Sicherheitsprofile sind Richtliniencontainer auf Organisationsebene, die von mehreren Netzwerksicherheitsprodukten verwendet werden. Das Sicherheitsprofil definiert den Umfang des Netzwerkverkehrs, der im Dienst „Network Security Integration“ überwacht und analysiert werden soll.
Gründe für die Verwendung von Sicherheitsprofilen
Mit einem Sicherheitsprofil legen Sie die Aktion für eine übereinstimmende Spiegelungsregel fest. Ohne ein Sicherheitsprofil, das an die Spiegelungsregel angehängt ist, weiß der Integrationsdienst nicht, wohin der gespiegelte Traffic zur Überprüfung gesendet werden soll.
Funktionsweise von Sicherheitsprofilen
Das Sicherheitsprofil funktioniert, indem Ihre Netzwerkressourcen an eine Spiegelungs-Firewallregel angehängt werden. Wenn Sie ein Sicherheitsprofil an eine Spiegelungs-Firewallregel anhängen, erfüllt das Profil zwei wichtige Funktionen:
Traffic weiterleiten: Das Sicherheitsprofil identifiziert die Endpunktgruppe, die Ihrem VPC-Netzwerk (Virtual Private Cloud) zugeordnet ist. Die Endpunktgruppe verweist auf die Bereitstellungsgruppe eines Erstellers. In der Bereitstellungsgruppe dieses Producers werden Ihre Netzwerkressourcen wie virtuelle Maschinen (VMs) organisiert und der Traffic-Bereich definiert, den der Integrationsdienst überwachen kann.
Profil anhängen: Die gespiegelten Pakete enthalten die Sicherheitsprofilgruppe
data_path_id, die für die Richtliniendurchsetzung auf dem Collector verwendet werden kann. Ein Collector ist ein von Nutzern verwaltetes Ziel im Produzentennetzwerk. Ein Collector empfängt gespiegelten Traffic aus dem Nutzernetzwerk zur Überprüfung.
Dieses Dokument bietet einen Überblick über Sicherheitsprofile und ihre spezifischen Konfigurationsmöglichkeiten.
Spezifikationen
Ein Sicherheitsprofil ist eine Ressource auf Organisationsebene.
Die Netzwerksicherheits-Integration unterstützt Sicherheitsprofile vom Typ
CUSTOM_MIRRORING.Jedes Sicherheitsprofil wird eindeutig durch eine URL mit den folgenden Elementen identifiziert:
- Organisations-ID: ID der Organisation.
- Standort: Geltungsbereich des Sicherheitsprofils. Der Standort ist immer auf
globalfestgelegt. - Name: Name des Sicherheitsprofils im folgenden Format:
- Ein String mit 1 bis 63 Zeichen
- Enthält nur kleingeschriebene alphanumerische Zeichen oder Bindestriche (-)
- Muss mit einem Buchstaben beginnen
Verwenden Sie das folgende Format, um eine eindeutige URL-ID für ein Sicherheitsprofil zu erstellen:
organization/ORGANIZATION_ID/locations/LOCATION/securityProfiles/SECURITY_PROFILE_NAMEErsetzen Sie Folgendes:
ORGANIZATION_ID: ID der Organisation.LOCATION: Bereich des Sicherheitsprofils. Der Standort ist immer aufglobalfestgelegt.SECURITY_PROFILE_NAME: der Name des Sicherheitsprofils.
Ein
global-Sicherheitsprofilexample-security-profilein der Organisation2345678432hat beispielsweise die folgende eindeutige Kennung:organization/2345678432/locations/global/securityProfiles/example-security-profileNachdem Sie ein Sicherheitsprofil erstellt haben, können Sie es an eine Sicherheitsprofilgruppe anhängen. Auf diese Sicherheitsprofilgruppe wird in der Netzwerk-Firewallrichtlinie des VPC-Netzwerk verwiesen, in dem Sie Ihren Netzwerk-Traffic im Rahmen der Netzwerksicherheitsintegration verarbeiten möchten.
Traffic, der der Netzwerk-Firewallrichtlinienregel entspricht, wird an die Endpunktgruppe gesendet, auf die im Sicherheitsprofil verwiesen wird.
Jedem Sicherheitsprofil muss eine Projekt-ID zugeordnet sein. Das zugehörige Projekt wird für Kontingente und Zugriffsbeschränkungen für Sicherheitsprofilressourcen verwendet. Wenn Sie Ihr Dienstkonto mit dem Befehl
gcloud auth activate-service-accountauthentifizieren, können Sie Ihr Dienstkonto dem Sicherheitsprofil zuordnen. Weitere Informationen finden Sie unter Benutzerdefinierte Sicherheitsprofile erstellen und verwalten.
Identitäts- und Zugriffsverwaltungsrollen
IAM-Rollen (Identity and Access Management) regeln die Aktionen von Sicherheitsprofilen:
- Benutzerdefiniertes Sicherheitsprofil in einer Organisation erstellen
- Benutzerdefiniertes Sicherheitsprofil ändern oder löschen
- Details eines benutzerdefinierten Sicherheitsprofils ansehen
- Liste der benutzerdefinierten Sicherheitsprofile in einer Organisation ansehen
- Benutzerdefiniertes Sicherheitsprofil in einer Sicherheitsprofilgruppe verwenden
In der folgenden Tabelle werden die Rollen beschrieben, die für jeden Schritt erforderlich sind.
| Funktion | Erforderliche Rolle |
|---|---|
| Benutzerdefiniertes Sicherheitsprofil erstellen | Rolle „Security Profile Admin“ (networksecurity.securityProfileAdmin) für die Organisation, in der das benutzerdefinierte Sicherheitsprofil erstellt wird. |
| Benutzerdefiniertes Sicherheitsprofil ändern | Rolle „Security Profile Admin“ (networksecurity.securityProfileAdmin) für die Organisation, in der das benutzerdefinierte Sicherheitsprofil erstellt wird. |
| Details zum benutzerdefinierten Sicherheitsprofil in einer Organisation ansehen | Eine der folgenden Rollen für die Organisation:
|
| Alle benutzerdefinierten Sicherheitsprofile in einer Organisation ansehen | Eine der folgenden Rollen für die Organisation:
|
| Benutzerdefiniertes Sicherheitsprofil in einer Sicherheitsprofilgruppe verwenden | Eine der folgenden Rollen für die Organisation:
|
Wenn Sie nicht die Rolle „Security Profile Admin“ (roles/networksecurity.securityProfileAdmin) haben, können Sie benutzerdefinierte Sicherheitsprofile mit den folgenden Berechtigungen erstellen und verwalten:
networksecurity.securityProfiles.createnetworksecurity.securityProfiles.deletenetworksecurity.securityProfiles.getnetworksecurity.securityProfiles.listnetworksecurity.securityProfiles.updatenetworksecurity.securityProfiles.use
Weitere Informationen zu den IAM-Berechtigungen und vordefinierten Rollen finden Sie in der Referenz zu IAM-Berechtigungen.
Kontingente
Informationen zu Kontingenten für benutzerdefinierte Sicherheitsprofile finden Sie unter Kontingente und Limits.
Nächste Schritte
- Sicherheitsprofilgruppen erstellen und verwalten
- Benutzerdefinierte Sicherheitsprofile für die Spiegelung erstellen und verwalten