ניהול קבוצות של פרופילי אבטחה

בדף הזה מוסבר איך לנהל קבוצות של פרופילי אבטחה באמצעות מסוף Google Cloud או Google Cloud CLI.

כדי לבדוק את התקדמות הפעולות שמפורטות בדף הזה, צריך לוודא שלתפקיד המשתמש שלכם יש את ההרשאות הבאות של Compute Network User ‏(roles/compute.networkUser):

  • networksecurity.operations.get
  • networksecurity.operations.list

לפני שמתחילים

תפקידים

כדי לקבל את ההרשאות שדרושות לצפייה, לעדכון או למחיקה של קבוצות פרופילים של אבטחה, צריך לבקש מהאדמין להקצות לכם את תפקידי ה-IAM הנדרשים בארגון או בפרויקט. מידע נוסף על מתן תפקידים מופיע במאמר ניהול הגישה.

הצגת קבוצת פרופילים של אבטחה

אפשר לראות את הפרטים של קבוצת פרופילים ספציפית של אבטחה בארגון או בפרויקט.

קבוצות של פרופילי אבטחה ברמת הארגון

כדי לראות קבוצת פרופילים של אבטחה ברמת הארגון, משתמשים במסוףGoogle Cloud או ב-CLI של gcloud.

המסוף

  1. נכנסים לדף Security profiles במסוף Google Cloud .

    מעבר לפרופילי אבטחה

  2. בתפריט לבחירת פרויקטים, בוחרים את הארגון.

  3. לוחצים על הכרטיסייה קבוצות של פרופילי אבטחה. בכרטיסייה מוצגת רשימה של קבוצות פרופילי אבטחה שהוגדרו.

  4. בוחרים את קבוצת פרופילי האבטחה כדי לראות את הפרטים שלה.

gcloud

כדי לראות את הפרטים של קבוצת פרופילים לאבטחה, משתמשים בפקודה gcloud network-security security-profile-groups describe:

gcloud network-security security-profile-groups describe NAME \
    --organization ORGANIZATION_ID \
    --location LOCATION \
    --billing-project QUOTA_PROJECT_ID

מחליפים את מה שכתוב בשדות הבאים:

  • NAME: השם של קבוצת פרופילי האבטחה. אפשר לציין את השם כמחרוזת או כמזהה ייחודי של כתובת URL.

  • ORGANIZATION_ID: הארגון שבו קיימת קבוצת פרופיל האבטחה. אם אתם משתמשים במזהה ייחודי של כתובת URL עבור המשתנה NAME, אתם יכולים להשמיט את הדגל --organization.

  • LOCATION: המיקום של קבוצת פרופילי האבטחה.

    המיקום תמיד מוגדר לערך global. אם משתמשים במזהה ייחודי של כתובת URL עבור המשתנה NAME, אפשר להשמיט את הדגל --location.

  • QUOTA_PROJECT_ID: מזהה פרויקט אופציונלי שישמש למכסות ולהגבלות גישה בקבוצת פרופילי האבטחה.

קבוצות של פרופילי אבטחה ברמת הפרויקט

כדי לראות קבוצת פרופילים של אבטחה ברמת הפרויקט, משתמשים במסוף Google Cloud או ב-CLI של gcloud.

המסוף

  1. נכנסים לדף Security profiles במסוף Google Cloud .

    מעבר לפרופילי אבטחה

  2. בתפריט לבחירת פרויקטים, בוחרים את הפרויקט הרצוי.

  3. לוחצים על הכרטיסייה קבוצות של פרופילי אבטחה. בכרטיסייה מוצגת רשימה של קבוצות פרופילי אבטחה שהוגדרו.

  4. בוחרים את קבוצת פרופילי האבטחה כדי לראות את הפרטים שלה.

gcloud

כדי לראות את הפרטים של קבוצת פרופילים לאבטחה, משתמשים בפקודה gcloud beta network-security security-profile-groups describe:

gcloud beta network-security security-profile-groups describe NAME \
    --project PROJECT_ID \
    --location LOCATION

מחליפים את מה שכתוב בשדות הבאים:

  • NAME: השם של קבוצת פרופילי האבטחה. אפשר לציין את השם כמחרוזת או כמזהה ייחודי של כתובת URL.

  • PROJECT_ID: הפרויקט שבו קיימת קבוצת פרופיל האבטחה. אם משתמשים במזהה ייחודי של כתובת URL עבור הדגל NAME, אפשר להשמיט את הדגל --project.

  • LOCATION: המיקום של קבוצת פרופילי האבטחה.

    המיקום תמיד מוגדר לערך global. אם משתמשים במזהה ייחודי של כתובת URL בדגל NAME, אפשר להשמיט את הדגל --location.

רשימה של קבוצות פרופילי אבטחה

אתם יכולים להציג רשימה של כל קבוצות פרופילי האבטחה בארגון או בפרויקט.

קבוצות של פרופילי אבטחה ברמת הארגון

כדי להציג רשימה של כל קבוצות פרופילי האבטחה ברמת הארגון, משתמשים במסוףGoogle Cloud או ב-CLI של gcloud.

המסוף

  1. נכנסים לדף Security profiles במסוף Google Cloud .

    מעבר לפרופילי אבטחה

  2. בתפריט לבחירת פרויקטים, בוחרים את הארגון.

  3. לוחצים על הכרטיסייה קבוצות של פרופילי אבטחה. בכרטיסייה מוצגת רשימה של קבוצות פרופילי אבטחה שהוגדרו.

gcloud

כדי לראות את רשימת קבוצות פרופילי האבטחה, משתמשים בפקודה gcloud network-security security-profile-groups list:

gcloud network-security security-profile-groups list \
    --organization ORGANIZATION_ID \
    --location LOCATION \
    --billing-project BILLING_PROJECT_ID

מחליפים את מה שכתוב בשדות הבאים:

  • ORGANIZATION_ID: הארגון שבו קיימת קבוצת פרופיל האבטחה. אם אתם משתמשים במזהה ייחודי של כתובת URL עבור המשתנה NAME, אתם יכולים להשמיט את הדגל --organization.

  • LOCATION: המיקום של קבוצת פרופילי האבטחה.

    המיקום תמיד מוגדר לערך global. אם משתמשים במזהה ייחודי של כתובת URL עבור המשתנה NAME, אפשר להשמיט את הדגל --location.

  • BILLING_PROJECT_ID: מזהה פרויקט אופציונלי שישמש לחיוב של קבוצת פרופילי האבטחה.

קבוצות של פרופילי אבטחה ברמת הפרויקט

כדי להציג את כל קבוצות פרופילי האבטחה ברמת הפרויקט, משתמשים במסוף Google Cloud או ב-CLI של gcloud.

המסוף

  1. נכנסים לדף Security profiles במסוף Google Cloud .

    מעבר לפרופילי אבטחה

  2. בתפריט לבחירת פרויקטים, בוחרים את הפרויקט הרצוי.

  3. לוחצים על הכרטיסייה קבוצות של פרופילי אבטחה. בכרטיסייה מוצגת רשימה של קבוצות פרופילי אבטחה שהוגדרו.

gcloud

כדי לראות את רשימת קבוצות פרופילי האבטחה, משתמשים בפקודה gcloud network-security security-profile-groups list:

gcloud network-security security-profile-groups list \
    --project PROJECT_ID \
    --location LOCATION

מחליפים את מה שכתוב בשדות הבאים:

  • PROJECT_ID: הפרויקט שבו קיימת קבוצת פרופיל האבטחה.

  • LOCATION: המיקום של קבוצת פרופילי האבטחה.

    המיקום תמיד מוגדר לערך global.

עדכון קבוצה של פרופילי אבטחה

אפשר לעדכן את השם של פרופיל האבטחה שאליו מתייחסת קבוצת פרופילי אבטחה.

קבוצות של פרופילי אבטחה ברמת הארגון

כדי לעדכן קבוצת פרופילים של אבטחה ברמת הארגון, משתמשים במסוףGoogle Cloud או ב-CLI של gcloud.

המסוף

  1. נכנסים לדף Security profiles במסוף Google Cloud .

    מעבר לפרופילי אבטחה

  2. לוחצים על הכרטיסייה קבוצות של פרופילי אבטחה. בכרטיסייה מוצגת רשימה של קבוצות פרופילי אבטחה שהוגדרו.

  3. בוחרים את קבוצת פרופילי האבטחה ולוחצים על עריכה.

  4. מעדכנים את שדות החובה ולוחצים על שמירה.

gcloud

כדי לעדכן קבוצת פרופילי אבטחה, משתמשים בפקודה gcloud network-security security-profile-groups update:

gcloud network-security security-profile-groups update NAME \
    --organization ORGANIZATION_ID \
    --location LOCATION \
    --clear-threat-prevention-profile | --threat-prevention-profile SECURITY_PROFILE_URL \
    --clear-url-filtering-profile | --url-filtering-profile SECURITY_PROFILE_URL \
    --billing-project QUOTA_PROJECT_ID \
    --description DESCRIPTION

מחליפים את מה שכתוב בשדות הבאים:

  • NAME: השם של קבוצת פרופילי האבטחה שרוצים לעדכן. אפשר לציין את השם כמחרוזת או כמזהה ייחודי של כתובת URL.

  • ORGANIZATION_ID: הארגון שבו קיימת קבוצת פרופיל האבטחה. אם משתמשים במזהה ייחודי של כתובת URL למשתנה NAME, אפשר להשמיט את הדגל --organization.

  • LOCATION: המיקום של קבוצת פרופילי האבטחה.

    המיקום תמיד מוגדר לערך global. אם משתמשים במזהה ייחודי של כתובת URL עבור המשתנה NAME, אפשר להשמיט את הדגל --location.

  • SECURITY_PROFILE_URL: מזהה ייחודי של כתובת URL של פרופיל האבטחה מסוג url-filtering או threat-prevention.

    אפשר לציין לכל היותר אחד מהסימונים האלה:

    • clear-threat-prevention-profile: מוחקים את הערך בשדה threat-prevention-profile.
    • threat-prevention-profile: מעדכנים את השדה threat-prevention-profile (פרופיל למניעת איומים) במזהה הייחודי של כתובת ה-URL של פרופיל האבטחה מסוג threat-prevention.

    באופן דומה, אפשר לציין לכל היותר אחד מהסימונים הבאים:

    • clear-url-filtering-profile: מוחקים את הערך בשדה url-filtering-profile.
    • url-filtering-profile: מעדכנים את השדה url-filtering-profile במזהה הייחודי של כתובת ה-URL של פרופיל האבטחה מסוג url-filtering.

  • QUOTA_PROJECT_ID: מזהה פרויקט אופציונלי שישמש למכסות ולהגבלות גישה בקבוצת פרופילי האבטחה.

  • DESCRIPTION: תיאור אופציונלי של קבוצת פרופילי האבטחה.

קבוצות של פרופילי אבטחה ברמת הפרויקט

כדי לעדכן קבוצת פרופילים של אבטחה ברמת הפרויקט, משתמשים ב-CLI של gcloud.

gcloud

כדי לעדכן קבוצת פרופילי אבטחה, משתמשים בפקודה gcloud beta network-security security-profile-groups update:

gcloud beta network-security security-profile-groups update NAME \
    --project PROJECT_ID \
    --location LOCATION \
    --clear-threat-prevention-profile | --threat-prevention-profile SECURITY_PROFILE_URL \
    --clear-url-filtering-profile | --url-filtering-profile SECURITY_PROFILE_URL \
    --description DESCRIPTION

מחליפים את מה שכתוב בשדות הבאים:

  • NAME: השם של קבוצת פרופילי האבטחה שרוצים לעדכן. אפשר לציין את השם כמחרוזת או כמזהה ייחודי של כתובת URL.

  • PROJECT_ID: הפרויקט שבו קיימת קבוצת פרופיל האבטחה. אם משתמשים במזהה ייחודי של כתובת URL עבור הדגל NAME, אפשר להשמיט את הדגל --project.

  • LOCATION: המיקום של קבוצת פרופילי האבטחה.

    המיקום תמיד מוגדר לערך global. אם משתמשים במזהה ייחודי של כתובת URL עבור המשתנה NAME, אפשר להשמיט את הדגל --location.

  • SECURITY_PROFILE_URL: מזהה ייחודי של כתובת URL של פרופיל האבטחה מסוג url-filtering או threat-prevention.

    אפשר לציין לכל היותר אחד מהסימונים האלה:

    • clear-threat-prevention-profile: מוחקים את הערך בשדה threat-prevention-profile.
    • threat-prevention-profile: מעדכנים את השדה threat-prevention-profile (פרופיל למניעת איומים) במזהה הייחודי של כתובת ה-URL של פרופיל האבטחה מסוג threat-prevention.

    באופן דומה, אפשר לציין לכל היותר אחד מהסימונים הבאים:

    • clear-url-filtering-profile: מוחקים את הערך בשדה url-filtering-profile.
    • url-filtering-profile: מעדכנים את השדה url-filtering-profile במזהה הייחודי של כתובת ה-URL של פרופיל האבטחה מסוג url-filtering.

  • DESCRIPTION: תיאור אופציונלי של קבוצת פרופילי האבטחה.

מחיקה של קבוצת פרופילים של אבטחה

כדי למחוק קבוצת פרופילי אבטחה, צריך לציין את השם, המיקום והארגון או הפרויקט שלה. עם זאת, אם מדיניות חומת האש מפנה לפרופיל אבטחה, אי אפשר למחוק את קבוצת פרופיל האבטחה הזו.

קבוצות של פרופילי אבטחה ברמת הארגון

כדי למחוק קבוצת פרופילים של אבטחה ברמת הארגון, צריך להשתמש במסוףGoogle Cloud או ב-CLI של gcloud.

המסוף

  1. נכנסים לדף Security profiles במסוף Google Cloud .

    מעבר לפרופילי אבטחה

  2. לוחצים על הכרטיסייה קבוצות של פרופילי אבטחה. בכרטיסייה מוצגת רשימה של קבוצות פרופילי אבטחה שהוגדרו.

  3. בוחרים את קבוצת פרופילי האבטחה ולוחצים על מחיקה.

  4. כדי לאשר, לוחצים שוב על מחיקה.

gcloud

כדי למחוק קבוצה של פרופילי אבטחה, משתמשים בפקודה gcloud network-security security-profile-groups delete:

gcloud network-security security-profile-groups delete NAME \
    --organization ORGANIZATION_ID \
    --location LOCATION \
    --billing-project QUOTA_PROJECT_ID

מחליפים את מה שכתוב בשדות הבאים:

  • NAME: השם של קבוצת פרופילי האבטחה שרוצים למחוק. אפשר לציין את השם כמחרוזת או כמזהה ייחודי של כתובת URL.

  • ORGANIZATION_ID: הארגון שבו קיימת קבוצת פרופיל האבטחה. אם משתמשים במזהה ייחודי של כתובת URL למשתנה NAME, אפשר להשמיט את הדגל --organization.

  • LOCATION: המיקום של קבוצת פרופילי האבטחה.

    המיקום תמיד מוגדר לערך global. אם משתמשים במזהה ייחודי של כתובת URL עבור המשתנה NAME, אפשר להשמיט את הדגל --location.

  • QUOTA_PROJECT_ID: מזהה פרויקט אופציונלי שישמש למכסות ולהגבלות גישה בקבוצת פרופילי האבטחה.

קבוצות של פרופילי אבטחה ברמת הפרויקט

כדי למחוק קבוצת פרופילים של אבטחה ברמת הפרויקט, משתמשים ב-CLI של gcloud.

gcloud

כדי למחוק קבוצה של פרופילי אבטחה, משתמשים בפקודה gcloud beta network-security security-profile-groups delete:

gcloud beta network-security security-profile-groups delete NAME \
    --project PROJECT_ID \
    --location LOCATION

מחליפים את מה שכתוב בשדות הבאים:

  • NAME: השם של קבוצת פרופילי האבטחה שרוצים למחוק. אפשר לציין את השם כמחרוזת או כמזהה ייחודי של כתובת URL.

  • PROJECT_ID: הפרויקט שבו קיימת קבוצת פרופיל האבטחה. אם משתמשים במזהה ייחודי של כתובת URL למשתנה NAME, אפשר להשמיט את הדגל --project.

  • LOCATION: המיקום של קבוצת פרופילי האבטחה.

    המיקום תמיד מוגדר לערך global. אם משתמשים במזהה ייחודי של כתובת URL עבור המשתנה NAME, אפשר להשמיט את הדגל --location.

המאמרים הבאים