Sicherheitsprofilgruppen erstellen und verwalten

Auf dieser Seite wird erläutert, wie Sie Sicherheitsprofilgruppen mit einem benutzerdefinierten Sicherheitsprofil mit der Google Cloud CLI erstellen und verwalten.

Hinweise

Rollen

Bitten Sie Ihren Administrator, Ihnen die erforderlichen IAM-Rollen in Ihrer Organisation zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Erstellen, Aufrufen, Aktualisieren oder Löschen von Sicherheitsprofilgruppen benötigen. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Um den Fortschritt der auf dieser Seite aufgeführten Vorgänge zu prüfen, muss Ihre Nutzerrolle die folgenden Berechtigungen der Rolle „Compute-Netzwerknutzer“ (roles/compute.networkUser) haben:

  • networksecurity.operations.get
  • networksecurity.operations.list

Sicherheitsprofilgruppe mit benutzerdefiniertem Profil erstellen

Sie können nur eine Sicherheitsprofilgruppe mit einem Sicherheitsprofil vom Typ CUSTOM_MIRRORING erstellen.

Wenn Sie eine Sicherheitsprofilgruppe erstellen, können Sie den Namen der Sicherheitsprofilgruppe als String oder als eindeutige URL-ID angeben. Die eindeutige URL für eine organisationsbezogene Sicherheitsprofilgruppe kann im folgenden Format erstellt werden:

  organizations/ORGANIZATION_ID/locations/LOCATION/securityProfileGroups/SECURITY_PROFILE_GROUP_NAME

Ersetzen Sie Folgendes:

  • ORGANIZATION_ID: ID der Organisation.

  • LOCATION: Bereich der Sicherheitsprofilgruppe. Der Standort ist immer auf global festgelegt.

  • SECURITY_PROFILE_GROUP_NAME: der Name der Sicherheitsprofilgruppe.

Wenn Sie für den Namen der Sicherheitsprofilgruppe eine eindeutige URL-ID verwenden, sind die Organisation und der Standort der Sicherheitsprofilgruppe bereits in der URL-ID enthalten. Wenn Sie jedoch nur den Namen der Sicherheitsprofilgruppe verwenden, müssen Sie die Organisation und den Standort separat angeben. Weitere Informationen zu eindeutigen URL-Kennungen finden Sie unter Spezifikationen.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Sicherheitsprofilgruppen auf.

    Zu „Sicherheitsprofilgruppen“

  2. Wählen Sie in der Projektauswahl Ihre Organisation aus.

  3. Klicken Sie auf dem Tab Sicherheitsprofilgruppen auf Profilgruppe erstellen.

  4. Geben Sie unter Name den Namen der Sicherheitsprofilgruppe ein.

  5. Wählen Sie als Zweck der Sicherheitsprofilgruppe die Option NSI out-of-band aus.

  6. Wählen Sie für Benutzerdefiniertes Spiegelungsprofil das benutzerdefinierte Sicherheitsprofil für die In-Band-Integration aus.

  7. Klicken Sie auf Erstellen.

gcloud

Verwenden Sie zum Erstellen einer Sicherheitsprofilgruppe den gcloud network-security security-profile-groups create-Befehl:

 gcloud network-security security-profile-groups \
     create SECURITY_PROFILE_GROUP_NAME \
     --custom-mirroring-profile CUSTOM_MIRROING_PROFILE_NAME \
     --description DESCRIPTION \
     --organization ORGANIZATION_ID \
     --location=global \
     --billing-project PROJECT_ID

Ersetzen Sie Folgendes:

  • SECURITY_PROFILE_GROUP_NAME: der Name der Sicherheitsprofilgruppe. Sie können den Namen als String oder als eindeutige URL-ID angeben.

  • CUSTOM_MIRRORING_PROFILE_NAME: der Name des benutzerdefinierten Sicherheitsprofils für die Spiegelung.

  • DESCRIPTION: Eine optionale Beschreibung für die Sicherheitsprofilgruppe.

  • ORGANIZATION_ID: die Organisation, in der die Sicherheitsprofilgruppe erstellt wird.

  • PROJECT_ID: die Projekt-ID, die für Kontingente und Zugriffsbeschränkungen für die Sicherheitsprofilgruppe verwendet wird.

Terraform

Zum Erstellen einer Sicherheitsprofilgruppe können Sie eine google_network_security_security_profile_group-Ressource verwenden.

resource "google_network_security_security_profile_group" "default" {
  name                     = "security-profile-group"
  parent                   = "organizations/${data.google_organization.default.org_id}"
  location                 = "global"
  custom_mirroring_profile = google_network_security_security_profile.default.id
}

Informationen zum Anwenden oder Entfernen einer Terraform-Konfiguration finden Sie unter Grundlegende Terraform-Befehle.

Sicherheitsprofilgruppe ansehen

Sie können die Details einer bestimmten Sicherheitsprofilgruppe in einer Organisation aufrufen.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Sicherheitsprofilgruppen auf.

    Zu „Sicherheitsprofilgruppen“

  2. Wählen Sie in der Projektauswahl Ihre Organisation aus.

  3. Klicken Sie auf dem Tab Sicherheitsprofilgruppen auf den Namen der Sicherheitsprofilgruppe.

gcloud

Wenn Sie die Details einer Sicherheitsprofilgruppe aufrufen möchten, verwenden Sie den gcloud network-security security-profile-groups describe-Befehl:

 gcloud network-security security-profile-groups \
     describe SECURITY_PROFILE_GROUP_NAME \
     --organization ORGANIZATION_ID \
     --location=global \
     --billing-project PROJECT_ID

Ersetzen Sie Folgendes:

  • SECURITY_PROFILE_GROUP_NAME: der Name der Sicherheitsprofilgruppe. Sie können den Namen als String oder als eindeutige URL-ID angeben.

  • ORGANIZATION_ID: die Organisation, in der die Sicherheitsprofilgruppe erstellt wird.

  • PROJECT_ID: die Projekt-ID, die für Kontingente und Zugriffsbeschränkungen für die Sicherheitsprofilgruppe verwendet wird.

Sicherheitsprofilgruppen auflisten

Sie können alle benutzerdefinierten Sicherheitsprofilgruppen für die Spiegelung in einer Organisation auflisten.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Sicherheitsprofilgruppen auf.

    Zu „Sicherheitsprofilgruppen“

  2. Wählen Sie in der Projektauswahl Ihre Organisation aus.

  3. Auf dem Tab Sicherheitsprofilgruppen wird die Liste der Sicherheitsprofilgruppen angezeigt.

gcloud

Verwenden Sie den gcloud network-security security-profile-groups list-Befehl, um benutzerdefinierte Sicherheitsprofilgruppen für das Spiegeln aufzulisten:

gcloud network-security security-profile-groups list \
    --organization ORGANIZATION_ID \
    --location=global \
    --filter CUSTOM_MIRRORING_PROFILE
    --billing-project PROJECT_ID

Ersetzen Sie Folgendes:

  • ORGANIZATION_ID: die Organisation, in der die Sicherheitsprofilgruppe erstellt wird.

  • CUSTOM_MIRRORING_PROFILE: Name der Profilgruppen, für die eine custom_mirroring_profile definiert ist.

  • PROJECT_ID: die Projekt-ID zur Abrechnung der Sicherheitsprofilgruppe.

Sicherheitsprofilgruppe aktualisieren

Sie können die Beschreibung und die Labels des Sicherheitsprofils aktualisieren, auf das in einer Sicherheitsprofilgruppe verwiesen wird.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Sicherheitsprofilgruppen auf.

    Zu „Sicherheitsprofilgruppen“

  2. Wählen Sie in der Projektauswahl Ihre Organisation aus.

  3. Klicken Sie auf Ihre Sicherheitsprofilgruppe.

  4. Klicken Sie auf Bearbeiten.

  5. Klicken Sie nach dem Bearbeiten der Regel auf Speichern.

gcloud

Verwenden Sie den gcloud network-security security-profile-groups update-Befehl, um eine Sicherheitsprofilgruppe zu aktualisieren:

gcloud network-security security-profile-groups \
    update SECURITY_PROFILE_GROUP_NAME \
    --organization ORGANIZATION_ID \
    --location=global \
    --description DESCRIPTION

Ersetzen Sie Folgendes:

  • SECURITY_PROFILE_GROUP_NAME: der Name der Sicherheitsprofilgruppe, die Sie aktualisieren möchten. Sie können den Namen als String oder als eindeutige URL-ID angeben.

  • ORGANIZATION_ID: die Organisation, in der die Sicherheitsprofilgruppe erstellt wird.

  • DESCRIPTION: Eine optionale Beschreibung für die Sicherheitsprofilgruppe.

Sicherheitsprofilgruppe löschen

Sie können eine Sicherheitsprofilgruppe löschen, indem Sie ihren Namen, ihren Standort und ihre Organisation angeben. Wenn jedoch eine Netzwerk-Firewallrichtlinie auf ein benutzerdefiniertes Sicherheitsprofil verweist, kann diese Sicherheitsprofilgruppe nicht gelöscht werden.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Sicherheitsprofilgruppen auf.

    Zu „Sicherheitsprofilgruppen“

  2. Wählen Sie in der Projektauswahl Ihre Organisation aus.

  3. Klicken Sie auf dem Tab Sicherheitsprofilgruppen das Kästchen der Sicherheitsprofilgruppe an, die Sie löschen möchten, und klicken Sie dann auf Löschen.

  4. Klicken Sie zum Bestätigen noch einmal auf Löschen.

gcloud

Verwenden Sie zum Löschen einer Sicherheitsprofilgruppe den gcloud network-security security-profile-groups delete-Befehl:

gcloud network-security security-profile-groups \
    delete SECURITY_PROFILE_GROUP_NAME \
    --custom-profile CUSTOM_PROFILE_NAME \
    --organization ORGANIZATION_ID \
    --location-global \
    --billing-project PROJECT_ID

Ersetzen Sie Folgendes:

  • SECURITY_PROFILE_GROUP_NAME: der Name der Sicherheitsprofilgruppe, die Sie löschen möchten. Sie können den Namen als String oder als eindeutige URL-ID angeben.

  • CUSTOM_PROFILE_NAME: der Name des benutzerdefinierten Sicherheitsprofils.

  • ORGANIZATION_ID: die Organisation, in der die Sicherheitsprofilgruppe erstellt wird.

  • PROJECT_ID: die Projekt-ID, die für Kontingente und Zugriffsbeschränkungen für die Sicherheitsprofilgruppe verwendet wird.

Nächste Schritte