Eine Sicherheitsprofilgruppe ist ein Container für benutzerdefinierte Sicherheitsprofile. Eine Spiegelungsregel verweist auf eine Sicherheitsprofilgruppe, um die Verarbeitung von Netzwerkverkehr in der Netzwerksicherheits-Integration zu ermöglichen.
Dieses Dokument bietet eine detaillierte Übersicht über Sicherheitsprofilgruppen und deren Funktionen.
Spezifikationen
Eine Sicherheitsprofilgruppe ist eine globale Ressource auf Organisationsebene oder auf Projektebene.
Der Name einer Sicherheitsprofilgruppe wird im folgenden URL-ID-Format konfiguriert:
Organisationsebene:
organizations/ORGANIZATION_ID/locations/global/securityProfileGroups/NAMEAuf Projektebene:
projects/PROJECT_ID/locations/global/securityProfileGroups/NAME
Die
NAMEder Sicherheitsprofilgruppe muss die folgenden Anforderungen erfüllen:- Ein String mit 1 bis 63 Zeichen
- Enthält nur kleingeschriebene alphanumerische Zeichen oder Bindestriche (-)
- Beginnt mit einem Buchstaben
Beispiele:
- Sicherheitsprofilgruppe auf Organisationsebene:
organizations/2345678432/locations/global/securityProfileGroups/example-security-profile-group. - Sicherheitsprofilgruppe auf Projektebene:
projects/my-project-123/locations/global/securityProfileGroups/example-security-profile-group.
Wenn Sie die eindeutige URL-ID für den Namen der Sicherheitsprofilgruppe verwenden, sind die Organisation oder das Projekt und der Standort bereits in der URL enthalten. Wenn Sie nur den Kurznamen angeben, müssen Sie die Organisations-ID oder die Projekt-ID und den Standort separat angeben, wenn Sie
gcloud-Befehle verwenden.Sie können einer Sicherheitsprofilgruppe nur ein Sicherheitsprofil vom Typ
CUSTOM_MIRRORINGhinzufügen.Eine Spiegelungsregel muss den Namen der Sicherheitsprofilgruppe enthalten, die von den Spiegelungsendpunkten verwendet werden soll.
Sicherheitsprofilgruppen gelten nur für Richtlinien für die Paketspiegelung, wenn Sie eine Spiegelungsregel mit der Aktion
MIRRORhinzufügen. Sie können Sicherheitsprofilgruppen in hierarchischen Firewallrichtlinienregeln und globalen Netzwerk-Firewallrichtlinienregeln konfigurieren.Je nach Richtung des Flags der Spiegelungsregel wirkt sich die Regel sowohl auf eingehenden als auch auf ausgehenden Traffic im VPC-Netzwerk (Virtual Private Cloud) aus. Der gespiegelte Traffic wird dann an die Spiegelungsendpunktgruppe gesendet, die im Sicherheitsprofil definiert ist, auf das in der konfigurierten Sicherheitsprofilgruppe verwiesen wird. Anschließend leitet die Spiegelungs-Endpunktgruppe den gespiegelten Traffic an die Bereitstellungsgruppe des Erstellers weiter, die von Drittanbieterbereitstellungen angehängt wird.
Jeder Sicherheitsprofilgruppe muss eine Projekt-ID zugeordnet sein. Das zugehörige Projekt wird für Kontingente und Zugriffsbeschränkungen für Sicherheitsprofilgruppenressourcen verwendet. Wenn Sie Ihr Dienstkonto mit dem Befehl
gcloud auth activate-service-accountauthentifizieren, können Sie Ihr Dienstkonto der Gruppe der Sicherheitsprofile zuordnen. Weitere Informationen zum Erstellen einer Sicherheitsprofilgruppe finden Sie unter Sicherheitsprofilgruppen erstellen und verwalten.Wenn Sie einer Sicherheitsprofilgruppe Sicherheitsprofile hinzufügen, gelten die folgenden Einschränkungen:
- In einer Sicherheitsprofilgruppe auf Organisationsebene kann nur auf Sicherheitsprofile auf Organisationsebene verwiesen werden.
- In einer Sicherheitsprofilgruppe auf Projektebene kann nur auf Sicherheitsprofile auf Projektebene im selben Projekt verwiesen werden.
Identitäts- und Zugriffsverwaltungsrollen
In der folgenden Tabelle werden die Rollen beschrieben, die für jeden Schritt erforderlich sind.
| Funktion | Erforderliche Rolle |
|---|---|
| Sicherheitsprofilgruppe erstellen | Rolle Administrator für Sicherheitsprofile (networksecurity.securityProfileAdmin) für die Organisation oder das Projekt, in dem Sie eine Sicherheitsprofilgruppe erstellen möchten. |
| Sicherheitsprofilgruppe ändern | Rolle Administrator für Sicherheitsprofile (networksecurity.securityProfileAdmin) für die Organisation oder das Projekt, in dem die Sicherheitsprofilgruppe vorhanden ist. |
| Details zur Sicherheitsprofilgruppe in einer Organisation oder einem Projekt ansehen | Eine der folgenden Rollen für die Organisation oder das Projekt, in dem die Sicherheitsprofilgruppe vorhanden ist:
|
| Alle Sicherheitsprofilgruppen in einer Organisation oder einem Projekt ansehen | Eine der folgenden Rollen für die Organisation oder das Projekt, in dem die Sicherheitsprofilgruppe vorhanden ist:
|
| Sicherheitsprofilgruppe in einer Paketspiegelungsrichtlinienregel in einer Organisation oder einem Projekt verwenden | Eine der folgenden Rollen für die Organisation oder das Projekt, in dem die Sicherheitsprofilgruppe vorhanden ist:
|
Wenn Sie nicht die Rolle „Security Profile Admin“ (roles/networksecurity.securityProfileAdmin) haben, können Sie Sicherheitsprofilgruppen mit den folgenden Berechtigungen erstellen und verwalten:
networksecurity.securityProfileGroups.createnetworksecurity.securityProfileGroups.deletenetworksecurity.securityProfileGroups.getnetworksecurity.securityProfileGroups.listnetworksecurity.securityProfileGroups.updatenetworksecurity.securityProfileGroups.use
Weitere Informationen zu IAM-Berechtigungen und vordefinierten Rollen finden Sie in der Referenz zu IAM-Berechtigungen.
Kontingente
Informationen zu Kontingenten für Sicherheitsprofilgruppen finden Sie unter Kontingente und Limits.
Nächste Schritte
- Sicherheitsprofilgruppen erstellen und verwalten
- Benutzerdefinierte Sicherheitsprofile erstellen und verwalten