Sicherheitsprofilgruppen erstellen und verwalten

Auf dieser Seite wird erläutert, wie Sie Sicherheitsprofilgruppen mit einem benutzerdefinierten Sicherheitsprofil mithilfe der Google Cloud CLI erstellen und verwalten.

Hinweis

Rollen

Bitten Sie Ihren Administrator, Ihnen die erforderlichen Identity and Access Management-Rollen (IAM) in Ihrer Organisation oder Ihrem Projekt zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Erstellen, Aufrufen, Aktualisieren oder Löschen von Sicherheitsprofilgruppen benötigen. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Um den Fortschritt der auf dieser Seite aufgeführten Vorgänge zu prüfen, muss Ihre Nutzerrolle die folgenden Berechtigungen der Nutzerrolle „Compute Network“ (roles/compute.networkUser) haben:

  • networksecurity.operations.get
  • networksecurity.operations.list

Sicherheitsprofilgruppe mit benutzerdefiniertem Profil erstellen

Sie können Sicherheitsprofilgruppen auf Organisations- oder Projektebene erstellen. Sie können nur eine Sicherheitsprofilgruppe mit einem Sicherheitsprofil vom Typ CUSTOM_MIRRORING erstellen.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Sicherheitsprofilgruppen auf.

    Zu „Sicherheitsprofilgruppen“

  2. Wählen Sie im Menü zur Projektauswahl Ihre Organisation oder das Projekt aus.

  3. Klicken Sie auf dem Tab Sicherheitsprofilgruppen auf Profilgruppe erstellen.

  4. Geben Sie unter Name den Namen der Sicherheitsprofilgruppe ein.

  5. Wählen Sie unter Zweck der Sicherheitsprofilgruppe die Option NSI out-of-band aus.

  6. Wählen Sie unter Benutzerdefiniertes Spiegelungsprofil das benutzerdefinierte Sicherheitsprofil für die In-Band-Integration aus.

  7. Klicken Sie auf Erstellen.

gcloud

Verwenden Sie zum Erstellen einer Sicherheitsprofilgruppe den gcloud network-security security-profile-groups create-Befehl:

 gcloud network-security security-profile-groups \
     create SECURITY_PROFILE_GROUP_NAME \
     --custom-mirroring-profile CUSTOM_MIRRORING_PROFILE_NAME \
     --description DESCRIPTION \
     --organization ORGANIZATION_ID | --project PROJECT_ID \
     --location=global \
     [--billing-project QUOTA_PROJECT_ID]

Ersetzen Sie Folgendes:

  • SECURITY_PROFILE_GROUP_NAME: der Name der Sicherheitsprofilgruppe.

    Wenn Sie den Namen nicht im Format der eindeutigen URL-ID, müssen Sie die Organisation oder den Projektnamen und den Standort angeben.

  • CUSTOM_MIRRORING_PROFILE_NAME: der Name des benutzerdefinierten Spiegelungssicherheitsprofils.

  • DESCRIPTION: Eine optionale Beschreibung für die Sicherheitsprofilgruppe.

  • ORGANIZATION_ID: Ihre Organisations-ID. Verwenden Sie dieses Flag, um eine Sicherheitsprofilgruppe auf Organisationsebene zu erstellen.

  • PROJECT_ID: Ihre Projekt-ID. Verwenden Sie dieses Flag, um eine Sicherheitsprofilgruppe auf Projektebene zu erstellen.

  • QUOTA_PROJECT_ID: Ihre Kontingentprojekt-ID. Verwenden Sie dieses Flag nur für Sicherheitsprofilgruppen auf Organisationsebene.

Terraform

Verwenden Sie die Ressource google_network_security_security_profile_group, um eine Sicherheitsprofilgruppe zu erstellen.

Im folgenden Beispiel wird gezeigt, wie Sie eine Sicherheitsprofilgruppe auf Organisationsebene erstellen:

resource "google_network_security_security_profile_group" "default" {
  name                     = "security-profile-group"
  parent                   = "organizations/${data.google_organization.default.org_id}"
  location                 = "global"
  custom_mirroring_profile = google_network_security_security_profile.default.id
}

Im folgenden Beispiel wird gezeigt, wie Sie eine Sicherheitsprofilgruppe auf Projektebene erstellen:

resource "google_network_security_security_profile_group" "default" {
  name                     = "security-profile-group"
  parent                   = "projects/${data.google_project.default.project_id}"
  location                 = "global"
  custom_mirroring_profile = google_network_security_security_profile.default.id
}

Informationen zum Anwenden oder Entfernen einer Terraform-Konfiguration finden Sie unter Grundlegende Terraform-Befehle.

Details einer Sicherheitsprofilgruppe auflisten und ansehen

Sie können Sicherheitsprofilgruppen in einer Organisation oder einem Projekt auflisten und die Details einer Gruppe aufrufen, z. B. den Namen und das benutzerdefinierte Abfangprofil.

Console

  1. Rufen Sie in der Google Cloud Console die Sicherheitsprofilgruppen Seite auf.

    Zu „Sicherheitsprofilgruppen“

  2. Wählen Sie im Menü zur Projektauswahl Ihre Organisation oder das Projekt aus. Auf dem Tab werden alle Sicherheitsprofilgruppen aufgeführt.

  3. Klicken Sie auf dem Tab Sicherheitsprofilgruppen auf den Namen der Sicherheitsprofilgruppe, um die Details aufzurufen.

gcloud

Verwenden Sie den gcloud network-security security-profile-groups list Befehl, um benutzerdefinierte Spiegelungssicherheitsprofilgruppen aufzulisten:

gcloud network-security security-profile-groups list \
    --organization ORGANIZATION_ID | --project PROJECT_ID \
    --location=global \
    --filter CUSTOM_MIRRORING_PROFILE \
    [--billing-project QUOTA_PROJECT_ID]

Wenn Sie die Details einer Sicherheitsprofilgruppe aufrufen möchten, verwenden Sie den gcloud network-security security-profile-groups describe Befehl:

 gcloud network-security security-profile-groups \
     describe SECURITY_PROFILE_GROUP_NAME \
     --organization ORGANIZATION_ID | --project PROJECT_ID \
     --location=global \
     [--billing-project QUOTA_PROJECT_ID]

Ersetzen Sie Folgendes:

  • SECURITY_PROFILE_GROUP_NAME: der Name der Sicherheitsprofilgruppe.

    Wenn Sie den Namen nicht im Format der eindeutigen URL-ID, müssen Sie die Organisation oder den Projektnamen und den Standort angeben.

  • ORGANIZATION_ID: Ihre Organisations-ID, in der sich die Sicherheitsprofilgruppe befindet.

  • PROJECT_ID: Ihre Projekt-ID, in der sich die Sicherheitsprofilgruppe befindet.

  • QUOTA_PROJECT_ID: Ihre Kontingentprojekt-ID. Verwenden Sie dieses Flag nur für Sicherheitsprofilgruppen auf Organisationsebene.

Sicherheitsprofilgruppe aktualisieren

Sie können die Beschreibung und Labels des Sicherheitsprofils aktualisieren, auf das in einer Sicherheitsprofilgruppe verwiesen wird.

Console

  1. Rufen Sie in der Google Cloud Console die Sicherheitsprofilgruppen Seite auf.

    Zu „Sicherheitsprofilgruppen“

  2. Wählen Sie im Menü zur Projektauswahl Ihre Organisation oder das Projekt aus.

  3. Klicken Sie auf Ihre Sicherheitsprofilgruppe.

  4. Klicken Sie auf Bearbeiten.

  5. Klicken Sie nach dem Bearbeiten der Regel auf Speichern.

gcloud

Verwenden Sie den gcloud network-security security-profile-groups update-Befehl, um eine Sicherheitsprofilgruppe zu aktualisieren:

gcloud network-security security-profile-groups \
    update SECURITY_PROFILE_GROUP_NAME \
    --organization ORGANIZATION_ID | --project PROJECT_ID \
    --location=global \
    --description DESCRIPTION

Ersetzen Sie Folgendes:

  • SECURITY_PROFILE_GROUP_NAME: der Name der Sicherheitsprofilgruppe, die Sie aktualisieren möchten.

    Wenn Sie den Namen nicht im Format der eindeutigen URL-ID, müssen Sie die Organisation oder den Projektnamen und den Standort angeben.

  • ORGANIZATION_ID: Ihre Organisations-ID, in der sich die Sicherheitsprofilgruppe befindet.

  • PROJECT_ID: Ihre Projekt-ID, in der sich die Sicherheitsprofilgruppe befindet.

  • DESCRIPTION: Eine optionale Beschreibung für die Sicherheitsprofilgruppe.

Sicherheitsprofilgruppe löschen

Sie können eine Sicherheitsprofilgruppe löschen, indem Sie ihren Namen, ihren Standort und ihre Organisation angeben. Wenn jedoch eine Netzwerk-Firewallrichtlinie auf ein benutzerdefiniertes Sicherheitsprofil verweist, kann diese Sicherheitsprofilgruppe nicht gelöscht werden.

Console

  1. Rufen Sie in der Google Cloud Console die Sicherheitsprofilgruppen Seite auf.

    Zu „Sicherheitsprofilgruppen“

  2. Wählen Sie im Menü zur Projektauswahl Ihre Organisation oder das Projekt aus.

  3. Wählen Sie auf dem Tab Sicherheitsprofilgruppen das Kästchen der Sicherheitsprofilgruppe aus, die Sie löschen möchten, und klicken Sie dann auf Löschen.

  4. Klicken Sie zum Bestätigen noch einmal auf Löschen.

gcloud

Verwenden Sie zum Löschen einer Sicherheitsprofilgruppe den gcloud network-security security-profile-groups delete-Befehl:

gcloud network-security security-profile-groups \
    delete SECURITY_PROFILE_GROUP_NAME \
    --organization ORGANIZATION_ID | --project PROJECT_ID \
    --location=global \
    [--billing-project QUOTA_PROJECT_ID]

Ersetzen Sie Folgendes:

  • SECURITY_PROFILE_GROUP_NAME: der Name der Sicherheitsprofilgruppe, die Sie löschen möchten.

    Wenn Sie den Namen nicht im Format der eindeutigen URL-ID, müssen Sie die Organisation oder den Projektnamen und den Standort angeben.

  • ORGANIZATION_ID: Ihre Organisations-ID, in der sich die Sicherheitsprofilgruppe befindet.

  • PROJECT_ID: Ihre Projekt-ID, in der sich die Sicherheitsprofilgruppe befindet.

  • QUOTA_PROJECT_ID: Ihre Kontingentprojekt-ID. Verwenden Sie dieses Flag nur für Sicherheitsprofilgruppen auf Organisationsebene.

Nächste Schritte