Sicherheitsprofilgruppen

Eine Sicherheitsprofilgruppe ist ein Container für benutzerdefinierte Sicherheitsprofile. Eine Spiegelungsregel verweist auf eine Sicherheitsprofilgruppe, um die Verarbeitung des Netzwerkverkehrs in Network Security Integration zu ermöglichen.

Dieses Dokument bietet eine detaillierte Übersicht über Sicherheitsprofilgruppen und deren Funktionen.

Spezifikationen

• Eine Sicherheitsprofilgruppe ist eine globale Ressource auf Organisationsebene oder eine Ressource auf Projektebene (Vorschau).

• Der Name einer Sicherheitsprofilgruppe wird im folgenden URL-ID-Format konfiguriert:

  • Organisationsebene: organizations/ORGANIZATION_ID/locations/global/securityProfileGroups/NAME

  • Auf Projektebene (Vorschau): projects/PROJECT_ID/locations/global/securityProfileGroups/NAME

  Der NAME der Sicherheitsprofilgruppe muss die folgenden Anforderungen erfüllen:

  • Ein String mit 1 bis 63 Zeichen
  • Enthält nur kleingeschriebene alphanumerische Zeichen oder Bindestriche (-)
  • Beginnt mit einem Buchstaben

  Beispiele:

  • Sicherheitsprofilgruppe auf Organisationsebene: organizations/2345678432/locations/global/securityProfileGroups/example-security-profile-group.
  • Sicherheitsprofilgruppe auf Projektebene (Vorschau): projects/my-project-123/locations/global/securityProfileGroups/example-security-profile-group.

  Wenn Sie die eindeutige URL-ID für den Namen der Sicherheitsprofilgruppe verwenden, sind die Organisation oder das Projekt und der Standort bereits in der URL enthalten. Wenn Sie nur den Kurznamen angeben, müssen Sie die Organisations-ID oder die Projekt-ID und den Standort separat angeben, wenn Sie gcloud-Befehle verwenden.

• Sie können einer Sicherheitsprofilgruppe nur ein Sicherheitsprofil vom Typ CUSTOM_MIRRORING hinzufügen.

• Eine Spiegelungsregel muss den Namen der Sicherheitsprofilgruppe enthalten, die von den Spiegelungsendpunkten verwendet werden soll.

• Sicherheitsprofilgruppen gelten nur für Paketspiegelungsrichtlinien, wenn Sie eine Spiegelungsregel mit der Aktion MIRROR hinzufügen. Sie können Sicherheitsprofilgruppen in hierarchischen Firewallrichtlinienregeln und globalen Netzwerk-Firewallrichtlinienregeln konfigurieren.

• Je nach Richtung des Flags der Spiegelungsregel wirkt sich die Regel sowohl auf den eingehenden als auch auf den ausgehenden Traffic im VPC-Netzwerk (Virtual Private Cloud) aus. Der gespiegelte Traffic wird dann an die Spiegelungsendpunktgruppe gesendet, die im Sicherheitsprofil definiert ist, auf das in der konfigurierten Sicherheitsprofilgruppe verwiesen wird. Anschließend leitet die Spiegelungsendpunktgruppe den gespiegelten Traffic an die Bereitstellungsgruppe des Anbieters weiter, die von Drittanbieterbereitstellungen angehängt wird.

• Jeder Sicherheitsprofilgruppe muss eine Projekt-ID zugeordnet sein. Das zugehörige Projekt wird für Kontingente und Zugriffsbeschränkungen für Sicherheitsprofilgruppenressourcen verwendet. Wenn Sie Ihr Dienstkonto mit dem gcloud auth activate-service-account Befehl authentifizieren, können Sie Ihr Dienstkonto der Sicherheitsprofilgruppe zuordnen. Weitere Informationen zum Erstellen einer Sicherheitsprofilgruppe finden Sie unter Sicherheitsprofilgruppen erstellen und verwalten.

• Wenn Sie einer Sicherheitsprofilgruppe Sicherheitsprofile hinzufügen, gelten die folgenden Einschränkungen:

  • Eine Sicherheitsprofilgruppe auf Organisationsebene kann nur auf Sicherheitsprofile auf Organisationsebene verweisen.
  • Eine Sicherheitsprofilgruppe auf Projektebene (Vorschau) kann nur auf Sicherheitsprofile auf Projektebene (Vorschau) im selben Projekt verweisen.

Identitäts- und Zugriffsverwaltungsrollen

In der folgenden Tabelle werden die Rollen beschrieben, die für jeden Schritt erforderlich sind.

Funktion	Erforderliche Rolle
Sicherheitsprofilgruppe erstellen	Rolle „Sicherheitsprofiladministrator“ (networksecurity.securityProfileAdmin) für die Organisation oder das Projekt, in dem Sie eine Sicherheitsprofilgruppe erstellen möchten.
Sicherheitsprofilgruppe ändern	Rolle „Sicherheitsprofiladministrator“ (networksecurity.securityProfileAdmin) für die Organisation oder das Projekt, in dem die Sicherheitsprofilgruppe vorhanden ist.
Details zur Sicherheitsprofilgruppe in einer Organisation oder einem Projekt ansehen	Eine der folgenden Rollen für die Organisation oder das Projekt, in dem die Sicherheitsprofilgruppe vorhanden ist: Rolle „Sicherheitsprofiladministrator“ (networksecurity.securityProfileAdmin) Rolle „Compute-Netzwerknutzer“ (compute.networkUser) Rolle „Compute-Netzwerkbetrachter“ (compute.networkViewer)
Alle Sicherheitsprofilgruppen in einer Organisation oder einem Projekt ansehen	Eine der folgenden Rollen für die Organisation oder das Projekt, in dem die Sicherheitsprofilgruppe vorhanden ist: Rolle „Sicherheitsprofiladministrator“ (networksecurity.securityProfileAdmin) Rolle „Compute-Netzwerknutzer“ (compute.networkUser) Rolle „Compute-Netzwerkbetrachter“ (compute.networkViewer)
Sicherheitsprofilgruppe in einer Paketspiegelungsrichtlinienregel in einer Organisation oder einem Projekt verwenden	Eine der folgenden Rollen für die Organisation oder das Projekt, in dem die Sicherheitsprofilgruppe vorhanden ist: Rolle „Sicherheitsprofiladministrator“ (networksecurity.securityProfileAdmin) Rolle „Compute-Netzwerknutzer“ (compute.networkUser)

Wenn Sie nicht die Rolle „Sicherheitsprofiladministrator“ (roles/networksecurity.securityProfileAdmin) haben, können Sie Sicherheitsprofilgruppen mit den folgenden Berechtigungen erstellen und verwalten:

• networksecurity.securityProfileGroups.create
• networksecurity.securityProfileGroups.delete
• networksecurity.securityProfileGroups.get
• networksecurity.securityProfileGroups.list
• networksecurity.securityProfileGroups.update
• networksecurity.securityProfileGroups.use

Weitere Informationen zu IAM-Berechtigungen und vordefinierten Rollen finden Sie in der Referenz zu IAM-Berechtigungen.

Kontingente

Informationen zu Kontingenten für Sicherheitsprofilgruppen finden Sie unter Kontingente und Limits.

Nächste Schritte

• Sicherheitsprofilgruppen erstellen und verwalten
• Benutzerdefinierte Sicherheitsprofile erstellen und verwalten