Sicherheitsprofile sind Richtliniencontainer, die von mehreren Netzwerksicherheitsprodukten verwendet werden. Das Sicherheitsprofil definiert den Umfang des Netzwerk-Traffics, der im Dienst „Network Security Integration“ überwacht und analysiert werden soll.
Gründe für die Verwendung von Sicherheitsprofilen
Mit einem Sicherheitsprofil geben Sie die Aktion für eine übereinstimmende Spiegelungsregel an. Ohne ein an die Spiegelungsregel angehängtes Sicherheitsprofil weiß der Integrationsdienst nicht, wohin der gespiegelte Traffic zur Überprüfung gesendet werden soll.
Funktionsweise von Sicherheitsprofilen
Das Sicherheitsprofil funktioniert, indem Ihre Netzwerkressourcen an eine Spiegelungs-Firewallregel angehängt werden. Wenn Sie ein Sicherheitsprofil an eine Spiegelungs-Firewallregel anhängen, erfüllt das Profil zwei Hauptfunktionen:
Traffic weiterleiten: Das Sicherheitsprofil identifiziert die Endpunktgruppe , die mit Ihrem VPC-Netzwerk (Virtual Private Cloud) verknüpft ist. Die Endpunktgruppe verweist auf die Bereitstellungsgruppe eines Produzenten. In dieser Bereitstellungsgruppe des Produzenten werden Ihre Netzwerkressourcen wie virtuelle Maschinen (VMs) organisiert und der Traffic-Umfang definiert, den der Integrationsdienst überwachen kann.
Profil anhängen: Die gespiegelten Pakete enthalten die Sicherheitsprofilgruppe
data_path_id, die zur Richtlinienerzwingung auf dem Collector verwendet werden kann. Ein Collector ist ein vom Nutzer verwaltetes Ziel im Produzentennetzwerk. Ein Collector empfängt gespiegelten Traffic aus dem Konsumentennetzwerk zur Überprüfung.
In diesem Dokument finden Sie eine Übersicht über Sicherheitsprofile und ihre spezifischen Konfigurationsmöglichkeiten.
Spezifikationen
Network Security Integration unterstützt Sicherheitsprofile vom Typ
CUSTOM_MIRRORING.Der Name eines Sicherheitsprofils wird im folgenden URL-ID-Format konfiguriert:
Organisationsebene:
organizations/ORGANIZATION_ID/locations/global/securityProfiles/NAMEAuf Projektebene (Vorschau):
projects/PROJECT_ID/locations/global/securityProfiles/NAME
Der
NAMEdes Sicherheitsprofils muss die folgenden Anforderungen erfüllen:- Ein String mit 1 bis 63 Zeichen
- Enthält nur alphanumerische Kleinbuchstaben oder Bindestriche (-)
- Beginnt mit einem Buchstaben
Beispiele:
- Sicherheitsprofil auf Organisationsebene:
organizations/2345678432/locations/global/securityProfiles/example-security-profile. - Sicherheitsprofil auf Projektebene (Vorschau):
projects/my-project-123/locations/global/securityProfiles/example-security-profile.
Wenn Sie die eindeutige URL-ID für den Namen des Sicherheitsprofils verwenden, sind die Organisation oder das Projekt und der Standort bereits in der URL enthalten. Wenn Sie nur den Kurznamen angeben, müssen Sie die Organisations-ID oder die Projekt-ID und den Standort separat angeben, wenn Sie
gcloud-Befehle verwenden.Nachdem Sie ein Sicherheitsprofil erstellt haben, können Sie es an eine Sicherheitsprofilgruppe anhängen. Diese Sicherheitsprofilgruppe wird von der Netzwerk-Firewallrichtlinie des VPC-Netzwerk berücksichtigt, in dem Sie Ihren Netzwerkverkehr in Netzwerksicherheits-Integration verarbeiten möchten.
Traffic, der mit der Regel der Netzwerk-Firewallrichtlinie übereinstimmt, wird an die Endpunktgruppe gesendet, auf die im Sicherheitsprofil verwiesen wird.
Jedem Sicherheitsprofil muss eine Projekt-ID zugeordnet sein. Das zugehörige Projekt wird für Kontingente und Zugriffsbeschränkungen für Sicherheitsprofilressourcen verwendet. Wenn Sie Ihr Dienstkonto mit dem
gcloud auth activate-service-accountBefehl, authentifizieren, können Sie Ihr Dienstkonto dem Sicherheitsprofil zuordnen. Weitere Informationen finden Sie unter Benutzerdefinierte Sicherheitsprofile erstellen und verwalten.
Identitäts- und Zugriffsverwaltungsrollen
In der folgenden Tabelle werden die IAM-Rollen (Identity and Access Management) beschrieben, die für die Verwaltung der Sicherheitsprofile erforderlich sind:
| Funktion | Erforderliche Rolle |
|---|---|
| Benutzerdefiniertes Sicherheitsprofil erstellen | Rolle „Sicherheitsprofiladministrator“ (networksecurity.securityProfileAdmin) für die Organisation oder das Projekt, in dem Sie ein benutzerdefiniertes Sicherheitsprofil erstellen möchten. |
| Benutzerdefiniertes Sicherheitsprofil ändern | Rolle „Sicherheitsprofiladministrator“ (networksecurity.securityProfileAdmin) für die Organisation oder das Projekt, in dem das benutzerdefinierte Sicherheitsprofil vorhanden ist. |
| Details zum benutzerdefinierten Sicherheitsprofil in einer Organisation oder einem Projekt ansehen | Eine der folgenden Rollen für die Organisation oder das Projekt, in dem das benutzerdefinierte Sicherheitsprofil vorhanden ist:
|
| Alle benutzerdefinierten Sicherheitsprofile in einer Organisation oder einem Projekt ansehen | Eine der folgenden Rollen für die Organisation oder das Projekt, in dem das benutzerdefinierte Sicherheitsprofil vorhanden ist:
|
| Benutzerdefiniertes Sicherheitsprofil in einer Sicherheitsprofilgruppe verwenden | Eine der folgenden Rollen für die Organisation oder das Projekt, in dem das benutzerdefinierte Sicherheitsprofil vorhanden ist:
|
Wenn Sie nicht die
Rolle „Sicherheitsprofiladministrator“
(roles/networksecurity.securityProfileAdmin) haben, können Sie mit den folgenden Berechtigungen ein
benutzerdefiniertes Sicherheitsprofil erstellen und verwalten:
networksecurity.securityProfiles.createnetworksecurity.securityProfiles.deletenetworksecurity.securityProfiles.getnetworksecurity.securityProfiles.listnetworksecurity.securityProfiles.updatenetworksecurity.securityProfiles.use
Weitere Informationen zu den IAM-Berechtigungen und den vordefinierten Rollen finden Sie unter Referenz zu IAM-Berechtigungen.
Kontingente
Informationen zu Kontingenten für benutzerdefinierte Sicherheitsprofile finden Sie unter Kontingente und Limits.
Nächste Schritte
- Sicherheitsprofilgruppen erstellen und verwalten
- Benutzerdefinierte Spiegelungs-Sicherheitsprofile erstellen und verwalten