כדי להגן על משאבי Google Cloud מפני איומים, מגדירים ומחילים פרופילי אבטחה למניעת איומים. במאמר הזה מוסבר איך ליצור, להציג, לרשום, לשנות ולמחוק את הפרופילים האלה באמצעות מסוףGoogle Cloud או Google Cloud CLI.
המסמך הזה מיועד לאדמינים של רשתות ולמהנדסי אבטחה שמגדירים מדיניות של אבטחת רשת ומניעת איומים.
Google Cloud תומך בפרופילי אבטחה למניעת איומים בשתי רמות:
- פרופילי אבטחה ברמת הארגון: הפעלת כללים מרכזיים למניעת איומים שאפשר להחיל על כמה פרויקטים בארגון.
- פרופילי אבטחה ברמת הפרויקט: הפעלת כללי מניעת איומים ספציפיים לפרויקט, שמותאמים לעומסי העבודה בפרויקט יחיד.
מידע נוסף זמין במאמר סקירה כללית על פרופילי אבטחה.
לפני שמתחילים
- צריך להפעיל את Network Security API בפרויקט.
- אם רוצים להריץ את הדוגמאות של שורת הפקודה במדריך הזה, צריך להתקין את ה-CLI של gcloud.
gcloud
תפקידים
כדי לקבל את ההרשאות שדרושות ליצירה, לצפייה, לעדכון או למחיקה של פרופילי אבטחה, צריך לבקש מהאדמין להקצות לכם את תפקידי ה-IAM הנדרשים בארגון. מידע נוסף על מתן תפקידים מופיע במאמר ניהול הגישה.
יצירת פרופיל אבטחה למניעת איומים
יוצרים פרופיל אבטחה מהסוג
threat-prevention ומציינים את השם של פרופיל האבטחה כמחרוזת או כמזהה ייחודי של כתובת URL.
המסוף
נכנסים לדף Security profiles במסוף Google Cloud .
בתפריט לבחירת פרויקטים, בוחרים את הארגון או הפרויקט שבהם רוצים ליצור את פרופיל האבטחה.
לוחצים על הכרטיסייה פרופילי אבטחה.
לוחצים על יצירת פרופיל.
מזינים שם בשדה Name.
אם רוצים, מוסיפים תיאור בשדה Description.
כדי ליצור פרופיל אבטחה של Cloud Next Generation Firewall Enterprise, בקטע Purpose (מטרה), בוחרים באפשרות Cloud NGFW Enterprise.
כדי ליצור פרופיל אבטחה למניעת איומים, בקטע Type בוחרים באפשרות Threat prevention.
לוחצים על Continue.
אפשר גם להוסיף רמת חומרה ושינויים בהגדרות האיומים:
- בקטע Severity overrides (שינויים ברמת החומרה), לוחצים על Edit (עריכה) לצד רמת החומרה שרוצים לשנות.
- ברשימה פעולת שינוי, בוחרים את הפעולה המתאימה לרמת החומרה.
- כדי להוסיף חתימה של איום לביטול, לוחצים על הוספת חתימה לפי מזהה.
- בשדה מזהה החתימה, מזינים את מזהה האיום שרוצים לבטל. מזהי האיומים מופיעים במרכז השליטה של האיומים.
- ברשימה Override action, בוחרים את הפעולה המתאימה למזהה האיום.
- לוחצים על יצירה.
gcloud
כדי ליצור פרופיל אבטחה למניעת איומים, משתמשים בפקודה gcloud network-security security-profiles threat-prevention create:
gcloud network-security security-profiles threat-prevention create NAME \ [--organization ORGANIZATION_ID | --project PROJECT_ID] \ [--billing-project QUOTA_PROJECT_ID] \ --description DESCRIPTION \ --location global
מחליפים את מה שכתוב בשדות הבאים:
NAME: השם של פרופיל האבטחה.אם לא מציינים את השם בפורמט של מזהה כתובת URL ייחודי, צריך לציין את שם הארגון או הפרויקט ואת המיקום.
ORGANIZATION_ID: מזהה הארגון. משתמשים בדגל הזה כדי להגדיר פרופיל אבטחה ברמת הארגון.
PROJECT_ID: מזהה הפרויקט. משתמשים בדגל הזה לפרופיל אבטחה ברמת הפרויקט.
QUOTA_PROJECT_ID: מזהה הפרויקט של המכסה. משתמשים בדגל הזה רק לפרופילי אבטחה ברמת הארגון.
DESCRIPTION: תיאור אופציונלי של פרופיל האבטחה למניעת איומים.
רשימה של פרופילי אבטחה והצגת הפרטים שלהם
אתם יכולים להציג רשימה של כל פרופילי האבטחה למניעת איומים שנוצרו בארגון או בפרויקט. אפשר גם לראות את הפרטים של פרופיל אבטחה, כמו סוג הפרופיל, המטרה והתיאור שלו.
המסוף
נכנסים לדף Security profiles במסוף Google Cloud .
בתפריט לבחירת פרויקטים, בוחרים את הארגון.
לוחצים על הכרטיסייה פרופילי אבטחה. בכרטיסייה מוצגת רשימה של פרופילי אבטחה שהוגדרו.
כדי לסנן את פרופילי האבטחה של מניעת איומים, בשדה Filter (מסנן) מציינים Profile type (סוג פרופיל) בתור Threat prevention (מניעת איומים).
בכרטיסייה מוצגת רשימה של פרופילי אבטחה למניעת איומים.
לוחצים על פרופיל אבטחה מסוג מניעת איומים כדי לראות את הפרטים שלו.
המסוף
נכנסים לדף Security profiles במסוף Google Cloud .
בתפריט לבחירת פרויקטים, בוחרים את הפרויקט הרצוי.
לוחצים על הכרטיסייה פרופילי אבטחה. בכרטיסייה מוצגת רשימה של פרופילי אבטחה שהוגדרו.
לוחצים על פרופיל אבטחה מסוג מניעת איומים כדי להציג את פרטי הפרופיל.
gcloud
כדי לראות את רשימת פרופילי האבטחה של כל אמצעי מניעת האיומים, משתמשים בפקודה gcloud network-security security-profiles threat-prevention list:
gcloud network-security security-profiles threat-prevention list \
--organization ORGANIZATION_ID | --project PROJECT_ID \
[--billing-project QUOTA_PROJECT_ID] \
--location global
כדי לראות את הפרטים של פרופיל אבטחה למניעת איומים, משתמשים בפקודה gcloud network-security security-profiles describe:
gcloud network-security security-profiles describe NAME \
--organization ORGANIZATION_ID | --project PROJECT_ID \
[--billing-project QUOTA_PROJECT_ID] \
--location global
מחליפים את מה שכתוב בשדות הבאים:
NAME: השם של פרופיל האבטחה.אם לא מציינים את השם בפורמט של מזהה כתובת URL ייחודי, צריך לציין את שם הארגון או הפרויקט ואת המיקום.
ORGANIZATION_ID: מזהה הארגון שבו קיים פרופיל האבטחה. משתמשים בדגל הזה כדי ליצור פרופיל אבטחה ברמת הארגון.
PROJECT_ID: מזהה הפרויקט שבו קיים פרופיל האבטחה. משתמשים בדגל הזה לפרופיל אבטחה ברמת הפרויקט.
QUOTA_PROJECT_ID: מזהה הפרויקט של המכסה. אפשר להשתמש בדגל הזה רק בפרופילי אבטחה ברמת הארגון.
מחיקת פרופיל אבטחה למניעת איומים
כדי למחוק פרופיל אבטחה למניעת איומים, צריך לציין את השם, המיקום והארגון או הפרויקט שלו. עם זאת, אם פרופיל אבטחה מפנה לקבוצת פרופילי אבטחה, אי אפשר למחוק את פרופיל האבטחה הזה.
המסוף
נכנסים לדף Security profiles במסוף Google Cloud .
לוחצים על הכרטיסייה פרופילי אבטחה. בכרטיסייה מוצגת רשימה של פרופילי אבטחה שהוגדרו.
בוחרים את פרופיל האבטחה למניעת איומים שרוצים למחוק ולוחצים על מחיקה.
כדי לאשר, לוחצים שוב על מחיקה.
gcloud
כדי למחוק פרופיל אבטחה למניעת איומים, משתמשים בפקודה gcloud network-security security-profiles threat-prevention delete:
gcloud network-security security-profiles threat-prevention delete NAME \ --organization ORGANIZATION_ID | --project PROJECT_ID \ [--billing-project QUOTA_PROJECT_ID] \ --location global
מחליפים את מה שכתוב בשדות הבאים:
NAME: השם של פרופיל האבטחה.אם לא מציינים את השם בפורמט של מזהה כתובת URL ייחודי, צריך לציין את שם הארגון או הפרויקט ואת המיקום.
ORGANIZATION_ID: מזהה הארגון. משתמשים בדגל הזה כדי להגדיר פרופיל אבטחה ברמת הארגון.
PROJECT_ID: מזהה הפרויקט. משתמשים בדגל הזה לפרופיל אבטחה ברמת הפרויקט.
QUOTA_PROJECT_ID: מזהה הפרויקט של המכסה. משתמשים בדגל הזה רק לפרופילי אבטחה ברמת הארגון.
ייבוא פרופיל אבטחה למניעת איומים
אתם יכולים לייבא פרופיל אבטחה למניעת איומים (שנוצר בהתאמה אישית או שיוצא בעבר) מקובץ YAML. כשמייבאים פרופיל אבטחה למניעת איומים, אם כבר קיים פרופיל באותו שם, Cloud NGFW מעדכן את הפרופיל הקיים.
gcloud
כדי לייבא פרופיל אבטחה למניעת איומים מקובץ YAML, משתמשים בפקודה gcloud network-security security-profiles import:
gcloud network-security security-profiles import NAME \ --organization ORGANIZATION_ID | --project PROJECT_ID \ [--billing-project QUOTA_PROJECT_ID] \ --source FILE_NAME \ --location global
מחליפים את מה שכתוב בשדות הבאים:
NAME: השם של פרופיל האבטחה.אם לא מציינים את השם בפורמט של מזהה כתובת URL ייחודי, צריך לציין את שם הארגון או הפרויקט ואת המיקום.
ORGANIZATION_ID: מזהה הארגון. משתמשים בדגל הזה כדי להגדיר פרופיל אבטחה ברמת הארגון.
PROJECT_ID: מזהה הפרויקט. משתמשים בדגל הזה לפרופיל אבטחה ברמת הפרויקט.
QUOTA_PROJECT_ID: מזהה הפרויקט של המכסה. משתמשים בדגל הזה רק לפרופילי אבטחה ברמת הארגון.
FILE_NAME: הנתיב לקובץ ה-YAML שמכיל את נתוני הייצוא של ההגדרות לפרופיל האבטחה למניעת איומים. לדוגמה,threat-prevention-sp.yaml.קובץ ה-YAML לא יכול להכיל שדות שהם רק לפלט. אפשר גם להשמיט את הדגל
sourceכדי לקרוא מהקלט הרגיל.
ייצוא פרופיל אבטחה למניעת איומים
אתם יכולים לייצא פרופיל אבטחה למניעת איומים לקובץ YAML. לדוגמה, במקום להשתמש בממשק המשתמש כדי לשנות פרופיל אבטחה גדול, אפשר להשתמש בפונקציונליות הזו כדי לייצא את פרופיל האבטחה, לשנות אותו במהירות ולייבא אותו בחזרה.
gcloud
כדי לייצא פרופיל אבטחה למניעת איומים לקובץ YAML, משתמשים בפקודה gcloud beta network-security security-profiles export:
gcloud network-security security-profiles export NAME \ --organization ORGANIZATION_ID | --project PROJECT_ID \ [--billing-project QUOTA_PROJECT_ID] \ --destination FILE_NAME \ --location global
מחליפים את מה שכתוב בשדות הבאים:
NAME: השם של פרופיל האבטחה.אם לא מציינים את השם בפורמט של מזהה כתובת URL ייחודי, צריך לציין את שם הארגון או הפרויקט ואת המיקום.
ORGANIZATION_ID: מזהה הארגון. משתמשים בדגל הזה כדי להגדיר פרופיל אבטחה ברמת הארגון.
PROJECT_ID: מזהה הפרויקט. משתמשים בדגל הזה לפרופיל אבטחה ברמת הפרויקט.
QUOTA_PROJECT_ID: מזהה הפרויקט של המכסה. משתמשים בדגל הזה רק לפרופילי אבטחה ברמת הארגון.
FILE_NAME: הנתיב לקובץ ה-YAML שאליו Cloud NGFW ייצא את ההגדרה של פרופיל האבטחה למניעת איומים. לדוגמה,threat-prevention-sp.yaml.נתוני התצורה שמייצאים לא מכילים שדות שהם רק לפלט. אפשר גם להשמיט את הדגל
destinationכדי לכתוב לפלט הרגיל.
הוספת פעולות ביטול בפרופיל אבטחה למניעת איומים
אתם יכולים לשנות את הפעולות שמשויכות לחתימות ספציפיות של איומים או לרמות חומרה בפרופיל אבטחה קיים למניעת איומים.
המסוף
נכנסים לדף Security profiles במסוף Google Cloud .
בתפריט לבחירת פרויקטים, בוחרים את הארגון או הפרויקט.
לוחצים על הכרטיסייה פרופילי אבטחה. בכרטיסייה מוצגת רשימה של פרופילי אבטחה שהוגדרו.
בוחרים את פרופיל האבטחה שבו רוצים לבטל את הפעולות, ואז לוחצים על עריכה.
בקטע Severity overrides (שינויים ברמת החומרה), לוחצים על Edit (עריכה) לצד רמת החומרה שרוצים לשנות.
ברשימה Override action, בוחרים את הפעולה המתאימה לרמת החומרה.
לוחצים על אישור.
לוחצים על Save.
gcloud
כדי להוסיף חריגה לפרופיל אבטחה למניעת איומים, משתמשים בפקודה gcloud
network-security security-profiles threat-prevention add-override:
gcloud network-security security-profiles threat-prevention add-override NAME \ --location global \ [--organization ORGANIZATION_ID | --project PROJECT_ID] \ [--billing-project QUOTA_PROJECT_ID] \ [--severities SEVERITIES | --threat-ids THREAT_IDS | --antivirus PROTOCOLS] \ --action ACTION
מחליפים את מה שכתוב בשדות הבאים:
NAME: השם של פרופיל האבטחה. אפשר לציין את השם כמחרוזת או כמזהה ייחודי של כתובת URL.
ORGANIZATION_ID: מזהה הארגון. משתמשים בדגל הזה כדי להגדיר פרופיל אבטחה ברמת הארגון.
PROJECT_ID: מזהה הפרויקט. משתמשים בדגל הזה לפרופיל אבטחה ברמת הפרויקט.
QUOTA_PROJECT_ID: מזהה הפרויקט של המכסה. משתמשים בדגל הזה רק לפרופילי אבטחה ברמת הארגון.
SEVERITIES: רשימה מופרדת בפסיקים של רמות חומרה שרוצים לשנות את הפעולה עבורן. נקודת הקצה של חומת האש מחילה את הדגל--actionשהוגדר על כל האיומים ברמות החומרה שצוינו.רמת החומרה יכולה להיות אחת מהאפשרויות הבאות:
INFORMATIONALLOWMEDIUMHIGHCRITICAL
THREAT_IDS: רשימה מופרדת בפסיקים של מזהי חתימות של איומים, שצריך לשנות את הפעולה לגביהם. נקודת הקצה של חומת האש מחילה את הדגל--actionשהוגדר על כל האיומים עם מזהי האיומים שצוינו.
PROTOCOLS: רשימה מופרדת בפסיקים של פרוטוקולי רשת שצריך לעקוב אחריהם כדי לזהות איומים של אנטי-וירוס. מידע נוסף זמין במאמר בנושא פרוטוקולים נתמכים.
ACTION: הפעולה עבור מזהי האיומים או רמות החומרה שצוינו. מידע נוסף זמין במאמר בנושא פעולות נתמכות.
רשימת פעולות לביטול בפרופיל אבטחה למניעת איומים
אפשר להציג רשימה של כל פעולות הביטול בפרופיל אבטחה למניעת איומים.
המסוף
נכנסים לדף Security profiles במסוף Google Cloud .
בתפריט לבחירת פרויקטים, בוחרים את הארגון או הפרויקט.
לוחצים על הכרטיסייה פרופילי אבטחה. בכרטיסייה מוצגת רשימה של פרופילי אבטחה שהוגדרו.
בוחרים את פרופיל האבטחה כדי לראות את פעולות הביטול של רמת החומרה שהוגדרו ואת פעולות הביטול של חתימת האיום.
gcloud
כדי לראות את רשימת פעולות הביטול בפרופיל אבטחה למניעת איומים, משתמשים בפקודה gcloud network-security security-profiles threat-prevention list-overrides:
gcloud network-security security-profiles threat-prevention list-overrides NAME \ --location global \ [--organization ORGANIZATION_ID | --project PROJECT_ID]
מחליפים את מה שכתוב בשדות הבאים:
NAME: השם של פרופיל האבטחה. אפשר לציין את השם כמחרוזת או כמזהה ייחודי של כתובת URL.
ORGANIZATION_ID: מזהה הארגון. משתמשים בדגל הזה כדי להגדיר פרופיל אבטחה ברמת הארגון.
PROJECT_ID: מזהה הפרויקט. משתמשים בדגל הזה לפרופיל אבטחה ברמת הפרויקט.
עדכון פעולות ביטול בפרופיל אבטחה למניעת איומים
אתם יכולים לעדכן פעולות ביטול קיימות לרמות חומרה או לחתימות של איומים בפרופיל אבטחה למניעת איומים.
המסוף
נכנסים לדף Security profiles במסוף Google Cloud .
בתפריט לבחירת פרויקטים, בוחרים את הארגון או הפרויקט.
לוחצים על הכרטיסייה פרופילי אבטחה. בכרטיסייה מוצגת רשימה של פרופילי אבטחה שהוגדרו.
בוחרים את פרופיל האבטחה ולוחצים על עריכה.
בקטע Severity overrides (שינויים ברמת החומרה), לוחצים על Edit (עריכה) לצד רמת החומרה שרוצים לעדכן את פעולת השינוי שלה.
ברשימה Override action, בוחרים את הפעולה המתאימה לרמת החומרה.
לוחצים על אישור.
לוחצים על Save.
gcloud
כדי לעדכן פעולת ביטול בפרופיל אבטחה למניעת איומים, משתמשים בפקודה gcloud network-security security-profiles threat-prevention update-override:
gcloud network-security security-profiles threat-prevention update-override NAME \ --location global \ [--organization ORGANIZATION_ID | --project PROJECT_ID] \ [--billing-project QUOTA_PROJECT_ID] \ [--severities SEVERITIES | --threat-ids THREAT_IDS | --antivirus PROTOCOLS] \ --action ACTION
מחליפים את מה שכתוב בשדות הבאים:
NAME: השם של פרופיל האבטחה. אפשר לציין את השם כמחרוזת או כמזהה ייחודי של כתובת URL.
ORGANIZATION_ID: מזהה הארגון. משתמשים בדגל הזה כדי להגדיר פרופיל אבטחה ברמת הארגון.
PROJECT_ID: מזהה הפרויקט. משתמשים בדגל הזה לפרופיל אבטחה ברמת הפרויקט.
QUOTA_PROJECT_ID: מזהה הפרויקט של המכסה. משתמשים בדגל הזה רק לפרופילי אבטחה ברמת הארגון.
SEVERITIES: רשימה מופרדת בפסיקים של רמות חומרה שרוצים לעדכן את ההגדרות שלהן.רמת החומרה יכולה להיות אחת מהאפשרויות הבאות:
INFORMATIONALLOWMEDIUMHIGHCRITICAL
THREAT_IDS: רשימה מופרדת בפסיקים של מזהי חתימות של איומים שרוצים לעדכן את ההגדרות שלהם.
PROTOCOLS: רשימה מופרדת בפסיקים של פרוטוקולי רשת שצריך לעקוב אחריהם כדי לזהות איומים של אנטי-וירוס.הפרוטוקולים הבאים נתמכים:
SMTPSMBPOP3IMAPHTTP2HTTPFTP
ACTION: פעולת ברירת המחדל לאיומים שצוינו לפי מזהים או חומרת האיום.הפעולה יכולה להיות אחת מהאפשרויות הבאות:
DEFAULTALLOWDENYALERT
מחיקת פעולות של ביטול הגדרות מפרופיל אבטחה למניעת איומים
אפשר למחוק פעולות קיימות של ביטול הגדרות ברירת המחדל לרמות חומרה או לחתימות של איומים מפרופיל אבטחה למניעת איומים.
המסוף
נכנסים לדף Security profiles במסוף Google Cloud .
בתפריט לבחירת פרויקטים, בוחרים את הארגון או הפרויקט.
לוחצים על הכרטיסייה פרופילי אבטחה. בכרטיסייה מוצגת רשימה של פרופילי אבטחה שהוגדרו.
בוחרים את פרופיל האבטחה ולוחצים על עריכה.
בקטע שינויים ברמת החומרה, לוחצים על עריכה לצד רמת החומרה שבה רוצים למחוק את פעולת השינוי.
ברשימה Override action בוחרים באפשרות No override.
לוחצים על אישור.
בקטע Signature overrides (שינויים בחתימה), בוחרים את מזהה האיום שרוצים למחוק.
לוחצים על Delete.
לוחצים על Save.
gcloud
כדי למחוק פעולת ביטול מתוך פרופיל אבטחה למניעת איומים, משתמשים בפקודה gcloud network-security security-profiles threat-prevention
delete-override:
gcloud network-security security-profiles threat-prevention delete-override NAME \ --location global \ [--organization ORGANIZATION_ID | --project PROJECT_ID] \ [--billing-project QUOTA_PROJECT_ID] \ [--severities SEVERITIES | --threat-ids THREAT_IDS | --antivirus PROTOCOLS]
מחליפים את מה שכתוב בשדות הבאים:
NAME: השם של פרופיל האבטחה. אפשר לציין את השם כמחרוזת או כמזהה ייחודי של כתובת URL.
ORGANIZATION_ID: מזהה הארגון. משתמשים בדגל הזה כדי להגדיר פרופיל אבטחה ברמת הארגון.
PROJECT_ID: מזהה הפרויקט. משתמשים בדגל הזה לפרופיל אבטחה ברמת הפרויקט.
QUOTA_PROJECT_ID: מזהה הפרויקט של המכסה. משתמשים בדגל הזה רק לפרופילי אבטחה ברמת הארגון.
SEVERITIES: רשימה מופרדת בפסיקים של רמות חומרה שרוצים למחוק את ההגדרות שלהן.רמת החומרה יכולה להיות אחת מהאפשרויות הבאות:
INFORMATIONALLOWMEDIUMHIGHCRITICAL
THREAT_IDS: רשימה מופרדת בפסיקים של מזהי חתימות של איומים שרוצים למחוק את ההגדרות שלהם.
PROTOCOLS: רשימה מופרדת בפסיקים של פרוטוקולי רשת שצריך לעקוב אחריהם כדי לזהות איומים של אנטי-וירוס.הפרוטוקולים הבאים נתמכים:
SMTPSMBPOP3IMAPHTTP2HTTPFTP