Sicherheitsprofilgruppen verwalten

Mit Sicherheitsprofilgruppen können Sie Netzwerksicherheitsrichtlinien auf Ihre Bereitstellungen anwenden und sie steuern. Jede Sicherheitsprofilgruppe kann bis zu ein Sicherheitsprofil der folgenden Typen enthalten:

  • THREAT_PREVENTION
  • URL_FILTERING

Durch das Gruppieren von Profilen für die Bedrohungsprävention und die URL-Filterung können Sie mehrere Sicherheitsprüfungen für den Netzwerk-Traffic über eine einzige Firewallrichtlinienregel erzwingen. So sorgen Sie für eine konsistente Richtliniendurchsetzung und eine vereinfachte Verwaltung. Dieses Dokument unterstützt Netzwerkadministratoren und Sicherheitsexperten bei der Konfiguration und Verwaltung von Sicherheitsprofilgruppen auf Organisations- und Projektebene.

Lesen Sie vor Beginn die Konzepte unter Übersicht über Sicherheitsprofilgruppen.

Hinweis

Rollen

Bitten Sie Ihren Administrator, Ihnen die erforderlichen IAM-Rollen (Identity and Access Management) in Ihrer Organisation oder Ihrem Projekt zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Aufrufen, Aktualisieren oder Löschen von Sicherheitsprofilgruppen benötigen. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff verwalten.

Um den Fortschritt der auf dieser Seite aufgeführten Vorgänge zu prüfen, muss Ihre Nutzerrolle die folgenden Berechtigungen der Nutzerrolle „Compute Network“ (roles/compute.networkUser) haben:

  • networksecurity.operations.get
  • networksecurity.operations.list

Details einer Sicherheitsprofilgruppe auflisten und ansehen

Verwenden Sie die Google Cloud console oder die gcloud CLI, um alle Sicherheitsprofilgruppen aufzulisten.

Sie können die folgenden wichtigen Details einer Sicherheitsprofilgruppe aufrufen:

  • Die Beschreibung
  • Der Typ
  • Der Name
  • Der Bereich (Organisationsebene oder Projektebene)

Console

  1. Rufen Sie in der Google Cloud console die Sicherheitsprofile Seite auf.

    Zu „Sicherheitsprofile“

  2. Wählen Sie in der Projektauswahl Ihre Organisation oder das Projekt aus.

  3. Wählen Sie den Tab Sicherheitsprofilgruppen aus. Der Tab enthält eine Liste der konfigurierten Sicherheitsprofilgruppen.

  4. Wählen Sie die Sicherheitsprofilgruppe aus, um sich die zugehörigen Details anzusehen.

gcloud

Verwenden Sie den gcloud network-security security-profile-groups list Befehl, um Sicherheitsprofilgruppen aufzulisten:

gcloud network-security security-profile-groups list \
    --organization ORGANIZATION_ID | --project PROJECT_ID \
    [--billing-project QUOTA_PROJECT_ID] \
    --location global

Wenn Sie die Details einer Sicherheitsprofilgruppe aufrufen möchten, verwenden Sie den gcloud network-security security-profile-groups describe Befehl:

gcloud network-security security-profile-groups describe NAME \
    --organization ORGANIZATION_ID | --project PROJECT_ID \
    [--billing-project QUOTA_PROJECT_ID] \
    --location global

Ersetzen Sie Folgendes:

  • NAME: der Name der Sicherheitsprofilgruppe.

    Wenn Sie nicht das eindeutige URL-ID Format für den Namen verwenden, müssen Sie den Namen der Organisation oder des Projekts und den Standort angeben.

  • ORGANIZATION_ID: die Organisations-ID, in der sich die Sicherheitsprofilgruppe befindet. Verwenden Sie dieses Flag für eine Sicherheitsprofilgruppe auf Organisationsebene.

  • PROJECT_ID: die Projekt-ID, in der sich die Sicherheitsprofilgruppe befindet. Verwenden Sie dieses Flag für eine Sicherheitsprofilgruppe auf Projektebene.

  • QUOTA_PROJECT_ID: die Projekt-ID für das Kontingent. Verwenden Sie dieses Flag nur für Sicherheitsprofilgruppen auf Organisationsebene.

Sicherheitsprofilgruppe aktualisieren

Verwenden Sie die Google Cloud console oder die gcloud CLI, um eine Sicherheitsprofilgruppe zu aktualisieren.

Sie können die folgenden wichtigen Details einer Sicherheitsprofilgruppe aktualisieren:

  • Das Abrechnungsprojekt (nur für Sicherheitsprofilgruppen auf Organisationsebene verfügbar)
  • Das Sicherheitsprofil ändern oder entfernen
  • Die Labels
  • Die Beschreibung

Sie können keine der folgenden Details ändern:

  • Der Name der Sicherheitsprofilgruppe
  • Die Zone der Sicherheitsprofilgruppe
  • Die Organisation oder das Projekt der Sicherheitsprofilgruppe

Wenn Sie diese Details ändern möchten, löschen Sie die Sicherheitsprofilgruppe und erstellen Sie eine neue.

Console

  1. Rufen Sie in der Google Cloud console die Sicherheitsprofile Seite auf.

    Zu „Sicherheitsprofile“

  2. Wählen Sie in der Projektauswahl Ihre Organisation oder das Projekt aus.

  3. Wählen Sie den Tab Sicherheitsprofilgruppen aus. Der Tab enthält eine Liste der konfigurierten Sicherheitsprofilgruppen.

  4. Wählen Sie die Sicherheitsprofilgruppe aus und klicken Sie auf Bearbeiten.

  5. Aktualisieren Sie die Pflichtfelder und klicken Sie dann auf Speichern.

gcloud

Verwenden Sie den gcloud network-security security-profile-groups update-Befehl, um eine Sicherheitsprofilgruppe zu aktualisieren:

gcloud network-security security-profile-groups update NAME \
    --organization ORGANIZATION_ID | --project PROJECT_ID \
    --clear-threat-prevention-profile | --threat-prevention-profile THREAT_SECURITY_PROFILE_URL \
    --clear-url-filtering-profile | --url-filtering-profile URL_SECURITY_PROFILE_URL \
    [--billing-project QUOTA_PROJECT_ID] \
    --description DESCRIPTION \
    --location global

Ersetzen Sie Folgendes:

  • NAME: der Name der Sicherheitsprofilgruppe.

    Wenn Sie nicht das eindeutige URL-ID Format für den Namen verwenden, müssen Sie den Namen der Organisation oder des Projekts und den Standort angeben.

  • ORGANIZATION_ID: die Organisations-ID. Verwenden Sie dieses Flag für eine Sicherheitsprofilgruppe auf Organisationsebene.

  • PROJECT_ID: die Projekt-ID. Verwenden Sie dieses Flag für eine Sicherheitsprofilgruppe auf Projektebene.

  • THREAT_SECURITY_PROFILE_URL: eine eindeutige URL-ID für ein Sicherheitsprofil vom Typ THREAT_PREVENTION.

    Verwenden Sie das Flag --clear-threat-prevention-profile, um ein Sicherheitsprofil für die Bedrohungsprävention zu entfernen. Verwenden Sie das Flag --threat-prevention-profile, um ein Sicherheitsprofil für die Bedrohungsprävention zu ändern.

  • URL_SECURITY_PROFILE_URL: eine eindeutige URL-ID für ein Sicherheitsprofil vom Typ URL_FILTERING.

    Verwenden Sie das Flag --clear-url-filtering-profile, um ein Sicherheitsprofil für die URL-Filterung zu entfernen. Verwenden Sie das Flag --url-filtering-profile, um das Sicherheitsprofil für die URL-Filterung zu ändern.

  • QUOTA_PROJECT_ID: die Projekt-ID für das Kontingent. Verwenden Sie dieses Flag nur für Sicherheitsprofilgruppen auf Organisationsebene.

  • DESCRIPTION: Eine optionale Beschreibung für die Sicherheitsprofilgruppe.

Sicherheitsprofilgruppe löschen

Sie können keine Sicherheitsprofilgruppe löschen, auf die in einer Firewallrichtlinienregel verwiesen wird.

Verwenden Sie die Google Cloud console oder die gcloud CLI, um eine Sicherheitsprofilgruppe zu löschen.

Console

  1. Rufen Sie in der Google Cloud console die Sicherheitsprofile Seite auf.

    Zu „Sicherheitsprofile“

  2. Wählen Sie im Menü „Projektauswahl“ Ihre Organisation oder das Projekt aus.

  3. Wählen Sie den Tab Sicherheitsprofilgruppen aus. Der Tab enthält eine Liste der konfigurierten Sicherheitsprofilgruppen.

  4. Wählen Sie die Sicherheitsprofilgruppe aus und klicken Sie auf Löschen.

  5. Klicken Sie zum Bestätigen noch einmal auf Löschen.

gcloud

Verwenden Sie zum Löschen einer Sicherheitsprofilgruppe den gcloud network-security security-profile-groups delete Befehl:

gcloud network-security security-profile-groups delete NAME \
    --organization ORGANIZATION_ID | --project PROJECT_ID \
    [--billing-project QUOTA_PROJECT_ID] \
    --location global

Ersetzen Sie Folgendes:

  • NAME: der Name der Sicherheitsprofilgruppe.

    Wenn Sie nicht das eindeutige URL-ID Format für den Namen verwenden, müssen Sie den Namen der Organisation oder des Projekts und den Standort angeben.

  • ORGANIZATION_ID: die Organisations-ID. Verwenden Sie dieses Flag für eine Sicherheitsprofilgruppe auf Organisationsebene.

  • PROJECT_ID: die Projekt-ID. Verwenden Sie dieses Flag für eine Sicherheitsprofilgruppe auf Projektebene.

  • QUOTA_PROJECT_ID: die Projekt-ID für das Kontingent. Verwenden Sie dieses Flag nur für Sicherheitsprofilgruppen auf Organisationsebene.

Nächste Schritte