Sicherheitsprofile sind Richtliniencontainer, die von mehreren Netzwerksicherheitsprodukten verwendet werden. Das Sicherheitsprofil definiert den Umfang des Netzwerkverkehrs, der im Dienst „Network Security Integration“ überwacht und analysiert werden soll.
Gründe für die Verwendung von Sicherheitsprofilen
Mit einem Sicherheitsprofil geben Sie die Aktion für eine übereinstimmende Spiegelungsregel an. Ohne ein Sicherheitsprofil, das an die Spiegelungsregel angehängt ist, weiß der Integrationsdienst nicht, wohin der gespiegelte Traffic zur Überprüfung gesendet werden soll.
Funktionsweise von Sicherheitsprofilen
Das Sicherheitsprofil funktioniert, indem Ihre Netzwerkressourcen an eine Spiegelungs-Firewallregel angehängt werden. Wenn Sie ein Sicherheitsprofil an eine Spiegelungs-Firewallregel anhängen, erfüllt das Profil zwei wichtige Funktionen:
Traffic weiterleiten: Das Sicherheitsprofil identifiziert die Endpunktgruppe, die Ihrem VPC-Netzwerk (Virtual Private Cloud) zugeordnet ist. Die Endpunktgruppe verweist auf die Bereitstellungsgruppe eines Erstellers. In der Bereitstellungsgruppe dieses Producers werden Ihre Netzwerkressourcen wie virtuelle Maschinen (VMs) organisiert und der Traffic-Bereich definiert, den der Integrationsdienst überwachen kann.
Profil anhängen: Die gespiegelten Pakete enthalten die Sicherheitsprofilgruppe
data_path_id, die für die Richtliniendurchsetzung auf dem Collector verwendet werden kann. Ein Collector ist ein nutzerverwaltetes Ziel im Produzentennetzwerk. Ein Collector empfängt gespiegelten Traffic aus dem Nutzernetzwerk zur Überprüfung.
Dieses Dokument bietet einen Überblick über Sicherheitsprofile und ihre spezifischen Konfigurationsmöglichkeiten.
Spezifikationen
Die Netzwerksicherheits-Integration unterstützt Sicherheitsprofile vom Typ
CUSTOM_MIRRORING.Der Name eines Sicherheitsprofils wird im folgenden URL-ID-Format konfiguriert:
Organisationsebene:
organizations/ORGANIZATION_ID/locations/global/securityProfiles/NAMEAuf Projektebene:
projects/PROJECT_ID/locations/global/securityProfiles/NAME
Die
NAMEdes Sicherheitsprofils muss die folgenden Anforderungen erfüllen:- Ein String mit 1 bis 63 Zeichen
- Enthält nur kleingeschriebene alphanumerische Zeichen oder Bindestriche (-)
- Beginnt mit einem Buchstaben
Beispiele:
- Sicherheitsprofil auf Organisationsebene:
organizations/2345678432/locations/global/securityProfiles/example-security-profile. - Sicherheitsprofil auf Projektebene:
projects/my-project-123/locations/global/securityProfiles/example-security-profile.
Wenn Sie die eindeutige URL-ID für den Namen des Sicherheitsprofils verwenden, sind die Organisation oder das Projekt und der Standort bereits in der URL enthalten. Wenn Sie nur den Kurznamen angeben, müssen Sie die Organisations-ID oder die Projekt-ID und den Standort separat angeben, wenn Sie
gcloud-Befehle verwenden.Nachdem Sie ein Sicherheitsprofil erstellt haben, können Sie es an eine Sicherheitsprofilgruppe anhängen. Auf diese Sicherheitsprofilgruppe wird in der Netzwerk-Firewallrichtlinie des VPC-Netzwerk verwiesen, in dem Sie Ihren Netzwerkverkehr im Rahmen der Netzwerksicherheits-Integration verarbeiten möchten.
Traffic, der der Netzwerk-Firewallrichtlinienregel entspricht, wird an die Endpunktgruppe gesendet, auf die im Sicherheitsprofil verwiesen wird.
Jedem Sicherheitsprofil muss eine Projekt-ID zugeordnet sein. Das zugehörige Projekt wird für Kontingente und Zugriffsbeschränkungen für Sicherheitsprofilressourcen verwendet. Wenn Sie Ihr Dienstkonto mit dem Befehl
gcloud auth activate-service-accountauthentifizieren, können Sie Ihr Dienstkonto dem Sicherheitsprofil zuordnen. Weitere Informationen finden Sie unter Benutzerdefinierte Sicherheitsprofile erstellen und verwalten.
Identitäts- und Zugriffsverwaltungsrollen
In der folgenden Tabelle werden die IAM-Rollen (Identity and Access Management) beschrieben, die zum Verwalten der Sicherheitsprofile erforderlich sind:
| Funktion | Erforderliche Rolle |
|---|---|
| Benutzerdefiniertes Sicherheitsprofil erstellen | Rolle Administrator für Sicherheitsprofile (networksecurity.securityProfileAdmin) für die Organisation oder das Projekt, in dem Sie ein benutzerdefiniertes Sicherheitsprofil erstellen möchten. |
| Benutzerdefiniertes Sicherheitsprofil ändern | Rolle Administrator für Sicherheitsprofile (networksecurity.securityProfileAdmin) für die Organisation oder das Projekt, in dem das benutzerdefinierte Sicherheitsprofil vorhanden ist. |
| Details zum benutzerdefinierten Sicherheitsprofil in einer Organisation oder einem Projekt ansehen | Eine der folgenden Rollen für die Organisation oder das Projekt, in dem das benutzerdefinierte Sicherheitsprofil vorhanden ist:
|
| Alle benutzerdefinierten Sicherheitsprofile in einer Organisation oder einem Projekt ansehen | Eine der folgenden Rollen für die Organisation oder das Projekt, in dem das benutzerdefinierte Sicherheitsprofil vorhanden ist:
|
| Benutzerdefiniertes Sicherheitsprofil in einer Sicherheitsprofilgruppe verwenden | Eine der folgenden Rollen für die Organisation oder das Projekt, in dem das benutzerdefinierte Sicherheitsprofil vorhanden ist:
|
Wenn Sie nicht die Rolle „Administrator für Sicherheitsprofile“ (roles/networksecurity.securityProfileAdmin) haben, können Sie ein benutzerdefiniertes Sicherheitsprofil mit den folgenden Berechtigungen erstellen und verwalten:
networksecurity.securityProfiles.createnetworksecurity.securityProfiles.deletenetworksecurity.securityProfiles.getnetworksecurity.securityProfiles.listnetworksecurity.securityProfiles.updatenetworksecurity.securityProfiles.use
Weitere Informationen zu den IAM-Berechtigungen und vordefinierten Rollen finden Sie in der Referenz zu IAM-Berechtigungen.
Kontingente
Informationen zu Kontingenten für benutzerdefinierte Sicherheitsprofile finden Sie unter Kontingente und Limits.
Nächste Schritte
- Sicherheitsprofilgruppen erstellen und verwalten
- Benutzerdefinierte Sicherheitsprofile für die Spiegelung erstellen und verwalten