カスタム ミラーリング セキュリティ プロファイルは、パケット ミラーリングに対してのみ作成できます。カスタム ミラーリング セキュリティ プロファイルは、指定されたネットワーク トラフィックの検査を指定されたネットワーク ファイアウォール ポリシールールで義務付ける構成です。ネットワーク ファイアウォール ポリシー ルールのミラーリング ルールに一致するトラフィックは、そのネットワーク ファイアウォール ポリシー ルールのセキュリティ プロファイルで参照されるエンドポイント グループにミラーリングされます。
このページでは、Google Cloud CLI を使用してカスタム セキュリティ プロファイルを作成して管理する方法について説明します。
始める前に
- プロジェクトで Network Security API を有効にする必要があります。
- このガイドの
gcloudコマンドラインのサンプルを実行する場合は、gcloud CLI をインストールします。
ロール
カスタム セキュリティ プロファイルを作成、表示、更新、削除するために必要な権限を取得するには、組織に必要な IAM ロールの付与を管理者に依頼してください。ロールの付与については、プロジェクト、フォルダ、組織に対するアクセス権の管理をご覧ください。
このページに記載されているオペレーションの進行状況を確認するには、ユーザー ロールに次の Compute ネットワーク ユーザー ロール(roles/compute.networkUser)の権限が付与されていることを確認してください。
networksecurity.operations.getnetworksecurity.operations.list
カスタム セキュリティ プロファイルを作成する
作成できるセキュリティ プロファイルのタイプは CUSTOM_MIRRORING のみです。
カスタム セキュリティ プロファイルを作成するときに、カスタム セキュリティ プロファイルの名前、ロケーション、トラフィックの転送先となるエンドポイント グループを指定できます。
このセクションでは、パケット ミラーリング用のカスタム セキュリティ プロファイルを作成します。
コンソール
Google Cloud コンソールで、[セキュリティ プロファイル] ページに移動します。
組織選択ツールから自分の組織を選択します。
[セキュリティ プロファイル] タブで、[プロファイルを作成] をクリックします。
[名前] に名前を入力します。
[セキュリティ プロファイルの目的] で、[NSI アウトオブバンド] を選択します。
[プロジェクト] で、ミラーリング エンドポイント グループをホストするプロジェクトを選択します。
[ミラーリング エンドポイント グループ] で、ミラーリング エンドポイント グループを選択します。
[作成] をクリックします。
gcloud
パケット ミラーリングのカスタム セキュリティ プロファイルを作成するには、gcloud network-security security-profiles custom-mirroring create コマンドを使用します。
gcloud network-security security-profiles custom-mirroring \
create CUSTOM_MIRRORING_PROFILE_NAME \
--organization ORGANIZATION_ID \
--location=global \
--mirroring-endpoint-group ENDPOINT_GROUP \
--description DESCRIPTION \
--billing-project PROJECT_ID
次のように置き換えます。
CUSTOM_MIRRORING_PROFILE_NAME: カスタム セキュリティ プロファイルの名前。ORGANIZATION_ID: カスタム セキュリティ プロファイルが作成される組織。ENDPOINT_GROUP: ミラーリング エンドポイント グループの URL(例:projects/12345678/locations/global/mirroringEndpointGroups/mirroringEPG)。DESCRIPTION: カスタム ミラーリング プロファイルの説明(省略可)。PROJECT_ID: カスタム セキュリティ プロファイルの割り当てとアクセス制限に使用するプロジェクト ID。
Terraform
セキュリティ プロファイルを作成するには、google_network_security_security_profile リソースを使用します。
Terraform 構成を適用または削除する方法については、基本的な Terraform コマンドをご覧ください。
カスタム セキュリティ プロファイルを一覧表示する
組織内のすべてのカスタム セキュリティ プロファイルを一覧表示できます。
コンソール
Google Cloud コンソールで、[セキュリティ プロファイル] ページに移動します。
組織選択ツールから自分の組織を選択します。
[セキュリティ プロファイル] タブで、プロジェクトのすべてのセキュリティ プロファイルを表示します。
gcloud
すべてのカスタム ミラーリング セキュリティ プロファイルを一覧表示するには、gcloud network-security security-profiles custom-mirroring list コマンドを使用します。
gcloud network-security security-profiles custom-mirroring list \
--organization ORGANIZATION_ID \
--location=global \
--billing-project PROJECT_ID
次のように置き換えます。
ORGANIZATION_ID: カスタム セキュリティ プロファイルが作成される組織。PROJECT_ID: カスタム セキュリティ プロファイルの割り当てとアクセス制限に使用するプロジェクト ID。
カスタム セキュリティ プロファイルを削除する
カスタム ミラーリング セキュリティ プロファイルは、名前、ロケーション、組織を指定して削除できます。ただし、カスタム セキュリティ プロファイルがセキュリティ プロファイル グループによって参照されている場合、そのカスタム セキュリティ プロファイルは削除できません。
コンソール
Google Cloud コンソールで、[セキュリティ プロファイル] ページに移動します。
組織選択ツールから自分の組織を選択します。
[セキュリティ プロファイル] タブで、セキュリティ プロファイルのチェックボックスをオンにして、[削除] をクリックします。
もう一度 [削除] をクリックして確定します。
gcloud
脅威防止カスタム セキュリティ プロファイルを削除するには、gcloud network-security security-profiles custom-mirroring delete コマンドを使用します。
gcloud network-security security-profiles custom-mirroring \
delete CUSTOM_PROFILE_NAME \
--organization ORGANIZATION_ID \
--billing-project PROJECT_ID
--location=global
次のように置き換えます。
CUSTOM_PROFILE_NAME: 削除するカスタム セキュリティ プロファイルの名前。ORGANIZATION_ID: カスタム セキュリティ プロファイルが作成される組織。PROJECT_ID: カスタム セキュリティ プロファイルの割り当てとアクセス制限に使用するプロジェクト ID。