为了保护您的 Google Cloud 资源免遭威胁,您需要定义并强制执行威胁防护安全配置文件。本文档介绍了如何使用Google Cloud 控制台或 Google Cloud CLI 创建、查看、列出、修改和删除这些配置文件。
本文档面向配置网络安全和威胁防范政策的网络管理员和安全工程师。
Google Cloud 支持两种级别的威胁防护安全配置文件:
- 组织级安全配置文件:启用可应用于组织中多个项目的集中式威胁防范规则。
- 项目级安全配置文件:启用项目特定的威胁防范规则,这些规则可根据单个项目中的工作负载量身定制。
如需了解详情,请参阅安全配置文件概览。
准备工作
- 您必须在项目中启用 Network Security API。
- 如果您要运行本指南中的
gcloud命令行示例,请安装 gcloud CLI。
角色
如需获得创建、查看、更新或删除安全配置文件所需的权限,请让您的管理员向您授予组织的必要 Identity and Access Management (IAM) 角色。如需详细了解如何授予角色,请参阅管理访问权限。
创建威胁防护安全配置文件
创建类型为 threat-prevention 的安全配置文件,并将安全配置文件的名称指定为字符串或唯一网址标识符。
控制台
在 Google Cloud 控制台中,前往安全配置文件页面。
在项目选择器菜单中,选择您要在其中创建安全配置的组织或项目。
选择安全配置文件标签页。
点击创建配置文件。
在名称字段中输入名称。
可选:在说明字段中输入说明。
如需创建 Cloud Next Generation Firewall Enterprise 安全配置文件,请在用途部分中选择 Cloud NGFW Enterprise。
如需创建威胁防护安全配置文件,请在类型部分中选择威胁防护。
点击继续。
(可选)添加严重级别和威胁替换项:
- 在严重级别替换项下,点击要替换的严重级别旁边的修改。
- 在替换操作列表中,为严重级别选择适当的操作。
- 如需添加威胁签名替换项,请点击按 ID 添加签名。
- 在签名 ID 字段中,输入要替换的威胁 ID。您可以在威胁信息中心中查看威胁 ID。
- 在替换操作列表中,为威胁 ID 选择适当的操作。
- 点击创建。
gcloud
如需创建威胁防护安全配置文件,请使用 gcloud network-security security-profiles threat-prevention create 命令:
gcloud network-security security-profiles threat-prevention create NAME \ [--organization ORGANIZATION_ID | --project PROJECT_ID] \ [--billing-project QUOTA_PROJECT_ID] \ --description DESCRIPTION \ --location global
替换以下内容:
NAME:安全配置文件的名称。如果您未以唯一网址标识符格式指定名称,则必须指定组织或项目名称以及位置。
ORGANIZATION_ID:组织 ID。针对组织级安全配置文件使用此标志。PROJECT_ID:项目 ID。 此标志用于项目级安全配置文件。QUOTA_PROJECT_ID:配额项目 ID。此标志仅适用于组织级安全配置文件。DESCRIPTION:威胁防范安全配置文件的可选说明。
列出和查看安全配置文件的详细信息
您可以列出组织或项目中创建的所有威胁防护安全配置文件。您还可以查看安全配置文件的详细信息,例如其配置文件类型、用途和说明。
控制台
在 Google Cloud 控制台中,前往安全配置文件页面。
在项目选择器菜单中,选择您的组织。
选择安全配置文件标签页。该标签页会显示已配置的安全配置文件的列表。
如需过滤威胁防护安全配置文件,请在过滤条件字段中将配置文件类型指定为威胁防护。
该标签页会显示威胁防护安全配置文件的列表。
点击威胁防护类型的安全配置文件,即可查看其详细信息。
控制台
在 Google Cloud 控制台中,前往安全配置文件页面。
在项目选择器菜单中,选择您的项目。
选择安全配置文件标签页。该标签页会显示已配置的安全配置文件的列表。
点击类型为威胁防护的安全配置文件,即可查看该配置文件的详细信息。
gcloud
如需列出所有威胁防护安全配置文件,请使用 gcloud network-security security-profiles threat-prevention list 命令:
gcloud network-security security-profiles threat-prevention list \
--organization ORGANIZATION_ID | --project PROJECT_ID \
[--billing-project QUOTA_PROJECT_ID] \
--location global
如需查看威胁防护安全配置文件的详细信息,请使用 gcloud network-security security-profiles describe 命令:
gcloud network-security security-profiles describe NAME \
--organization ORGANIZATION_ID | --project PROJECT_ID \
[--billing-project QUOTA_PROJECT_ID] \
--location global
替换以下内容:
NAME:安全配置文件的名称。如果您未以唯一网址标识符格式指定名称,则必须指定组织或项目名称以及位置。
ORGANIZATION_ID:安全配置文件所在的组织 ID。将此标志用于组织级安全配置文件。PROJECT_ID:安全配置文件所在的项目 ID。此标志用于项目级安全配置文件。QUOTA_PROJECT_ID:配额项目 ID。此标志仅适用于组织级安全配置文件。
删除威胁防护安全配置文件
您可以通过指定威胁防护安全配置文件的名称、位置和组织或项目来删除它。但是,如果安全配置文件组引用了安全配置文件,则无法删除该安全配置文件。
控制台
在 Google Cloud 控制台中,前往安全配置文件页面。
选择安全配置文件标签页。该标签页会显示已配置的安全配置文件的列表。
选择要删除的威胁防护安全配置文件,然后点击删除。
再次点击删除进行确认。
gcloud
如需删除威胁防护安全配置文件,请使用 gcloud network-security security-profiles threat-prevention delete 命令:
gcloud network-security security-profiles threat-prevention delete NAME \ --organization ORGANIZATION_ID | --project PROJECT_ID \ [--billing-project QUOTA_PROJECT_ID] \ --location global
替换以下内容:
NAME:安全配置文件的名称。如果您未以唯一网址标识符格式指定名称,则必须指定组织或项目名称以及位置。
ORGANIZATION_ID:组织 ID。针对组织级安全配置文件使用此标志。PROJECT_ID:项目 ID。 此标志用于项目级安全配置文件。QUOTA_PROJECT_ID:配额项目 ID。此标志仅适用于组织级安全配置文件。
导入威胁防护安全配置文件
您可以从 YAML 文件导入威胁防护安全配置文件(无论是自定义创建的还是之前导出的)。导入威胁防护安全配置文件时,如果已存在同名配置文件,Cloud NGFW 会更新现有配置文件。
gcloud
如需从 YAML 文件导入威胁防护安全配置文件,请使用 gcloud network-security security-profiles import 命令:
gcloud network-security security-profiles import NAME \ --organization ORGANIZATION_ID | --project PROJECT_ID \ [--billing-project QUOTA_PROJECT_ID] \ --source FILE_NAME \ --location global
替换以下内容:
NAME:安全配置文件的名称。如果您未以唯一网址标识符格式指定名称,则必须指定组织或项目名称以及位置。
ORGANIZATION_ID:组织 ID。针对组织级安全配置文件使用此标志。PROJECT_ID:项目 ID。 此标志用于项目级安全配置文件。QUOTA_PROJECT_ID:配额项目 ID。此标志仅适用于组织级安全配置文件。FILE_NAME:包含威胁防护安全配置导出数据的 YAML 文件的路径。例如threat-prevention-sp.yaml。YAML 文件不得包含任何仅输出字段。或者,您也可以省略
source标志,以便从标准输入中读取数据。
导出威胁防护安全配置文件
您可以将威胁防护安全配置文件导出到 YAML 文件。例如,您可以使用此功能导出安全配置文件,快速修改该文件,然后将其重新导入,而无需使用界面来修改大型安全配置文件。
gcloud
如需将威胁防护安全配置文件导出到 YAML 文件,请使用 gcloud beta network-security security-profiles export 命令:
gcloud network-security security-profiles export NAME \ --organization ORGANIZATION_ID | --project PROJECT_ID \ [--billing-project QUOTA_PROJECT_ID] \ --destination FILE_NAME \ --location global
替换以下内容:
NAME:安全配置文件的名称。如果您未以唯一网址标识符格式指定名称,则必须指定组织或项目名称以及位置。
ORGANIZATION_ID:组织 ID。针对组织级安全配置文件使用此标志。PROJECT_ID:项目 ID。 此标志用于项目级安全配置文件。QUOTA_PROJECT_ID:配额项目 ID。此标志仅适用于组织级安全配置文件。FILE_NAME:Cloud NGFW 将威胁防御安全配置导出到的 YAML 文件的路径。例如threat-prevention-sp.yaml。导出的配置数据不包含任何仅输出字段。或者,您也可以省略
destination标志,以写入标准输出。
在威胁防护安全配置文件中添加替换操作
您可以替换现有威胁防护安全配置文件中的特定威胁签名或严重级别关联的操作。
控制台
在 Google Cloud 控制台中,前往安全配置文件页面。
在项目选择器菜单中,选择您的组织或项目。
选择安全配置文件标签页。该标签页会显示已配置的安全配置文件的列表。
选择要替换操作的安全配置文件,然后点击修改。
在严重级别替换项下,点击要替换的严重级别旁边的修改。
在替换操作列表中,为严重级别选择适当的操作。
点击确认。
点击保存。
gcloud
如需向威胁防护安全配置文件添加替换项,请使用 gcloud
network-security security-profiles threat-prevention add-override 命令:
gcloud network-security security-profiles threat-prevention add-override NAME \ --location global \ [--organization ORGANIZATION_ID | --project PROJECT_ID] \ [--billing-project QUOTA_PROJECT_ID] \ [--severities SEVERITIES | --threat-ids THREAT_IDS | --antivirus PROTOCOLS] \ --action ACTION
替换以下内容:
NAME:安全配置文件的名称;您可以将名称指定为字符串或唯一网址标识符。ORGANIZATION_ID:组织 ID。针对组织级安全配置文件使用此标志。PROJECT_ID:项目 ID。 此标志用于项目级安全配置文件。QUOTA_PROJECT_ID:配额项目 ID。此标志仅适用于组织级安全配置文件。SEVERITIES:要替换操作的严重级别的逗号分隔列表。防火墙端点会将配置的--action标志应用于指定严重级别的所有威胁。严重级别可以是以下之一:
INFORMATIONALLOWMEDIUMHIGHCRITICAL
THREAT_IDS:要替换操作的威胁签名 ID 的逗号分隔列表。防火墙端点会将配置的--action标志应用于指定威胁 ID 的所有威胁。PROTOCOLS:要监控的逗号分隔列表网络协议,以检测防病毒威胁。如需了解详情,请参阅支持的协议。ACTION:指定威胁 ID 或严重程度的操作。如需了解详情,请参阅支持的操作。
列出威胁防护安全配置文件中的替换操作
您可以列出威胁防护安全配置文件中的所有替换操作。
控制台
在 Google Cloud 控制台中,前往安全配置文件页面。
在项目选择器菜单中,选择组织或项目。
选择安全配置文件标签页。该标签页会显示已配置的安全配置文件的列表。
选择安全配置文件以查看配置的严重级别替换操作和威胁签名替换操作。
gcloud
如需列出威胁防护安全配置文件中的替换操作,请使用 gcloud network-security security-profiles threat-prevention list-overrides 命令:
gcloud network-security security-profiles threat-prevention list-overrides NAME \ --location global \ [--organization ORGANIZATION_ID | --project PROJECT_ID]
替换以下内容:
NAME:安全配置文件的名称;您可以将名称指定为字符串或唯一网址标识符。ORGANIZATION_ID:组织 ID。针对组织级安全配置文件使用此标志。PROJECT_ID:项目 ID。 此标志用于项目级安全配置文件。
更新威胁防护安全配置文件中的替换操作
您可以更新威胁防护安全配置文件中严重级别或威胁签名的现有替换操作。
控制台
在 Google Cloud 控制台中,前往安全配置文件页面。
在项目选择器菜单中,选择组织或项目。
选择安全配置文件标签页。该标签页会显示已配置的安全配置文件的列表。
选择安全配置文件,然后点击修改。
在严重级别替换项下,点击要更新替换操作的严重级别旁边的修改。
在替换操作列表中,为严重级别选择适当的操作。
点击确认。
点击保存。
gcloud
如需更新威胁防护安全配置文件中的替换操作,请使用 gcloud network-security security-profiles threat-prevention update-override 命令:
gcloud network-security security-profiles threat-prevention update-override NAME \ --location global \ [--organization ORGANIZATION_ID | --project PROJECT_ID] \ [--billing-project QUOTA_PROJECT_ID] \ [--severities SEVERITIES | --threat-ids THREAT_IDS | --antivirus PROTOCOLS] \ --action ACTION
替换以下内容:
NAME:安全配置文件的名称;您可以将名称指定为字符串或唯一网址标识符。ORGANIZATION_ID:组织 ID。针对组织级安全配置文件使用此标志。PROJECT_ID:项目 ID。 此标志用于项目级安全配置文件。QUOTA_PROJECT_ID:配额项目 ID。此标志仅适用于组织级安全配置文件。SEVERITIES:要更新替换项的严重级别的逗号分隔列表。严重级别可以是以下之一:
INFORMATIONALLOWMEDIUMHIGHCRITICAL
THREAT_IDS:要更新替换项的威胁签名 ID 的逗号分隔列表。PROTOCOLS:要监控的以英文逗号分隔的网络协议列表,以检测防病毒威胁。支持以下协议:
SMTPSMBPOP3IMAPHTTP2HTTPFTP
ACTION:指定的威胁 ID 或严重级别的默认操作。操作可以是以下之一:
DEFAULTALLOWDENYALERT
从威胁防护安全配置文件中删除替换操作
您可以从威胁防护安全配置文件中删除严重级别或威胁签名的现有替换操作。
控制台
在 Google Cloud 控制台中,前往安全配置文件页面。
在项目选择器菜单中,选择您的组织或项目。
选择安全配置文件标签页。该标签页会显示已配置的安全配置文件的列表。
选择安全配置文件,然后点击修改。
在严重级别替换项下,点击要删除替换操作的严重级别旁边的修改。
在替换操作列表中,选择禁止替换。
点击确认。
在签名替换项下,选择要删除的威胁 ID。
点击删除。
点击保存。
gcloud
如需从威胁防护安全配置文件中删除替换操作,请使用 gcloud network-security security-profiles threat-prevention
delete-override 命令:
gcloud network-security security-profiles threat-prevention delete-override NAME \ --location global \ [--organization ORGANIZATION_ID | --project PROJECT_ID] \ [--billing-project QUOTA_PROJECT_ID] \ [--severities SEVERITIES | --threat-ids THREAT_IDS | --antivirus PROTOCOLS]
替换以下内容:
NAME:安全配置文件的名称;您可以将名称指定为字符串或唯一网址标识符。ORGANIZATION_ID:组织 ID。针对组织级安全配置文件使用此标志。PROJECT_ID:项目 ID。 此标志用于项目级安全配置文件。QUOTA_PROJECT_ID:配额项目 ID。此标志仅适用于组织级安全配置文件。SEVERITIES:要删除替换项的严重级别的逗号分隔列表。严重级别可以是以下之一:
INFORMATIONALLOWMEDIUMHIGHCRITICAL
THREAT_IDS:要删除替换项的威胁签名 ID 的逗号分隔列表。PROTOCOLS:要监控的以英文逗号分隔的网络协议列表,以检测防病毒威胁。支持以下协议:
SMTPSMBPOP3IMAPHTTP2HTTPFTP