安全配置文件是多种网络安全产品使用的政策容器。安全配置文件用于定义 Network Security Integration 服务中要监控和分析的网络流量范围。
使用安全配置文件的原因
您可以使用安全配置文件来指定匹配的镜像规则的操作。 如果镜像规则未附加安全配置文件,集成服务就不知道将镜像流量发送到何处以进行检查。
安全配置文件的运作方式
安全配置文件通过将网络资源附加到镜像防火墙规则来发挥作用。将安全配置文件附加到镜像防火墙规则时,该配置文件会执行两项关键功能:
路由流量:安全配置文件会识别与您的虚拟私有云 (VPC) 网络关联的端点组。端点组指向提供方的部署组。 此生产者的部署组用于整理网络资源(例如虚拟机 [VM]),并定义集成服务可监控的流量范围。
附加配置文件:镜像数据包携带安全配置文件组
data_path_id,可用于在收集器上强制执行政策。收集器是提供方网络中由用户管理的目标。 收集器从使用方网络接收镜像流量以供检查。
本文档概述了安全配置文件及其特定的配置功能。
规格
Network Security Integration 支持
CUSTOM_MIRRORING类型的安全配置文件。安全配置文件的名称采用以下网址标识符格式进行配置:
组织级:
organizations/ORGANIZATION_ID/locations/global/securityProfiles/NAME项目级:
projects/PROJECT_ID/locations/global/securityProfiles/NAME
安全配置文件的
NAME必须满足以下要求:- 长度为 1-63 个字符的字符串
- 只能包含小写字母数字字符或连字符 (-)
- 以字母开头
示例:
- 组织级安全配置文件:
organizations/2345678432/locations/global/securityProfiles/example-security-profile。 - 项目级安全配置文件:
projects/my-project-123/locations/global/securityProfiles/example-security-profile。
如果您为安全配置文件名称使用唯一网址标识符,则该网址已包含组织或项目以及位置。如果您仅指定简称,则在使用
gcloud命令时,必须单独提供组织 ID 或项目 ID 和位置。创建安全配置文件后,您可以选择将其附加到安全配置文件组。此安全配置文件组由您要在 Network Security Integration 中处理网络流量的 VPC 网络的网络防火墙政策引用。
与网络防火墙政策规则匹配的流量会发送到安全配置文件引用的端点组。
每个安全配置文件都必须具有关联的项目 ID。关联项目用于安全配置文件资源的配额和访问权限限制。如果您使用
gcloud auth activate-service-account命令对您的服务账号进行身份验证,则可以将您的服务账号与安全配置文件相关联。如需了解详情,请参阅创建和管理自定义安全配置文件。
Identity and Access Management 角色
下表介绍了管理安全配置文件所需的 Identity and Access Management (IAM) 角色:
| 特性 | 必要角色 |
|---|---|
| 创建自定义安全配置文件 | 您要在其中创建自定义安全配置文件的组织或项目的 Security Profile Admin 角色 (networksecurity.securityProfileAdmin)。 |
| 修改自定义安全配置文件 | 拥有自定义安全配置文件的组织或项目的 Security Profile Admin 角色 (networksecurity.securityProfileAdmin)。 |
| 查看组织或项目中的自定义安全配置文件的详细信息 | 组织或自定义安全配置文件所在项目的以下任一角色:
|
| 查看组织或项目中的所有自定义安全配置文件 | 组织或自定义安全配置文件所在项目的以下任一角色:
|
| 在安全配置文件组中使用自定义安全配置文件 | 组织或自定义安全配置文件所在项目的以下任一角色:
|
如果您没有“Security Profile Admin”角色(roles/networksecurity.securityProfileAdmin),则可以创建和管理具有以下权限的自定义安全配置文件:
networksecurity.securityProfiles.createnetworksecurity.securityProfiles.deletenetworksecurity.securityProfiles.getnetworksecurity.securityProfiles.listnetworksecurity.securityProfiles.updatenetworksecurity.securityProfiles.use
如需详细了解 IAM 权限和预定义角色,请参阅 IAM 权限参考文档。
配额
如需查看与自定义安全配置文件关联的配额,请参阅配额和限制。