Sicherheitsprofilgruppen

Eine Sicherheitsprofilgruppe ist ein Container für benutzerdefinierte Abfang-Sicherheitsprofile. Eine Abfangregel verweist auf eine Sicherheitsprofilgruppe, um die Verarbeitung von Netzwerkverkehr in der Netzwerksicherheits-Integration zu ermöglichen.

Auf dieser Seite erhalten Sie eine detaillierte Übersicht über Sicherheitsprofilgruppen und ihre Funktionen.

Spezifikationen

Für Sicherheitsprofilgruppen gelten die folgenden Spezifikationen:

• Eine Sicherheitsprofilgruppe ist eine globale Ressource auf Organisations- oder Projektebene (Vorschau).

• Der Name einer Sicherheitsprofilgruppe wird im folgenden URL-ID-Format konfiguriert:

  • Organisationsebene: organizations/ORGANIZATION_ID/locations/global/securityProfileGroups/NAME

  • Auf Projektebene (Vorabversion): projects/PROJECT_ID/locations/global/securityProfileGroups/NAME

  Die NAME der Sicherheitsprofilgruppe muss die folgenden Anforderungen erfüllen:

  • Ein String mit 1 bis 63 Zeichen
  • Enthält nur kleingeschriebene alphanumerische Zeichen oder Bindestriche (-)
  • Beginnt mit einem Buchstaben

  Beispiele:

  • Sicherheitsprofilgruppe auf Organisationsebene: organizations/2345678432/locations/global/securityProfileGroups/example-security-profile-group.
  • Sicherheitsprofilgruppe auf Projektebene (Vorabversion): projects/my-project-123/locations/global/securityProfileGroups/example-security-profile-group.

  Wenn Sie die eindeutige URL-ID für den Namen der Sicherheitsprofilgruppe verwenden, sind die Organisation oder das Projekt und der Standort bereits in der URL enthalten. Wenn Sie nur den Kurznamen angeben, müssen Sie die Organisations-ID oder die Projekt-ID und den Standort separat angeben, wenn Sie gcloud-Befehle verwenden.

• Sie können einer Sicherheitsprofilgruppe nur ein Sicherheitsprofil hinzufügen.

• Eine Firewallregel muss den Namen der Sicherheitsprofilgruppe enthalten, die von den Abfangendpunkten verwendet werden soll.

• Sicherheitsprofilgruppen gelten nur für In-Band-Integrations-Firewallrichtlinien, wenn Sie eine Firewallregel mit der Aktion APPLY_SECURITY_PROFILE_GROUP hinzufügen. Sie können Sicherheitsprofilgruppen in hierarchischen Firewallrichtlinienregeln und globalen Netzwerk-Firewallrichtlinienregeln konfigurieren.

• Je nach Richtung des Flags der Firewallregel kann sich die Regel sowohl auf eingehenden als auch auf ausgehenden Traffic im VPC-Netzwerk (Virtual Private Cloud) auswirken. Der abgefangene Traffic wird dann an die in dem Sicherheitsprofil definierte Abfangendpunktgruppe gesendet, auf die in der konfigurierten Sicherheitsprofilgruppe verwiesen wird. Anschließend leitet die Abfangendpunktgruppe den abgefangenen Traffic an die vom Dienstersteller bereitgestellte Bereitstellungsgruppe weiter, die durch Netzwerkbereitstellungen angehängt wird.

• Jeder Sicherheitsprofilgruppe muss eine Projekt-ID zugeordnet sein. Das zugehörige Projekt wird für Kontingente verwendet. Wenn Sie Ihr Dienstkonto mit dem Befehl gcloud auth activate-service-account authentifizieren, können Sie Ihr Dienstkonto der Gruppe der Sicherheitsprofile zuordnen. Weitere Informationen zum Erstellen einer Sicherheitsprofilgruppe finden Sie unter Sicherheitsprofilgruppen erstellen und verwalten.

• Wenn Sie einer Sicherheitsprofilgruppe Sicherheitsprofile hinzufügen, gelten die folgenden Einschränkungen:

  • In einer Sicherheitsprofilgruppe auf Organisationsebene kann nur auf Sicherheitsprofile auf Organisationsebene verwiesen werden.
  • In einer Sicherheitsprofilgruppe auf Projektebene (Vorschau) können nur Sicherheitsprofile auf Projektebene (Vorschau) im selben Projekt referenziert werden.

Identitäts- und Zugriffsverwaltungsrollen

In der folgenden Tabelle werden die IAM-Rollen (Identity and Access Management) beschrieben, die zum Verwalten der Sicherheitsprofilgruppen erforderlich sind:

Funktion	Erforderliche Rolle
Sicherheitsprofilgruppe erstellen	Rolle Administrator für Sicherheitsprofile (networksecurity.securityProfileAdmin) für die Organisation oder das Projekt, in dem Sie eine Sicherheitsprofilgruppe erstellen möchten.
Sicherheitsprofilgruppe ändern	Rolle Administrator für Sicherheitsprofile (networksecurity.securityProfileAdmin) für die Organisation oder das Projekt, in dem die Sicherheitsprofilgruppe vorhanden ist.
Details zur Sicherheitsprofilgruppe in einer Organisation oder einem Projekt ansehen	Rolle Administrator für Sicherheitsprofile (networksecurity.securityProfileAdmin) für die Organisation oder das Projekt, in dem die Sicherheitsprofilgruppe vorhanden ist.
Alle Sicherheitsprofilgruppen in einer Organisation oder einem Projekt ansehen	Rolle Administrator für Sicherheitsprofile (networksecurity.securityProfileAdmin) für die Organisation oder das Projekt, in dem die Sicherheitsprofilgruppe vorhanden ist.
Sicherheitsprofilgruppe in einer In-Band-Integrationsrichtlinienregel in einer Organisation oder einem Projekt verwenden	Rolle Administrator für Sicherheitsprofile (networksecurity.securityProfileAdmin) für die Organisation oder das Projekt, in dem die Sicherheitsprofilgruppe vorhanden ist.

Wenn Sie die Rolle „Security Profile Admin“ (networksecurity.securityProfileAdmin) nicht haben, können Sie Sicherheitsprofilgruppen mit den folgenden Berechtigungen erstellen:

• networksecurity.securityProfileGroups.create
• networksecurity.securityProfileGroups.delete
• networksecurity.securityProfileGroups.get
• networksecurity.securityProfileGroups.list
• networksecurity.securityProfileGroups.update
• networksecurity.securityProfileGroups.use

Weitere Informationen zu IAM-Berechtigungen und vordefinierten Rollen finden Sie in der Referenz zu IAM-Berechtigungen.

Kontingente

Informationen zu Kontingenten für Sicherheitsprofilgruppen finden Sie unter Kontingente und Limits.

Nächste Schritte

• Sicherheitsprofilgruppen erstellen und verwalten
• Benutzerdefinierte Sicherheitsprofile für das Abfangen erstellen und verwalten