Mit Sicherheitsprofilgruppen können Sie Netzwerksicherheitsrichtlinien auf Ihre Bereitstellungen anwenden und sie steuern. Jede Sicherheitsprofilgruppe kann bis zu ein Sicherheitsprofil der folgenden Typen enthalten:
THREAT_PREVENTIONURL_FILTERING
Durch das Gruppieren von Profilen für die Bedrohungsprävention und die URL-Filterung können Sie mehrere Sicherheitsprüfungen für den Netzwerk-Traffic über eine einzige Firewallrichtlinienregel erzwingen. So sorgen Sie für eine konsistente Richtliniendurchsetzung und eine vereinfachte Verwaltung. Dieses Dokument unterstützt Netzwerkadministratoren und Sicherheitsexperten bei der Konfiguration und Verwaltung von Sicherheitsprofilgruppen auf Organisations- und Projektebene.
Lesen Sie vor Beginn die Konzepte unter Übersicht über Sicherheitsprofilgruppen.
Hinweis
- Sie müssen die Network Connectivity API in Ihrem Projekt aktivieren.
Installieren Sie die gcloud CLI, wenn Sie die
gcloudBefehlszeilenbeispiele in dieser Anleitung ausführen möchten.Sie benötigen ein Sicherheitsprofil für die Bedrohungsprävention oder ein Sicherheitsprofil für die URL-Filterung.
Rollen
Bitten Sie Ihren Administrator, Ihnen die erforderlichen IAM-Rollen (Identity and Access Management) in Ihrer Organisation oder Ihrem Projekt zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Aufrufen, Aktualisieren oder Löschen von Sicherheitsprofilgruppen benötigen. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff verwalten.
Um den Fortschritt der auf dieser Seite aufgeführten Vorgänge zu prüfen,
muss Ihre Nutzerrolle die folgenden
Berechtigungen der Nutzerrolle „Compute Network“
(roles/compute.networkUser) haben:
networksecurity.operations.getnetworksecurity.operations.list
Details einer Sicherheitsprofilgruppe auflisten und ansehen
Verwenden Sie die Google Cloud console oder die gcloud CLI, um alle Sicherheitsprofilgruppen aufzulisten.
Sie können die folgenden wichtigen Details einer Sicherheitsprofilgruppe aufrufen:
- Die Beschreibung
- Der Typ
- Der Name
- Der Bereich (Organisationsebene oder Projektebene)
Console
Rufen Sie in der Google Cloud console die Sicherheitsprofile Seite auf.
Wählen Sie in der Projektauswahl Ihre Organisation oder das Projekt aus.
Wählen Sie den Tab Sicherheitsprofilgruppen aus. Der Tab enthält eine Liste der konfigurierten Sicherheitsprofilgruppen.
Wählen Sie die Sicherheitsprofilgruppe aus, um sich die zugehörigen Details anzusehen.
gcloud
Verwenden Sie den gcloud network-security
security-profile-groups list
Befehl, um Sicherheitsprofilgruppen aufzulisten:
gcloud network-security security-profile-groups list \
--organization ORGANIZATION_ID | --project PROJECT_ID \
[--billing-project QUOTA_PROJECT_ID] \
--location global
Wenn Sie die Details einer Sicherheitsprofilgruppe aufrufen möchten, verwenden Sie den
gcloud network-security security-profile-groups describe Befehl:
gcloud network-security security-profile-groups describe NAME \
--organization ORGANIZATION_ID | --project PROJECT_ID \
[--billing-project QUOTA_PROJECT_ID] \
--location global
Ersetzen Sie Folgendes:
NAME: der Name der Sicherheitsprofilgruppe.Wenn Sie nicht das eindeutige URL-ID Format für den Namen verwenden, müssen Sie den Namen der Organisation oder des Projekts und den Standort angeben.
ORGANIZATION_ID: die Organisations-ID, in der sich die Sicherheitsprofilgruppe befindet. Verwenden Sie dieses Flag für eine Sicherheitsprofilgruppe auf Organisationsebene.PROJECT_ID: die Projekt-ID, in der sich die Sicherheitsprofilgruppe befindet. Verwenden Sie dieses Flag für eine Sicherheitsprofilgruppe auf Projektebene.QUOTA_PROJECT_ID: die Projekt-ID für das Kontingent. Verwenden Sie dieses Flag nur für Sicherheitsprofilgruppen auf Organisationsebene.
Sicherheitsprofilgruppe aktualisieren
Verwenden Sie die Google Cloud console oder die gcloud CLI, um eine Sicherheitsprofilgruppe zu aktualisieren.
Sie können die folgenden wichtigen Details einer Sicherheitsprofilgruppe aktualisieren:
- Das Abrechnungsprojekt (nur für Sicherheitsprofilgruppen auf Organisationsebene verfügbar)
- Das Sicherheitsprofil ändern oder entfernen
- Die Labels
- Die Beschreibung
Sie können keine der folgenden Details ändern:
- Der Name der Sicherheitsprofilgruppe
- Die Zone der Sicherheitsprofilgruppe
- Die Organisation oder das Projekt der Sicherheitsprofilgruppe
Wenn Sie diese Details ändern möchten, löschen Sie die Sicherheitsprofilgruppe und erstellen Sie eine neue.
Console
Rufen Sie in der Google Cloud console die Sicherheitsprofile Seite auf.
Wählen Sie in der Projektauswahl Ihre Organisation oder das Projekt aus.
Wählen Sie den Tab Sicherheitsprofilgruppen aus. Der Tab enthält eine Liste der konfigurierten Sicherheitsprofilgruppen.
Wählen Sie die Sicherheitsprofilgruppe aus und klicken Sie auf Bearbeiten.
Aktualisieren Sie die Pflichtfelder und klicken Sie dann auf Speichern.
gcloud
Verwenden Sie den gcloud network-security security-profile-groups update-Befehl, um eine Sicherheitsprofilgruppe zu aktualisieren:
gcloud network-security security-profile-groups update NAME \
--organization ORGANIZATION_ID | --project PROJECT_ID \
--clear-threat-prevention-profile | --threat-prevention-profile THREAT_SECURITY_PROFILE_URL \
--clear-url-filtering-profile | --url-filtering-profile URL_SECURITY_PROFILE_URL \
[--billing-project QUOTA_PROJECT_ID] \
--description DESCRIPTION \
--location global
Ersetzen Sie Folgendes:
NAME: der Name der Sicherheitsprofilgruppe.Wenn Sie nicht das eindeutige URL-ID Format für den Namen verwenden, müssen Sie den Namen der Organisation oder des Projekts und den Standort angeben.
ORGANIZATION_ID: die Organisations-ID. Verwenden Sie dieses Flag für eine Sicherheitsprofilgruppe auf Organisationsebene.PROJECT_ID: die Projekt-ID. Verwenden Sie dieses Flag für eine Sicherheitsprofilgruppe auf Projektebene.THREAT_SECURITY_PROFILE_URL: eine eindeutige URL-ID für ein Sicherheitsprofil vom TypTHREAT_PREVENTION.Verwenden Sie das Flag
--clear-threat-prevention-profile, um ein Sicherheitsprofil für die Bedrohungsprävention zu entfernen. Verwenden Sie das Flag--threat-prevention-profile, um ein Sicherheitsprofil für die Bedrohungsprävention zu ändern.URL_SECURITY_PROFILE_URL: eine eindeutige URL-ID für ein Sicherheitsprofil vom TypURL_FILTERING.Verwenden Sie das Flag
--clear-url-filtering-profile, um ein Sicherheitsprofil für die URL-Filterung zu entfernen. Verwenden Sie das Flag--url-filtering-profile, um das Sicherheitsprofil für die URL-Filterung zu ändern.QUOTA_PROJECT_ID: die Projekt-ID für das Kontingent. Verwenden Sie dieses Flag nur für Sicherheitsprofilgruppen auf Organisationsebene.DESCRIPTION: Eine optionale Beschreibung für die Sicherheitsprofilgruppe.
Sicherheitsprofilgruppe löschen
Sie können keine Sicherheitsprofilgruppe löschen, auf die in einer Firewallrichtlinienregel verwiesen wird.
Verwenden Sie die Google Cloud console oder die gcloud CLI, um eine Sicherheitsprofilgruppe zu löschen.
Console
Rufen Sie in der Google Cloud console die Sicherheitsprofile Seite auf.
Wählen Sie im Menü „Projektauswahl“ Ihre Organisation oder das Projekt aus.
Wählen Sie den Tab Sicherheitsprofilgruppen aus. Der Tab enthält eine Liste der konfigurierten Sicherheitsprofilgruppen.
Wählen Sie die Sicherheitsprofilgruppe aus und klicken Sie auf Löschen.
Klicken Sie zum Bestätigen noch einmal auf Löschen.
gcloud
Verwenden Sie zum Löschen einer Sicherheitsprofilgruppe den gcloud network-security
security-profile-groups delete
Befehl:
gcloud network-security security-profile-groups delete NAME \
--organization ORGANIZATION_ID | --project PROJECT_ID \
[--billing-project QUOTA_PROJECT_ID] \
--location global
Ersetzen Sie Folgendes:
NAME: der Name der Sicherheitsprofilgruppe.Wenn Sie nicht das eindeutige URL-ID Format für den Namen verwenden, müssen Sie den Namen der Organisation oder des Projekts und den Standort angeben.
ORGANIZATION_ID: die Organisations-ID. Verwenden Sie dieses Flag für eine Sicherheitsprofilgruppe auf Organisationsebene.PROJECT_ID: die Projekt-ID. Verwenden Sie dieses Flag für eine Sicherheitsprofilgruppe auf Projektebene.QUOTA_PROJECT_ID: die Projekt-ID für das Kontingent. Verwenden Sie dieses Flag nur für Sicherheitsprofilgruppen auf Organisationsebene.