werden sollen. Weitere Informationen finden Sie unter Unterstützte Protokolle.ACTION: die Aktion für die angegebenen Bedrohungs-IDs oder Schweregrade. Weitere Informationen finden Sie unter Unterstützte Aktionen.
Überschreibungsaktionen in einem Sicherheitsprofil zur Bedrohungsvermeidung auflisten
Sie können alle Überschreibungsaktionen in einem Sicherheitsprofil zur Bedrohungsvermeidung auflisten.
Console
Rufen Sie in der Google Cloud Console die Seite Sicherheitsprofile auf.
Wählen Sie im Menü „Projektauswahl“ die Organisation oder das Projekt aus.
Wählen Sie den Tab Sicherheitsprofile aus. Der Tab enthält eine Liste der konfigurierten Sicherheitsprofile.
Wählen Sie das Sicherheitsprofil aus, um die konfigurierten Überschreibungsaktionen für Schweregrade bzw. Bedrohungssignaturen aufzurufen.
gcloud
Verwenden Sie den Befehl gcloud network-security security-profiles threat-prevention list-overrides, um Überschreibungsaktionen in einem Sicherheitsprofil zur Bedrohungsvermeidung aufzulisten:
gcloud network-security security-profiles threat-prevention list-overrides NAME \ --location global \ [--organization ORGANIZATION_ID | --project PROJECT_ID]
Ersetzen Sie Folgendes:
NAME: Name des Sicherheitsprofils. Sie können den Namen als String oder als eindeutige URL-ID angeben.ORGANIZATION_ID: die Organisations-ID. Verwenden Sie dieses Flag für ein Sicherheitsprofil auf Organisationsebene.PROJECT_ID: Projekt-ID. Verwenden Sie dieses Flag für ein Sicherheitsprofil auf Projektebene.
Überschreibungsaktionen in einem Sicherheitsprofil zur Vermeidung von Bedrohungen aktualisieren
Sie können vorhandene Überschreibungsaktionen für Schweregrade oder Bedrohungssignaturen in einem Sicherheitsprofil zur Vermeidung von Bedrohungen aktualisieren.
Console
Rufen Sie in der Google Cloud Console die Seite Sicherheitsprofile auf.
Wählen Sie im Menü „Projektauswahl“ die Organisation oder das Projekt aus.
Wählen Sie den Tab Sicherheitsprofile aus. Der Tab enthält eine Liste der konfigurierten Sicherheitsprofile.
Wählen Sie das Sicherheitsprofil aus und klicken Sie auf Bearbeiten.
Klicken Sie unter Schweregradüberschreibungen neben dem Schweregrad, für den Sie die Überschreibungsaktion aktualisieren möchten, auf Bearbeiten.
Wählen Sie in der Liste Überschreibungsaktion die entsprechende Aktion für den Schweregrad aus.
Klicken Sie auf Bestätigen.
Klicken Sie auf Speichern.
gcloud
Verwenden Sie den Befehl gcloud network-security security-profiles threat-prevention update-override, um eine Überschreibungsaktion in einem Sicherheitsprofil für die Bedrohungsprävention zu aktualisieren:
gcloud network-security security-profiles threat-prevention update-override NAME \ --location global \ [--organization ORGANIZATION_ID | --project PROJECT_ID] \ [--billing-project QUOTA_PROJECT_ID] \ [--severities SEVERITIES | --threat-ids THREAT_IDS | --antivirus PROTOCOLS] \ --action ACTION
Ersetzen Sie Folgendes:
NAME: Name des Sicherheitsprofils. Sie können den Namen als String oder als eindeutige URL-ID angeben.ORGANIZATION_ID: die Organisations-ID. Verwenden Sie dieses Flag für ein Sicherheitsprofil auf Organisationsebene.PROJECT_ID: Projekt-ID. Verwenden Sie dieses Flag für ein Sicherheitsprofil auf Projektebene.QUOTA_PROJECT_ID: die Projekt-ID des Kontingents. Verwenden Sie dieses Flag nur für Sicherheitsprofile auf Organisationsebene.SEVERITIES: eine durch Kommas getrennte Liste der Schweregrade, für die Sie Überschreibungen aktualisieren möchten.Der Schweregrad kann einer der folgenden sein:
INFORMATIONALLOWMEDIUMHIGHCRITICAL
THREAT_IDS: eine durch Kommas getrennte Liste mit Bedrohungssignatur-IDs, für die Sie Überschreibungen aktualisieren möchten.PROTOCOLS: Eine durch Kommas getrennte Liste der Netzwerkprotokolle, die auf die Antivirenbedrohung überwacht werden sollen.Die folgenden Protokolle werden unterstützt:
SMTPSMBPOP3IMAPHTTP2HTTPFTP
ACTION: die Standardaktion für die angegebenen Bedrohungs-IDs oder Schweregrade.Folgende Aktionen sind möglich:
DEFAULTALLOWDENYALERT
Überschreibungsaktionen aus einem Sicherheitsprofil zur Bedrohungsvermeidung löschen
Sie können vorhandene Überschreibungsaktionen für Schweregrade oder Bedrohungssignaturen aus einem Sicherheitsprofil zur Bedrohungsvermeidung löschen.
Console
Rufen Sie in der Google Cloud Console die Seite Sicherheitsprofile auf.
Wählen Sie im Menü „Projektauswahl“ Ihre Organisation oder Ihr Projekt aus.
Wählen Sie den Tab Sicherheitsprofile aus. Der Tab enthält eine Liste der konfigurierten Sicherheitsprofile.
Wählen Sie das Sicherheitsprofil aus und klicken Sie auf Bearbeiten.
Klicken Sie unter Schweregradüberschreibungen neben dem Schweregrad, für den Sie die Überschreibungsaktion löschen möchten, auf Bearbeiten.
Wählen Sie in der Liste Überschreibungsaktion die Option Keine Überschreibung aus.
Klicken Sie auf Bestätigen.
Wählen Sie unter Signaturüberschreibungen die Bedrohungs-ID aus, die Sie löschen möchten.
Klicken Sie auf Löschen.
Klicken Sie auf Speichern.
gcloud
Verwenden Sie den gcloud network-security security-profiles threat-prevention
delete-override-Befehl, um eine Überschreibungsaktion aus einem Sicherheitsprofil zur Bedrohungsvermeidung zu löschen:
gcloud network-security security-profiles threat-prevention delete-override NAME \ --location global \ [--organization ORGANIZATION_ID | --project PROJECT_ID] \ [--billing-project QUOTA_PROJECT_ID] \ [--severities SEVERITIES | --threat-ids THREAT_IDS | --antivirus PROTOCOLS]
Ersetzen Sie Folgendes:
NAME: Name des Sicherheitsprofils. Sie können den Namen als String oder als eindeutige URL-ID angeben.ORGANIZATION_ID: die Organisations-ID. Verwenden Sie dieses Flag für ein Sicherheitsprofil auf Organisationsebene.PROJECT_ID: Projekt-ID. Verwenden Sie dieses Flag für ein Sicherheitsprofil auf Projektebene.QUOTA_PROJECT_ID: die Projekt-ID des Kontingents. Verwenden Sie dieses Flag nur für Sicherheitsprofile auf Organisationsebene.SEVERITIES: eine durch Kommas getrennte Liste der Schweregrade, für die Sie Überschreibungen löschen möchten.Der Schweregrad kann einer der folgenden sein:
INFORMATIONALLOWMEDIUMHIGHCRITICAL
THREAT_IDS: eine durch Kommas getrennte Liste mit Bedrohungssignatur-IDs, für die Sie Überschreibungen löschen möchten.PROTOCOLS: Eine durch Kommas getrennte Liste der Netzwerkprotokolle, die auf die Antivirenbedrohung überwacht werden sollen.Die folgenden Protokolle werden unterstützt:
SMTPSMBPOP3IMAPHTTP2HTTPFTP