Sicherheitsprofile – Übersicht

Sicherheitsprofile sind Richtliniencontainer, die von mehreren Netzwerksicherheitsprodukten verwendet werden. Das Sicherheitsprofil definiert den Umfang des Netzwerkverkehrs, der im Dienst „Network Security Integration“ überwacht und analysiert werden soll.

Gründe für die Verwendung von Sicherheitsprofilen

Mit einem Sicherheitsprofil geben Sie die Aktion für eine übereinstimmende Spiegelungsregel an. Ohne ein Sicherheitsprofil, das an die Spiegelungsregel angehängt ist, weiß der Integrationsdienst nicht, wohin der gespiegelte Traffic zur Überprüfung gesendet werden soll.

Funktionsweise von Sicherheitsprofilen

Das Sicherheitsprofil funktioniert, indem Ihre Netzwerkressourcen an eine Spiegelungs-Firewallregel angehängt werden. Wenn Sie ein Sicherheitsprofil an eine Spiegelungs-Firewallregel anhängen, erfüllt das Profil zwei wichtige Funktionen:

  • Traffic weiterleiten: Das Sicherheitsprofil identifiziert die Endpunktgruppe, die Ihrem VPC-Netzwerk (Virtual Private Cloud) zugeordnet ist. Die Endpunktgruppe verweist auf die Bereitstellungsgruppe eines Erstellers. In der Bereitstellungsgruppe dieses Producers werden Ihre Netzwerkressourcen wie virtuelle Maschinen (VMs) organisiert und der Traffic-Bereich definiert, den der Integrationsdienst überwachen kann.

  • Profil anhängen: Die gespiegelten Pakete enthalten die Sicherheitsprofilgruppe data_path_id, die für die Richtliniendurchsetzung auf dem Collector verwendet werden kann. Ein Collector ist ein nutzerverwaltetes Ziel im Produzentennetzwerk. Ein Collector empfängt gespiegelten Traffic aus dem Nutzernetzwerk zur Überprüfung.

Dieses Dokument bietet einen Überblick über Sicherheitsprofile und ihre spezifischen Konfigurationsmöglichkeiten.

Spezifikationen

  • Die Netzwerksicherheits-Integration unterstützt Sicherheitsprofile vom Typ CUSTOM_MIRRORING.

  • Der Name eines Sicherheitsprofils wird im folgenden URL-ID-Format konfiguriert:

    • Organisationsebene: organizations/ORGANIZATION_ID/locations/global/securityProfiles/NAME

    • Auf Projektebene: projects/PROJECT_ID/locations/global/securityProfiles/NAME

    Die NAME des Sicherheitsprofils muss die folgenden Anforderungen erfüllen:

    • Ein String mit 1 bis 63 Zeichen
    • Enthält nur kleingeschriebene alphanumerische Zeichen oder Bindestriche (-)
    • Beginnt mit einem Buchstaben

    Beispiele:

    • Sicherheitsprofil auf Organisationsebene: organizations/2345678432/locations/global/securityProfiles/example-security-profile.
    • Sicherheitsprofil auf Projektebene: projects/my-project-123/locations/global/securityProfiles/example-security-profile.

    Wenn Sie die eindeutige URL-ID für den Namen des Sicherheitsprofils verwenden, sind die Organisation oder das Projekt und der Standort bereits in der URL enthalten. Wenn Sie nur den Kurznamen angeben, müssen Sie die Organisations-ID oder die Projekt-ID und den Standort separat angeben, wenn Sie gcloud-Befehle verwenden.

  • Nachdem Sie ein Sicherheitsprofil erstellt haben, können Sie es an eine Sicherheitsprofilgruppe anhängen. Auf diese Sicherheitsprofilgruppe wird in der Netzwerk-Firewallrichtlinie des VPC-Netzwerk verwiesen, in dem Sie Ihren Netzwerkverkehr im Rahmen der Netzwerksicherheits-Integration verarbeiten möchten.

  • Traffic, der der Netzwerk-Firewallrichtlinienregel entspricht, wird an die Endpunktgruppe gesendet, auf die im Sicherheitsprofil verwiesen wird.

  • Jedem Sicherheitsprofil muss eine Projekt-ID zugeordnet sein. Das zugehörige Projekt wird für Kontingente und Zugriffsbeschränkungen für Sicherheitsprofilressourcen verwendet. Wenn Sie Ihr Dienstkonto mit dem Befehl gcloud auth activate-service-account authentifizieren, können Sie Ihr Dienstkonto dem Sicherheitsprofil zuordnen. Weitere Informationen finden Sie unter Benutzerdefinierte Sicherheitsprofile erstellen und verwalten.

Identitäts- und Zugriffsverwaltungsrollen

In der folgenden Tabelle werden die IAM-Rollen (Identity and Access Management) beschrieben, die zum Verwalten der Sicherheitsprofile erforderlich sind:

Funktion Erforderliche Rolle
Benutzerdefiniertes Sicherheitsprofil erstellen Rolle Administrator für Sicherheitsprofile (networksecurity.securityProfileAdmin) für die Organisation oder das Projekt, in dem Sie ein benutzerdefiniertes Sicherheitsprofil erstellen möchten.
Benutzerdefiniertes Sicherheitsprofil ändern Rolle Administrator für Sicherheitsprofile (networksecurity.securityProfileAdmin) für die Organisation oder das Projekt, in dem das benutzerdefinierte Sicherheitsprofil vorhanden ist.
Details zum benutzerdefinierten Sicherheitsprofil in einer Organisation oder einem Projekt ansehen Eine der folgenden Rollen für die Organisation oder das Projekt, in dem das benutzerdefinierte Sicherheitsprofil vorhanden ist:
Alle benutzerdefinierten Sicherheitsprofile in einer Organisation oder einem Projekt ansehen Eine der folgenden Rollen für die Organisation oder das Projekt, in dem das benutzerdefinierte Sicherheitsprofil vorhanden ist:
Benutzerdefiniertes Sicherheitsprofil in einer Sicherheitsprofilgruppe verwenden Eine der folgenden Rollen für die Organisation oder das Projekt, in dem das benutzerdefinierte Sicherheitsprofil vorhanden ist:

Wenn Sie nicht die Rolle „Administrator für Sicherheitsprofile“ (roles/networksecurity.securityProfileAdmin) haben, können Sie ein benutzerdefiniertes Sicherheitsprofil mit den folgenden Berechtigungen erstellen und verwalten:

  • networksecurity.securityProfiles.create
  • networksecurity.securityProfiles.delete
  • networksecurity.securityProfiles.get
  • networksecurity.securityProfiles.list
  • networksecurity.securityProfiles.update
  • networksecurity.securityProfiles.use

Weitere Informationen zu den IAM-Berechtigungen und vordefinierten Rollen finden Sie in der Referenz zu IAM-Berechtigungen.

Kontingente

Informationen zu Kontingenten für benutzerdefinierte Sicherheitsprofile finden Sie unter Kontingente und Limits.

Nächste Schritte