セキュリティ プロファイルの概要

セキュリティ プロファイルは、複数のネットワーク セキュリティ プロダクトで使用されるポリシー コンテナです。セキュリティ プロファイルは、Network Security Integration サービス内でモニタリングおよび分析するネットワーク トラフィックの範囲を定義します。

セキュリティ プロファイルを使用する理由

セキュリティ プロファイルを使用して、一致したミラーリング ルールのアクションを指定します。ミラーリング ルールにセキュリティ プロファイルが関連付けられていない場合、統合サービスはミラーリングされたトラフィックの検査のために送信先を認識できません。

セキュリティ プロファイルの仕組み

セキュリティ プロファイルは、ネットワーク リソースをミラーリング ファイアウォール ルールに関連付けることで機能します。セキュリティ プロファイルをミラーリング ファイアウォール ルールにアタッチすると、プロファイルは次の 2 つの主要な機能を実行します。

• トラフィックをルーティングする: セキュリティ プロファイルは、Virtual Private Cloud（VPC）ネットワークに関連付けられたエンドポイント グループを識別します。エンドポイント グループは、プロデューサーのデプロイ グループを指します。このプロデューサーのデプロイ グループは、仮想マシン（VM）などのネットワーク リソースを整理し、統合サービスがモニタリングできるトラフィック スコープを定義します。

• プロファイルを適用する: ミラーリングされたパケットには、セキュリティ プロファイル グループ data_path_id が含まれます。これは、コレクタでのポリシー適用に使用できます。コレクタは、プロデューサー ネットワーク内のユーザー管理の宛先です。コレクタは、検査のためにミラーリングされたトラフィックをコンシューマー ネットワークから受信します。

このドキュメントでは、セキュリティ プロファイルとその特定の構成機能の概要について説明します。

仕様

• Network Security Integration は、CUSTOM_MIRRORING タイプのセキュリティ プロファイルをサポートしています。

• セキュリティ プロファイルの名前は、次の URL 識別子形式で構成されます。

  • 組織レベル: organizations/ORGANIZATION_ID/locations/global/securityProfiles/NAME

  • プロジェクト レベル（プレビュー）: projects/PROJECT_ID/locations/global/securityProfiles/NAME

  セキュリティ プロファイルの NAME は、次の要件を満たしている必要があります。

  • 1～63 文字の文字列
  • 小文字の英数字またはハイフン（-）のみを使用している
  • 文字で始まる

  例:

  • 組織レベルのセキュリティ プロファイル: organizations/2345678432/locations/global/securityProfiles/example-security-profile。
  • プロジェクト レベルのセキュリティ プロファイル（プレビュー）: projects/my-project-123/locations/global/securityProfiles/example-security-profile。

  セキュリティ プロファイル名に一意の URL 識別子を使用している場合、URL には組織またはプロジェクトとロケーションがすでに含まれています。短縮名のみを指定する場合は、gcloud コマンドを使用するときに、組織 ID またはプロジェクト ID とロケーションを個別に指定する必要があります。

• 作成したセキュリティ プロファイルは、セキュリティ プロファイル グループに関連付けることができます。このセキュリティ プロファイル グループは、Network Security Integration 内でネットワーク トラフィックを処理する VPC ネットワークのネットワーク ファイアウォール ポリシーから参照されます。

• ネットワーク ファイアウォール ポリシールールに一致するトラフィックは、セキュリティ プロファイルで参照されるエンドポイント グループに送信されます。

• 各セキュリティ プロファイルにはプロジェクト ID が関連付けられている必要があります。関連付けられたプロジェクトは、セキュリティ プロファイル リソースに対する割り当てとアクセス制限に使用されます。gcloud auth activate-service-account コマンドを使用してサービス アカウントを認証する場合は、サービス アカウントをセキュリティ プロファイルに関連付けることができます。詳細については、カスタム セキュリティ プロファイルの作成と管理をご覧ください。

Identity and Access Management ロール

次の表は、セキュリティ プロファイルの管理に必要な Identity and Access Management（IAM）ロールを示しています。

機能	必要なロール
カスタム セキュリティ プロファイルを作成する	カスタム セキュリティ プロファイルを作成する組織またはプロジェクトに対するセキュリティ プロファイル管理者ロール（networksecurity.securityProfileAdmin）。
カスタム セキュリティ プロファイルを変更する	カスタム セキュリティ プロファイルが存在する組織またはプロジェクトに対するセキュリティ プロファイル管理者ロール（networksecurity.securityProfileAdmin）。
組織またはプロジェクトのカスタム セキュリティ プロファイルの詳細を表示する	カスタム セキュリティ プロファイルが存在する組織またはプロジェクトに対する次のいずれかのロール。 セキュリティ プロファイル管理者のロール（networksecurity.securityProfileAdmin） Compute ネットワーク ユーザーのロール（compute.networkUser） Compute ネットワーク閲覧者のロール（compute.networkViewer）
組織またはプロジェクト内のすべてのカスタム セキュリティ プロファイルを表示する	カスタム セキュリティ プロファイルが存在する組織またはプロジェクトに対する次のいずれかのロール。 セキュリティ プロファイル管理者のロール（networksecurity.securityProfileAdmin） Compute ネットワーク ユーザーのロール（compute.networkUser） Compute ネットワーク閲覧者のロール（compute.networkViewer）
セキュリティ プロファイル グループでカスタム セキュリティ プロファイルを使用する	カスタム セキュリティ プロファイルが存在する組織またはプロジェクトに対する次のいずれかのロール。 セキュリティ プロファイル管理者のロール（networksecurity.securityProfileAdmin） Compute ネットワーク ユーザーのロール（compute.networkUser）

セキュリティ プロファイル管理者ロール（roles/networksecurity.securityProfileAdmin）がない場合でも、次の権限を使用してカスタム セキュリティ プロファイルを作成して管理できます。

• networksecurity.securityProfiles.create
• networksecurity.securityProfiles.delete
• networksecurity.securityProfiles.get
• networksecurity.securityProfiles.list
• networksecurity.securityProfiles.update
• networksecurity.securityProfiles.use

IAM 権限と事前定義ロールの詳細については、IAM 権限リファレンスをご覧ください。

割り当て

カスタム セキュリティ プロファイルに関連付けられた割り当てを表示するには、割り当てと上限をご覧ください。

次のステップ

• セキュリティ プロファイル グループの作成と管理
• カスタム ミラーリング セキュリティ プロファイルを作成して管理する