Sicherheitsprofilgruppen

Eine Sicherheitsprofilgruppe ist ein Container für benutzerdefinierte Sicherheitsprofile. Eine Spiegelungsregel verweist auf eine Sicherheitsprofilgruppe, um die Verarbeitung von Netzwerk-Traffic in Network Security Integration zu ermöglichen.

Dieses Dokument bietet eine detaillierte Übersicht über Sicherheitsprofilgruppen und deren Funktionen.

Spezifikationen

• Eine Sicherheitsprofilgruppe ist eine Ressource auf Organisationsebene.

• Sie können einer Sicherheitsprofilgruppe nur ein Sicherheitsprofil vom Typ CUSTOM_MIRRORING hinzufügen.

• Jede Sicherheitsprofilgruppe wird eindeutig durch eine URL mit den folgenden Elementen identifiziert:

  • Organisations-ID: ID der Organisation.
  • Standort: Geltungsbereich der Sicherheitsprofilgruppe. Der Standort ist immer auf global festgelegt.
  • Name: Name der Sicherheitsprofilgruppe im folgenden Format:
    • Ein String mit 1 bis 63 Zeichen
    • Enthält nur kleingeschriebene alphanumerische Zeichen oder Bindestriche (-)
    • Muss mit einem Buchstaben beginnen

  Verwenden Sie das folgende Format, um eine eindeutige URL-ID für eine Sicherheitsprofilgruppe zu erstellen:

  organization/ORGANIZATION_ID/locations/LOCATION/securityProfileGroups/SECURITY_PROFILE_GROUP_NAME
  

  Ersetzen Sie Folgendes:

  • ORGANIZATION_ID: ID der Organisation.

  • LOCATION: Bereich der Sicherheitsprofilgruppe. Der Standort ist immer auf global festgelegt.

  • SECURITY_PROFILE_GROUP_NAME: der Name der Sicherheitsprofilgruppe.

  Eine global-Sicherheitsprofilgruppe example-security-profile-group in der Organisation 2345678432 hat beispielsweise die folgende eindeutige Kennung:

  organization/2345678432/locations/global/securityProfileGroups/example-security-profile-group
  

• Eine Spiegelungsregel muss den Namen der Sicherheitsprofilgruppe enthalten, die von den Spiegelungsendpunkten verwendet werden soll.

• Sicherheitsprofilgruppen gelten nur für Paketspiegelungsrichtlinien, wenn Sie eine Spiegelungsregel mit der Aktion MIRROR hinzufügen. Sie können Sicherheitsprofilgruppen in hierarchischen Firewallrichtlinienregeln und globalen Netzwerk-Firewallrichtlinienregeln konfigurieren.

• Je nach Richtung des Flags der Spiegelungsregel wirkt sich die Regel sowohl auf eingehenden als auch auf ausgehenden Traffic im VPC-Netzwerk (Virtual Private Cloud) aus. Der gespiegelte Traffic wird dann an die Spiegelungsendpunktgruppe gesendet, die im Sicherheitsprofil definiert ist, auf das in der konfigurierten Sicherheitsprofilgruppe verwiesen wird. Anschließend leitet die Spiegelungsendpunktgruppe den gespiegelten Traffic an die Ersteller-Bereitstellungsgruppe weiter, die von Drittanbieterbereitstellungen angehängt wird.

• Jeder Sicherheitsprofilgruppe muss eine Projekt-ID zugeordnet sein. Das zugehörige Projekt wird für Kontingente und Zugriffsbeschränkungen für Sicherheitsprofilgruppenressourcen verwendet. Wenn Sie Ihr Dienstkonto mit dem Befehl gcloud auth activate-service-account authentifizieren, können Sie Ihr Dienstkonto der Gruppe der Sicherheitsprofile zuordnen. Weitere Informationen zum Erstellen einer Sicherheitsprofilgruppe finden Sie unter Sicherheitsprofilgruppen erstellen und verwalten.

Identitäts- und Zugriffsverwaltungsrollen

IAM-Rollen (Identity and Access Management) steuern die folgenden Aktionen für Sicherheitsprofilgruppen:

• Sicherheitsprofilgruppe in einer Organisation erstellen
• Sicherheitsprofilgruppe ändern oder löschen
• Details einer Sicherheitsprofilgruppe ansehen
• Liste der Sicherheitsprofilgruppen in einer Organisation aufrufen
• Sicherheitsprofilgruppe in einer Paketspiegelungsrichtlinienregel verwenden

In der folgenden Tabelle werden die Rollen beschrieben, die für jeden Schritt erforderlich sind.

Funktion	Erforderliche Rolle
Sicherheitsprofilgruppe erstellen	Rolle „Security Profile Admin“ (networksecurity.securityProfileAdmin) für die Organisation, in der die Sicherheitsprofilgruppe erstellt wird.
Sicherheitsprofilgruppe ändern	Rolle „Security Profile Admin“ (networksecurity.securityProfileAdmin) für die Organisation, in der die Sicherheitsprofilgruppe erstellt wird.
Details zur Sicherheitsprofilgruppe in einer Organisation ansehen	Eine der folgenden Rollen für die Organisation: Rolle „Administrator für Sicherheitsprofile“ (networksecurity.securityProfileAdmin) Rolle „Compute-Netzwerknutzer“ (compute.networkUser) Rolle „Compute-Netzwerkbetrachter“ (compute.networkViewer)
Alle Sicherheitsprofilgruppen in einer Organisation ansehen	Eine der folgenden Rollen für die Organisation: Rolle „Administrator für Sicherheitsprofile“ (networksecurity.securityProfileAdmin) Rolle „Compute-Netzwerknutzer“ (compute.networkUser) Rolle „Compute-Netzwerkbetrachter“ (compute.networkViewer)
Sicherheitsprofilgruppe in einer Paketspiegelungsrichtlinienregel verwenden	Eine der folgenden Rollen für die Organisation: Rolle „Administrator für Sicherheitsprofile“ (networksecurity.securityProfileAdmin) Rolle „Compute-Netzwerknutzer“ (compute.networkUser)

Wenn Sie nicht die Rolle „Security Profile Admin“ (roles/networksecurity.securityProfileAdmin) haben, können Sie Sicherheitsprofilgruppen mit den folgenden Berechtigungen erstellen und verwalten:

• networksecurity.securityProfileGroups.create
• networksecurity.securityProfileGroups.delete
• networksecurity.securityProfileGroups.get
• networksecurity.securityProfileGroups.list
• networksecurity.securityProfileGroups.update
• networksecurity.securityProfileGroups.use

Weitere Informationen zu IAM-Berechtigungen und vordefinierten Rollen finden Sie in der Referenz zu IAM-Berechtigungen.

Kontingente

Informationen zu Kontingenten für Sicherheitsprofilgruppen finden Sie unter Kontingente und Limits.

Nächste Schritte

• Sicherheitsprofilgruppen erstellen und verwalten
• Benutzerdefinierte Sicherheitsprofile erstellen und verwalten