Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

סקירה כללית על פרופילי אבטחה

פרופילי אבטחה הם מאגרי מדיניות שמשמשים מוצרים רבים לאבטחת רשת. פרופיל האבטחה מגדיר את היקף התנועה ברשת שצריך לנטר ולנתח במסגרת שירות Network Security Integration.

למה כדאי להשתמש בפרופילי אבטחה

פרופיל אבטחה משמש לציון הפעולה עבור כלל שיקוף שתואם. אם לא מצרפים פרופיל אבטחה לכלל השיקוף, שירות השילוב לא יודע לאן לשלוח את התעבורה המשוקפת לבדיקה.

איך פועלים פרופילי אבטחה

פרופיל האבטחה פועל על ידי צירוף משאבי הרשת שלכם לכלל חומת אש משוכפל. כשמצרפים פרופיל אבטחה לכלל חומת אש של שיקוף, הפרופיל מבצע שתי פונקציות מרכזיות:

ניתוב תנועה: פרופיל האבטחה מזהה את קבוצת נקודות הקצה שמשויכת לרשת של הענן הווירטואלי הפרטי (VPC). קבוצת נקודות הקצה מצביעה על קבוצת הפריסה של היצרן. קבוצת הפריסה של יצרן הנתונים מארגנת את משאבי הרשת, כמו מכונות וירטואליות (VM), ומגדירה את היקף התנועה ששירות השילוב יכול לנטר.
צירוף הפרופיל: חבילות הנתונים המשוכפלות נושאות את קבוצת פרופילי האבטחה data_path_id, שאפשר להשתמש בה לאכיפת מדיניות במרכז האיסוף. מאגר הוא יעד שמנוהל על ידי משתמש ברשת היוצרים. הנתונים של התנועה משוכפלים ונשלחים אל רשת הצרכנים לבדיקה.

במסמך הזה מוסבר על פרופילי אבטחה ועל יכולות ההגדרה הספציפיות שלהם.

מפרטים

‫Network Security Integration תומך בפרופילי אבטחה מסוג CUSTOM_MIRRORING.
השם של פרופיל אבטחה מוגדר בפורמט הבא של מזהה כתובת URL:
- ברמת הארגון: organizations/ORGANIZATION_ID/locations/global/securityProfiles/NAME
- ברמת הפרויקט (תצוגה מקדימה): projects/PROJECT_ID/locations/global/securityProfiles/NAME
הNAME של פרופיל האבטחה צריך לעמוד בדרישות הבאות:
- מחרוזת באורך 1-63 תווים
- השם יכול להכיל רק תווים אלפאנומריים באותיות קטנות או מקפים (-).
- מתחיל באות
דוגמאות:
- פרופיל אבטחה ברמת הארגון: organizations/2345678432/locations/global/securityProfiles/example-security-profile.
- פרופיל אבטחה ברמת הפרויקט (תצוגה מקדימה): projects/my-project-123/locations/global/securityProfiles/example-security-profile.
אם משתמשים במזהה הייחודי של כתובת ה-URL בשם פרופיל האבטחה, כתובת ה-URL כבר כוללת את הארגון או הפרויקט ואת המיקום. אם מציינים רק את השם המקוצר, צריך לספק בנפרד את מזהה הארגון או את מזהה הפרויקט והמיקום כשמשתמשים בפקודות gcloud.
אחרי שיוצרים פרופיל אבטחה, אפשר לצרף אותו לקבוצת פרופילי אבטחה. קבוצת פרופילי האבטחה הזו מפנה למדיניות חומת האש ברשת של רשת ה-VPC שבה רוצים לעבד את התנועה ברשת במסגרת Network Security Integration.
תעבורת נתונים שתואמת לכלל במדיניות חומת האש של הרשת נשלחת אל קבוצת נקודות הקצה שאליה מתייחס פרופיל האבטחה.
לכל פרופיל אבטחה צריך להיות משויך מזהה פרויקט. הפרויקט המשויך משמש למכסות ולהגבלות גישה למשאבים של פרופיל האבטחה. אם תאמתו את חשבון השירות באמצעות הפקודה gcloud auth activate-service-account, תוכלו לשייך את חשבון השירות לפרופיל האבטחה. מידע נוסף זמין במאמר בנושא יצירה וניהול של פרופילי אבטחה בהתאמה אישית.

תפקידים בניהול זהויות והרשאות גישה (IAM)

בטבלה הבאה מפורטים התפקידים בניהול הזהויות והרשאות הגישה (IAM) שנדרשים לניהול פרופילי האבטחה:

יכולת	תפקיד נדרש
יצירת פרופיל אבטחה בהתאמה אישית	התפקיד 'אדמין של פרופיל אבטחה' (`networksecurity.securityProfileAdmin`) בארגון או בפרויקט שבהם רוצים ליצור פרופיל אבטחה בהתאמה אישית.
שינוי של פרופיל אבטחה בהתאמה אישית	התפקיד 'אדמין של פרופיל אבטחה' (`networksecurity.securityProfileAdmin`) בארגון או בפרויקט שבהם קיים פרופיל האבטחה המותאם אישית.
הצגת פרטים על פרופיל אבטחה בהתאמה אישית בארגון או בפרויקט	אחד מהתפקידים הבאים בארגון או בפרויקט שבו קיים פרופיל האבטחה בהתאמה אישית: תפקיד אדמין של פרופיל אבטחה (`networksecurity.securityProfileAdmin`) תפקיד המשתמש Compute Network (`compute.networkUser`) צפייה ברשת ב-Compute (`compute.networkViewer`)
הצגת כל פרופילי האבטחה בהתאמה אישית בארגון או בפרויקט	אחד מהתפקידים הבאים בארגון או בפרויקט שבו קיים פרופיל האבטחה בהתאמה אישית: אדמין של פרופיל אבטחה (`networksecurity.securityProfileAdmin`) תפקיד המשתמש ברשת Compute (`compute.networkUser`) צפייה ברשת ב-Compute (`compute.networkViewer`)
שימוש בפרופיל אבטחה מותאם אישית בקבוצת פרופילי אבטחה	אחד מהתפקידים הבאים בארגון או בפרויקט שבו קיים פרופיל האבטחה בהתאמה אישית: אדמין של פרופיל אבטחה (`networksecurity.securityProfileAdmin`) תפקיד המשתמש ברשת Compute (`compute.networkUser`)

אם אין לכם את התפקיד אדמין פרופיל אבטחה (roles/networksecurity.securityProfileAdmin), אתם יכולים ליצור ולנהל פרופיל אבטחה בהתאמה אישית עם ההרשאות הבאות:

networksecurity.securityProfiles.create
networksecurity.securityProfiles.delete
networksecurity.securityProfiles.get
networksecurity.securityProfiles.list
networksecurity.securityProfiles.update
networksecurity.securityProfiles.use

במאמר חומר עזר בנושא הרשאות ב-IAM תוכלו לקרוא מידע נוסף על ההרשאות ב-IAM ועל התפקידים המוגדרים מראש.

מכסות

כדי לראות את המכסות שמשויכות לפרופילי אבטחה בהתאמה אישית, אפשר לעיין במאמר בנושא מכסות ומגבלות.

סקירה כללית על פרופילי אבטחה קל לארגן דפים בעזרת אוספים אפשר לשמור ולסווג תוכן על סמך ההעדפות שלך.