יצירה וניהול של קבוצות פרופילים של אבטחה

בדף הזה מוסבר איך ליצור ולנהל קבוצות של פרופילי אבטחה עם פרופיל אבטחה בהתאמה אישית באמצעות Google Cloud CLI.

לפני שמתחילים

תפקידים

כדי לקבל את ההרשאות שדרושות ליצירה, לצפייה, לעדכון או למחיקה של קבוצות פרופילים של אבטחה, צריך לבקש מהאדמין להקצות לכם את תפקידי ה-IAM הנדרשים בארגון או בפרויקט. כדי לקרוא הסבר על מתן תפקידים, ראו איך מנהלים את הגישה ברמת הפרויקט, התיקייה והארגון.

כדי לבדוק את התקדמות הפעולות שמפורטות בדף הזה, צריך לוודא שלתפקיד המשתמש שלכם יש את ההרשאות הבאות של Compute Network User ‏(roles/compute.networkUser):

  • networksecurity.operations.get
  • networksecurity.operations.list

יצירת קבוצת פרופילים לאבטחה עם פרופיל בהתאמה אישית

אפשר ליצור קבוצות של פרופילי אבטחה ברמת הארגון או הפרויקט (גרסת טרום-השקה (Preview)). אפשר ליצור קבוצת פרופילי אבטחה רק עם פרופיל אבטחה מסוג CUSTOM_MIRRORING.

המסוף

  1. נכנסים לדף Security profile groups במסוף Google Cloud .

    מעבר אל קבוצות של פרופילי אבטחה

  2. בכלי לבחירת פרויקטים, בוחרים את הארגון או את הפרויקט (תצוגה מקדימה).

  3. בכרטיסייה קבוצות של פרופילי אבטחה, לוחצים על יצירת קבוצת פרופילים.

  4. בשדה Name, מזינים את השם של קבוצת פרופיל האבטחה.

  5. בקטע Security profile group purpose (מטרת קבוצת פרופילי האבטחה), בוחרים באפשרות NSI out-of-band (שילוב אבטחת רשת מחוץ לתדרים).

  6. בקטע Custom mirroring profile (פרופיל שיקוף מותאם אישית), בוחרים את פרופיל האבטחה המותאם אישית לשילוב בתוך הפס.

  7. לוחצים על יצירה.

gcloud

כדי ליצור קבוצת פרופילי אבטחה, משתמשים בפקודה gcloud network-security security-profile-groups create:

 gcloud network-security security-profile-groups \
     create SECURITY_PROFILE_GROUP_NAME \
     --custom-mirroring-profile CUSTOM_MIRRORING_PROFILE_NAME \
     --description DESCRIPTION \
     --organization ORGANIZATION_ID | --project PROJECT_ID \
     --location=global \
     [--billing-project QUOTA_PROJECT_ID]

מחליפים את מה שכתוב בשדות הבאים:

  • SECURITY_PROFILE_GROUP_NAME: השם של קבוצת פרופילי האבטחה.

    אם לא מציינים את השם בפורמט של מזהה כתובת ה-URL הייחודי, צריך לציין את שם הארגון או הפרויקט ואת המיקום.

  • CUSTOM_MIRRORING_PROFILE_NAME: השם של פרופיל האבטחה המותאם אישית של שיקוף הנתונים.

  • DESCRIPTION: תיאור אופציונלי של קבוצת פרופילי האבטחה.

  • ORGANIZATION_ID: מזהה הארגון. משתמשים בדגל הזה כדי ליצור קבוצת פרופילים לאבטחה ברמת הארגון.

  • PROJECT_ID: מזהה הפרויקט. משתמשים בדגל הזה כדי ליצור קבוצת פרופילים של אבטחה ברמת הפרויקט (גרסת טרום-השקה (Preview)).

    הדגל --project זמין ב (תצוגה מקדימה). כדי להשתמש בדגל הזה, מריצים את הפקודה gcloud beta network-security security-profile-groups create.

  • QUOTA_PROJECT_ID: מזהה הפרויקט של המכסה. משתמשים בדגל הזה רק לקבוצות של פרופילי אבטחה ברמת הארגון.

Terraform

כדי ליצור קבוצת פרופילי אבטחה, אפשר להשתמש במשאב google_network_security_security_profile_group.

resource "google_network_security_security_profile_group" "default" {
  name                     = "security-profile-group"
  parent                   = "organizations/${data.google_organization.default.org_id}"
  location                 = "global"
  custom_mirroring_profile = google_network_security_security_profile.default.id
}

כדי ללמוד איך להחיל הגדרות ב-Terraform או להסיר אותן, ראו פקודות בסיסיות ב-Terraform.

הצגת רשימה של קבוצות פרופילים של אבטחה ופרטים עליהן

אפשר לראות רשימה של קבוצות פרופילי אבטחה בארגון או בפרויקט (גרסת Preview), ולצפות בפרטים של קבוצה, כמו השם שלה ופרופיל היירוט המותאם אישית.

המסוף

  1. נכנסים לדף Security profile groups במסוף Google Cloud .

    מעבר אל קבוצות של פרופילי אבטחה

  2. בכלי לבחירת פרויקטים, בוחרים את הארגון או את הפרויקט (תצוגה מקדימה). בכרטיסייה מוצגת רשימה של כל קבוצות פרופילי האבטחה.

  3. בכרטיסייה Security profile groups (קבוצות פרופילי אבטחה), לוחצים על השם של קבוצת פרופילי האבטחה כדי לראות את הפרטים שלה.

gcloud

כדי להציג את רשימת הקבוצות של פרופיל האבטחה בהתאמה אישית של שיקוף, משתמשים בפקודה gcloud network-security security-profile-groups list:

gcloud network-security security-profile-groups list \
    --organization ORGANIZATION_ID | --project PROJECT_ID \
    --location=global \
    --filter CUSTOM_MIRRORING_PROFILE \
    [--billing-project QUOTA_PROJECT_ID]

כדי לראות את הפרטים של קבוצת פרופילי אבטחה, משתמשים בפקודה gcloud network-security security-profile-groups describe:

 gcloud network-security security-profile-groups \
     describe SECURITY_PROFILE_GROUP_NAME \
     --organization ORGANIZATION_ID | --project PROJECT_ID \
     --location=global \
     [--billing-project QUOTA_PROJECT_ID]

מחליפים את מה שכתוב בשדות הבאים:

  • SECURITY_PROFILE_GROUP_NAME: השם של קבוצת פרופילי האבטחה.

    אם לא מציינים את השם בפורמט של מזהה כתובת ה-URL הייחודי, צריך לציין את שם הארגון או הפרויקט ואת המיקום.

  • CUSTOM_MIRRORING_PROFILE: פרופיל האבטחה המותאם אישית של הרפליקציה שרוצים לסנן לפיו.

  • ORGANIZATION_ID: מזהה הארגון שבו קיימת קבוצת פרופילי האבטחה.

  • PROJECT_ID: מזהה הפרויקט שבו קיימת קבוצת פרופילי האבטחה.

    הדגל --project זמין ב (תצוגה מקדימה). כדי להשתמש בדגל הזה, מריצים את הפקודה gcloud beta network-security security-profile-groups describe.

  • QUOTA_PROJECT_ID: מזהה הפרויקט של המכסה. משתמשים בדגל הזה רק לקבוצות של פרופילי אבטחה ברמת הארגון.

עדכון קבוצה של פרופילי אבטחה

אפשר לעדכן את התיאור והתוויות של פרופיל האבטחה שאליו מתייחסת קבוצת פרופילי אבטחה.

המסוף

  1. נכנסים לדף Security profile groups במסוף Google Cloud .

    מעבר אל קבוצות של פרופילי אבטחה

  2. בכלי לבחירת פרויקטים, בוחרים את הארגון או את הפרויקט (תצוגה מקדימה).

  3. לוחצים על קבוצת פרופילי האבטחה.

  4. לוחצים על Edit.

  5. אחרי שמסיימים לערוך את הכלל, לוחצים על שמירה.

gcloud

כדי לעדכן קבוצת פרופילים של אבטחה, משתמשים בפקודה gcloud network-security security-profile-groups update:

gcloud network-security security-profile-groups \
    update SECURITY_PROFILE_GROUP_NAME \
    --organization ORGANIZATION_ID | --project PROJECT_ID \
    --location=global \
    --description DESCRIPTION

מחליפים את מה שכתוב בשדות הבאים:

מחיקה של קבוצת פרופילים של אבטחה

כדי למחוק קבוצה של פרופילי אבטחה, צריך לציין את השם, המיקום והארגון שלה. עם זאת, אם מדיניות חומת אש ברשת מפנה לפרופיל אבטחה מותאם אישית, אי אפשר למחוק את קבוצת פרופיל האבטחה הזו.

המסוף

  1. נכנסים לדף Security profile groups במסוף Google Cloud .

    מעבר אל קבוצות של פרופילי אבטחה

  2. בכלי לבחירת פרויקטים, בוחרים את הארגון או את הפרויקט (תצוגה מקדימה).

  3. בכרטיסייה קבוצות פרופילי אבטחה, מסמנים את תיבת הסימון של קבוצת פרופילי האבטחה שרוצים למחוק ולוחצים על מחיקה.

  4. כדי לאשר, לוחצים שוב על מחיקה.

gcloud

כדי למחוק קבוצה של פרופילי אבטחה, משתמשים בפקודה gcloud network-security security-profile-groups delete:

gcloud network-security security-profile-groups \
    delete SECURITY_PROFILE_GROUP_NAME \
    --organization ORGANIZATION_ID | --project PROJECT_ID \
    --location=global \
    [--billing-project QUOTA_PROJECT_ID]

מחליפים את מה שכתוב בשדות הבאים:

  • SECURITY_PROFILE_GROUP_NAME: השם של קבוצת פרופילי האבטחה שרוצים למחוק.

    אם לא מציינים את השם בפורמט של מזהה כתובת URL ייחודי, צריך לציין את שם הארגון או הפרויקט ואת המיקום.

  • ORGANIZATION_ID: מזהה הארגון שבו קיימת קבוצת פרופילי האבטחה.

  • PROJECT_ID: מזהה הפרויקט שבו קיימת קבוצת פרופילי האבטחה.

    הדגל --project זמין ב (תצוגה מקדימה). כדי להשתמש בדגל הזה, מריצים את הפקודה gcloud beta network-security security-profile-groups delete.

  • QUOTA_PROJECT_ID: מזהה הפרויקט של המכסה. משתמשים בדגל הזה רק לקבוצות של פרופילי אבטחה ברמת הארגון.

המאמרים הבאים