Eine Sicherheitsprofilgruppe ist ein Container für benutzerdefinierte Intercept-Sicherheitsprofile. Eine Abfangregel verweist auf eine Sicherheitsprofilgruppe, um die Verarbeitung von Netzwerk-Traffic in der Netzwerksicherheitsintegration zu ermöglichen.
Auf dieser Seite erhalten Sie eine detaillierte Übersicht über Sicherheitsprofilgruppen und ihre Funktionen.
Spezifikationen
Für Sicherheitsprofilgruppen gelten die folgenden Spezifikationen:
Eine Sicherheitsprofilgruppe ist eine globale Ressource auf Organisationsebene.
Der Name einer Sicherheitsprofilgruppe wird im folgenden Format konfiguriert:
organizations/ORGANIZATION_ID/locations/global/securityProfileGroups/SECURITY_PROFILE_GROUP_IDDer Name für die Sicherheitsprofilgruppen-ID
example-security-profile-groupin der Organisationexample-orgist beispielsweiseorganizations/example-org/locations/global/securityProfileGroups/example-security-profile-group.Sie können einer Sicherheitsprofilgruppe nur ein Sicherheitsprofil hinzufügen.
Eine Firewallregel muss den Namen der Sicherheitsprofilgruppe enthalten, die von den Abfangendpunkten verwendet werden soll.
Sicherheitsprofilgruppen gelten nur für In-Band-Integrations-Firewallrichtlinien, wenn Sie eine Firewallregel mit der Aktion
APPLY_SECURITY_PROFILE_GROUPhinzufügen. Sie können Sicherheitsprofilgruppen in hierarchischen Firewallrichtlinienregeln und globalen Netzwerk-Firewallrichtlinienregeln konfigurieren.Je nach Richtung des Flags der Firewallregel kann sich die Regel sowohl auf eingehenden als auch auf ausgehenden Traffic im VPC-Netzwerk (Virtual Private Cloud) auswirken. Der abgefangene Traffic wird dann an die Abfangendpunktgruppe gesendet, die im Sicherheitsprofil definiert ist, auf das in der konfigurierten Sicherheitsprofilgruppe verwiesen wird. Anschließend leitet die Abfangendpunktgruppe den abgefangenen Traffic an die vom Dienstersteller bereitgestellte Bereitstellungsgruppe weiter, die durch Netzwerkbereitstellungen angehängt wird.
Jeder Sicherheitsprofilgruppe muss eine Projekt-ID zugeordnet sein. Das zugehörige Projekt wird für Kontingente verwendet. Wenn Sie Ihr Dienstkonto mit dem Befehl
gcloud auth activate-service-accountauthentifizieren, können Sie Ihr Dienstkonto der Gruppe der Sicherheitsprofile zuordnen. Weitere Informationen zum Erstellen einer Sicherheitsprofilgruppe finden Sie unter Sicherheitsprofilgruppen erstellen und verwalten.
Identitäts- und Zugriffsverwaltungsrollen
In der folgenden Tabelle werden die IAM-Rollen (Identity and Access Management) beschrieben, die zum Verwalten der Sicherheitsprofilgruppen erforderlich sind:
| Funktion | Erforderliche Rolle |
|---|---|
| Sicherheitsprofilgruppe erstellen | Rolle „Security Profile Admin“ (networksecurity.securityProfileAdmin) für die Organisation, in der die Sicherheitsprofilgruppe erstellt wird. |
| Sicherheitsprofilgruppe ändern | Rolle „Security Profile Admin“ (networksecurity.securityProfileAdmin) für die Organisation, in der die Sicherheitsprofilgruppe erstellt wird. |
| Details zur Sicherheitsprofilgruppe in einer Organisation ansehen | Rolle „Security Profile Admin“ (networksecurity.securityProfileAdmin) für die Organisation, in der die Sicherheitsprofilgruppe erstellt wird. |
| Alle Sicherheitsprofilgruppen in einer Organisation ansehen | Rolle „Security Profile Admin“ (networksecurity.securityProfileAdmin) für die Organisation, in der die Sicherheitsprofilgruppe erstellt wird. |
| Sicherheitsprofilgruppe in einer In-Band-Integrationsrichtlinienregel verwenden | Rolle „Security Profile Admin“ (networksecurity.securityProfileAdmin) für die Organisation, in der die Sicherheitsprofilgruppe erstellt wird. |
Wenn Sie die Rolle „Security Profile Admin“ (networksecurity.securityProfileAdmin) nicht haben, können Sie Sicherheitsprofilgruppen mit den folgenden Berechtigungen erstellen:
networksecurity.securityProfileGroups.createnetworksecurity.securityProfileGroups.deletenetworksecurity.securityProfileGroups.getnetworksecurity.securityProfileGroups.listnetworksecurity.securityProfileGroups.updatenetworksecurity.securityProfileGroups.use
Weitere Informationen zu IAM-Berechtigungen und vordefinierten Rollen finden Sie in der Referenz zu IAM-Berechtigungen.
Kontingente
Informationen zu Kontingenten für Sicherheitsprofilgruppen finden Sie unter Kontingente und Limits.
Nächste Schritte
- Sicherheitsprofilgruppen erstellen und verwalten
- Benutzerdefinierte Sicherheitsprofile für Unterbrechungen erstellen und verwalten