建立及管理威脅防護安全性設定檔

如要保護 Google Cloud 資源免於遭受威脅,請定義並強制執行威脅防護安全性設定檔。本文說明如何使用Google Cloud 控制台或 Google Cloud CLI,建立、查看、列出、修改及刪除這些設定檔。

本文適用於設定網路安全和威脅防護政策的網路管理員和安全工程師。

Google Cloud 支援兩種層級的威脅防護安全設定檔:

  • 機構層級安全性設定檔:啟用集中式威脅防護規則,並套用至機構內的多個專案。
  • 專案層級的安全防護設定檔:啟用專案專屬的威脅防護規則,根據單一專案中的工作負載量身打造。

詳情請參閱「安全性設定檔總覽」。

事前準備

角色

如要取得建立、查看、更新或刪除安全設定檔所需的權限,請要求管理員授予您組織的必要 Identity and Access Management (IAM) 角色。如要進一步瞭解如何授予角色,請參閱「管理存取權」。

建立威脅防護安全性設定檔

建立 threat-prevention 類型的安全性設定檔,並以字串或專屬網址 ID 指定安全性設定檔的名稱。

控制台

  1. 前往 Google Cloud 控制台的「Security profiles」(安全性設定檔) 頁面。

    前往「安全性設定檔」

  2. 在專案選擇器選單中,選取要建立安全性設定檔的機構或專案。

  3. 選取「安全性設定檔」分頁標籤。

  4. 按一下 Create profile

  5. 在「名稱」欄位中輸入名稱。

  6. 選用:在「Description」(說明) 欄位輸入說明。

  7. 如要建立 Cloud Next Generation Firewall Enterprise 安全性設定檔,請在「用途」部分選取「Cloud NGFW Enterprise」

  8. 如要建立威脅防護安全設定檔,請在「類型」部分選取「威脅防護」

  9. 按一下「繼續」

視需要新增嚴重程度和威脅覆寫:

  1. 在「嚴重性覆寫」下方,找到要覆寫的嚴重程度,然後按一下旁邊的「編輯」
  2. 在「覆寫動作」清單中,選取嚴重程度層級的適當動作。
  3. 如要新增威脅簽章覆寫,請按一下「依據 ID 新增簽章」
  4. 在「Signature ID」(簽章 ID) 欄位中,輸入要覆寫的威脅 ID。您可以在威脅資訊主頁中查看威脅 ID。
  5. 在「Override action」(覆寫動作) 清單中,選取適用於威脅 ID 的動作。
  6. 點選「建立」

gcloud

如要建立威脅防護安全設定檔,請使用 gcloud network-security security-profiles threat-prevention create 指令

gcloud network-security security-profiles threat-prevention create NAME \
  [--organization ORGANIZATION_ID | --project PROJECT_ID] \
  [--billing-project QUOTA_PROJECT_ID] \
  --description DESCRIPTION \
  --location global

更改下列內容:

  • NAME:安全性設定檔的名稱。

    如果沒有以專屬網址 ID 格式指定名稱,則必須指定機構或專案名稱,以及位置。

  • ORGANIZATION_ID:組織 ID。這個標記適用於機構層級的安全設定檔。

  • PROJECT_ID:專案 ID。使用這個標記設定專案層級的安全設定檔。

  • QUOTA_PROJECT_ID:配額專案 ID。請僅針對機構層級的安全設定檔使用這個旗標。

  • DESCRIPTION:威脅防護安全設定檔的選用說明。

列出並查看安全性設定檔的詳細資料

您可以列出機構或專案中建立的所有威脅防護安全性設定檔。您也可以查看安全性設定檔的詳細資料,例如設定檔類型、用途和說明。

控制台

  1. 前往 Google Cloud 控制台的「Security profiles」(安全性設定檔) 頁面。

    前往「安全性設定檔」

  2. 在專案選取器選單中,選取您的機構。

  3. 選取「安全性設定檔」分頁標籤。這個分頁會顯示已設定的安全設定檔清單。

  4. 如要篩選威脅防護安全設定檔,請在「篩選器」欄位中,將「設定檔類型」指定為「威脅防護」

    這個分頁會顯示威脅防護安全性設定檔清單。

  5. 按一下「威脅防護」類型的安全性設定檔,即可查看詳細資料。

控制台

  1. 前往 Google Cloud 控制台的「Security profiles」(安全性設定檔) 頁面。

    前往「安全性設定檔」

  2. 在專案選取器選單中選取專案。

  3. 選取「安全性設定檔」分頁標籤。這個分頁會顯示已設定的安全設定檔清單。

  4. 按一下「威脅防護」類型的安全性設定檔,即可查看設定檔詳細資料。

gcloud

如要列出所有威脅防護安全性設定檔,請使用 gcloud network-security security-profiles threat-prevention list 指令

gcloud network-security security-profiles threat-prevention list \
    --organization ORGANIZATION_ID | --project PROJECT_ID \
    [--billing-project QUOTA_PROJECT_ID] \
    --location global

如要查看威脅防護安全設定檔的詳細資料,請使用 gcloud network-security security-profiles describe 指令

gcloud network-security security-profiles describe NAME \
    --organization ORGANIZATION_ID | --project PROJECT_ID \
    [--billing-project QUOTA_PROJECT_ID] \
    --location global

更改下列內容:

  • NAME:安全性設定檔的名稱。

    如果沒有以專屬網址 ID 格式指定名稱,則必須指定機構或專案名稱,以及位置。

  • ORGANIZATION_ID:安全設定檔所在的機構 ID。這個標記適用於機構層級的安全設定檔。

  • PROJECT_ID:安全設定檔所在的專案 ID。這個標記適用於專案層級的安全設定檔。

  • QUOTA_PROJECT_ID:配額專案 ID。請注意,這項標記僅適用於機構層級的安全設定檔。

刪除威脅防護安全性設定檔

您可以指定威脅防護安全設定檔的名稱、位置,以及機構或專案,藉此刪除該設定檔。不過,如果安全性設定檔群組參照了安全性設定檔,就無法刪除該安全性設定檔。

控制台

  1. 前往 Google Cloud 控制台的「Security profiles」(安全性設定檔) 頁面。

    前往「安全性設定檔」

  2. 選取「安全性設定檔」分頁標籤。這個分頁會顯示已設定的安全設定檔清單。

  3. 選取要刪除的威脅防護安全設定檔,然後按一下「刪除」

  4. 再按一下 [刪除] 加以確認。

gcloud

如要刪除威脅防護安全設定檔,請使用 gcloud network-security security-profiles threat-prevention delete 指令

gcloud network-security security-profiles threat-prevention delete NAME \
  --organization ORGANIZATION_ID | --project PROJECT_ID \
  [--billing-project QUOTA_PROJECT_ID] \
  --location global

更改下列內容:

  • NAME:安全性設定檔的名稱。

    如果沒有以專屬網址 ID 格式指定名稱,則必須指定機構或專案名稱,以及位置。

  • ORGANIZATION_ID:組織 ID。這個標記適用於機構層級的安全設定檔。

  • PROJECT_ID:專案 ID。使用這個標記設定專案層級的安全設定檔。

  • QUOTA_PROJECT_ID:配額專案 ID。請僅針對機構層級的安全設定檔使用這個旗標。

匯入威脅防護安全設定檔

您可以從 YAML 檔案匯入威脅防護安全性設定檔 (自訂建立或先前匯出)。匯入威脅防護安全性設定檔時,如果已有同名的設定檔,Cloud NGFW 會更新現有設定檔。

gcloud

如要從 YAML 檔案匯入威脅防護安全設定檔,請使用 gcloud network-security security-profiles import 指令

gcloud network-security security-profiles import NAME \
  --organization ORGANIZATION_ID | --project PROJECT_ID \
  [--billing-project QUOTA_PROJECT_ID] \
  --source FILE_NAME \
  --location global

更改下列內容:

  • NAME:安全性設定檔的名稱。

    如果沒有以專屬網址 ID 格式指定名稱,則必須指定機構或專案名稱,以及位置。

  • ORGANIZATION_ID:組織 ID。這個標記適用於機構層級的安全設定檔。

  • PROJECT_ID:專案 ID。使用這個標記設定專案層級的安全設定檔。

  • QUOTA_PROJECT_ID:配額專案 ID。請僅針對機構層級的安全設定檔使用這個旗標。

  • FILE_NAME:包含威脅防護安全設定檔設定匯出資料的 YAML 檔案路徑。例如:threat-prevention-sp.yaml

    YAML 檔案不得包含任何僅限輸出的欄位。或者,您也可以省略 source 旗標,從標準輸入讀取資料。

匯出威脅防護安全性設定檔

您可以將威脅防護安全設定檔匯出為 YAML 檔案。舉例來說,您可以使用這項功能匯出安全性設定檔、快速修改,然後匯回,不必透過使用者介面修改大型安全性設定檔。

gcloud

如要將威脅防護安全設定檔匯出至 YAML 檔案,請使用 gcloud beta network-security security-profiles export 指令

gcloud network-security security-profiles export NAME \
  --organization ORGANIZATION_ID | --project PROJECT_ID \
  [--billing-project QUOTA_PROJECT_ID] \
  --destination FILE_NAME \
  --location global

更改下列內容:

  • NAME:安全性設定檔的名稱。

    如果沒有以專屬網址 ID 格式指定名稱,則必須指定機構或專案名稱,以及位置。

  • ORGANIZATION_ID:組織 ID。這個標記適用於機構層級的安全設定檔。

  • PROJECT_ID:專案 ID。使用這個標記設定專案層級的安全設定檔。

  • QUOTA_PROJECT_ID:配額專案 ID。請僅針對機構層級的安全設定檔使用這個旗標。

  • FILE_NAME:YAML 檔案的路徑,Cloud NGFW 會將威脅防護安全設定檔的設定匯出至該檔案。例如:threat-prevention-sp.yaml

    匯出的設定資料不含任何僅供輸出的欄位。 或者,您也可以省略 destination 旗標,將內容寫入標準輸出。

在威脅防護安全設定檔中新增覆寫動作

您可以覆寫現有威脅防護安全設定檔中,與特定威脅簽章嚴重性等級相關聯的動作。

控制台

  1. 前往 Google Cloud 控制台的「Security profiles」(安全性設定檔) 頁面。

    前往「安全性設定檔」

  2. 在專案選取器選單中,選取您的機構或專案。

  3. 選取「安全性設定檔」分頁標籤。這個分頁會顯示已設定的安全設定檔清單。

  4. 選取要覆寫動作的安全性設定檔,然後按一下「編輯」

  5. 在「嚴重性覆寫」下方,找到要覆寫的嚴重程度,然後按一下旁邊的「編輯」

  6. 在「覆寫動作」清單中,選取嚴重程度層級的適當動作。

  7. 按一下「確認」。

  8. 按一下 [儲存]

gcloud

如要為威脅防護安全設定檔新增覆寫,請使用 gcloud network-security security-profiles threat-prevention add-override 指令

gcloud network-security security-profiles threat-prevention add-override NAME \
  --location global \
  [--organization ORGANIZATION_ID | --project PROJECT_ID] \
  [--billing-project QUOTA_PROJECT_ID] \
  [--severities SEVERITIES | --threat-ids THREAT_IDS | --antivirus PROTOCOLS] \
  --action ACTION

更改下列內容:

  • NAME:安全性設定檔的名稱,您可以將名稱指定為字串或專屬網址 ID。

  • ORGANIZATION_ID:組織 ID。這個標記適用於機構層級的安全設定檔。

  • PROJECT_ID:專案 ID。使用這個標記設定專案層級的安全設定檔。

  • QUOTA_PROJECT_ID:配額專案 ID。請僅針對機構層級的安全設定檔使用這個旗標。

  • SEVERITIES:以半形逗號分隔的嚴重程度清單,可覆寫動作。防火牆端點會將設定的 --action旗標套用至指定嚴重程度的所有威脅。

    嚴重程度可以是下列任一值:

    • INFORMATIONAL
    • LOW
    • MEDIUM
    • HIGH
    • CRITICAL
  • THREAT_IDS:以半形逗號分隔的威脅簽章 ID 清單,可覆寫動作。防火牆端點會將設定的 --action 標記套用至指定威脅 ID 的所有威脅。

  • PROTOCOLS:以半形逗號分隔的網路通訊協定清單,用於監控防毒威脅。詳情請參閱「支援的通訊協定」。

  • ACTION:針對指定威脅 ID 或嚴重程度採取的動作。詳情請參閱支援的動作

列出威脅防護安全性設定檔中的覆寫動作

您可以列出威脅防護安全性設定檔中的所有覆寫動作。

控制台

  1. 前往 Google Cloud 控制台的「Security profiles」(安全性設定檔) 頁面。

    前往「安全性設定檔」

  2. 在專案選取器選單中,選取機構或專案。

  3. 選取「安全性設定檔」分頁標籤。這個分頁會顯示已設定的安全設定檔清單。

  4. 選取安全性設定檔,即可查看已設定的嚴重性覆寫動作和威脅簽章覆寫動作。

gcloud

如要列出威脅防護安全性設定檔中的覆寫動作,請使用 gcloud network-security security-profiles threat-prevention list-overrides 指令

gcloud network-security security-profiles threat-prevention list-overrides NAME \
  --location global \
  [--organization ORGANIZATION_ID | --project PROJECT_ID]

更改下列內容:

  • NAME:安全性設定檔的名稱,您可以將名稱指定為字串或專屬網址 ID。

  • ORGANIZATION_ID:組織 ID。這個標記適用於機構層級的安全設定檔。

  • PROJECT_ID:專案 ID。使用這個標記設定專案層級的安全設定檔。

更新威脅防護安全設定檔中的覆寫動作

您可以在威脅防護安全設定檔中,更新嚴重程度或威脅簽章的現有覆寫動作。

控制台

  1. 前往 Google Cloud 控制台的「Security profiles」(安全性設定檔) 頁面。

    前往「安全性設定檔」

  2. 在專案選取器選單中,選取機構或專案。

  3. 選取「安全性設定檔」分頁標籤。這個分頁會顯示已設定的安全設定檔清單。

  4. 選取安全性設定檔,然後按一下「編輯」

  5. 在「嚴重性覆寫」下方,找到要更新覆寫動作的嚴重程度層級,然後按一下旁邊的「編輯」

  6. 在「Override action」(覆寫動作) 清單中,選取嚴重程度層級的適當動作。

  7. 按一下「確認」。

  8. 按一下 [儲存]

gcloud

如要更新威脅防護安全設定檔中的覆寫動作,請使用 gcloud network-security security-profiles threat-prevention update-override 指令

gcloud network-security security-profiles threat-prevention update-override NAME \
  --location global \
  [--organization ORGANIZATION_ID | --project PROJECT_ID] \
  [--billing-project QUOTA_PROJECT_ID] \
  [--severities SEVERITIES | --threat-ids THREAT_IDS | --antivirus PROTOCOLS] \
  --action ACTION

更改下列內容:

  • NAME:安全性設定檔的名稱,您可以將名稱指定為字串或專屬網址 ID。

  • ORGANIZATION_ID:組織 ID。這個標記適用於機構層級的安全設定檔。

  • PROJECT_ID:專案 ID。使用這個標記設定專案層級的安全設定檔。

  • QUOTA_PROJECT_ID:配額專案 ID。請僅針對機構層級的安全設定檔使用這個旗標。

  • SEVERITIES:以半形逗號分隔的嚴重程度清單,您要更新這些嚴重程度的覆寫設定。

    嚴重程度可以是下列任一值:

    • INFORMATIONAL
    • LOW
    • MEDIUM
    • HIGH
    • CRITICAL
  • THREAT_IDS:以半形逗號分隔的威脅簽章 ID 清單,您要更新這些 ID 的覆寫設定。

  • PROTOCOLS:以半形逗號分隔的網路通訊協定清單,用於監控防毒威脅。

    支援的通訊協定如下:

    • SMTP
    • SMB
    • POP3
    • IMAP
    • HTTP2
    • HTTP
    • FTP
  • :指定威脅 ID 或嚴重程度的預設動作。ACTION

    動作可以是下列其中一項:

    • DEFAULT
    • ALLOW
    • DENY
    • ALERT

從威脅防護安全性設定檔中刪除覆寫動作

您可以從威脅防護安全設定檔中,刪除嚴重程度或威脅簽章的現有覆寫動作。

控制台

  1. 前往 Google Cloud 控制台的「Security profiles」(安全性設定檔) 頁面。

    前往「安全性設定檔」

  2. 在專案選取器選單中,選取您的機構或專案。

  3. 選取「安全性設定檔」分頁標籤。這個分頁會顯示已設定的安全設定檔清單。

  4. 選取安全性設定檔,然後按一下「編輯」

  5. 在「嚴重性覆寫」下方,找到要刪除覆寫動作的嚴重程度,然後按一下旁邊的「編輯」

  6. 在「Override action」(覆寫動作) 清單中,選取「No override」(不覆寫)

  7. 按一下「確認」。

  8. 在「簽章覆寫」下方,選取要刪除的威脅 ID。

  9. 點選「刪除」。

  10. 按一下 [儲存]

gcloud

如要從威脅防護安全設定檔中刪除覆寫動作,請使用 gcloud network-security security-profiles threat-prevention delete-override 指令

gcloud network-security security-profiles threat-prevention delete-override NAME \
  --location global \
  [--organization ORGANIZATION_ID | --project PROJECT_ID] \
  [--billing-project QUOTA_PROJECT_ID] \
  [--severities SEVERITIES | --threat-ids THREAT_IDS | --antivirus PROTOCOLS]

更改下列內容:

  • NAME:安全性設定檔的名稱,您可以將名稱指定為字串或專屬網址 ID。

  • ORGANIZATION_ID:組織 ID。這個標記適用於機構層級的安全設定檔。

  • PROJECT_ID:專案 ID。使用這個標記設定專案層級的安全設定檔。

  • QUOTA_PROJECT_ID:配額專案 ID。請僅針對機構層級的安全設定檔使用這個旗標。

  • SEVERITIES:以半形逗號分隔的嚴重程度清單,您要刪除這些嚴重程度的覆寫。

    嚴重程度可以是下列任一值:

    • INFORMATIONAL
    • LOW
    • MEDIUM
    • HIGH
    • CRITICAL
  • THREAT_IDS:以半形逗號分隔的威脅簽章 ID 清單,您要刪除這些 ID 的覆寫項目。

  • PROTOCOLS:以半形逗號分隔的網路通訊協定清單,用於監控防毒威脅。

    支援的通訊協定如下:

    • SMTP
    • SMB
    • POP3
    • IMAP
    • HTTP2
    • HTTP
    • FTP

後續步驟