セキュリティ プロファイルの概要

セキュリティ プロファイルは、複数のネットワーク セキュリティ プロダクトで使用される組織レベルのポリシー コンテナです。セキュリティ プロファイルは、Network Security Integration サービス内でモニタリングと分析を行うネットワーク トラフィックの範囲を定義します。

セキュリティ プロファイルを使用する理由

セキュリティ プロファイルを使用して、一致したミラーリング ルールのアクションを指定します。ミラーリング ルールにセキュリティ プロファイルが関連付けられていない場合、統合サービスはミラーリングされたトラフィックの検査先を認識できません。

セキュリティ プロファイルの仕組み

セキュリティ プロファイルは、ネットワーク リソースをミラーリング ファイアウォール ルールに関連付けることで機能します。セキュリティ プロファイルをミラーリング ファイアウォール ルールに適用すると、プロファイルは次の 2 つの主要な機能を実行します。

• トラフィックをルーティングする: セキュリティ プロファイルは、Virtual Private Cloud（VPC）ネットワークに関連付けられたエンドポイント グループを識別します。エンドポイント グループは、プロデューサーのデプロイ グループを指します。このプロデューサーのデプロイ グループは、仮想マシン（VM）などのネットワーク リソースを整理し、統合サービスがモニタリングできるトラフィック スコープを定義します。

• プロファイルを適用する: ミラーリングされたパケットには、セキュリティ プロファイル グループ data_path_id が含まれます。これは、コレクタでのポリシー適用に使用できます。コレクタは、プロデューサー ネットワーク内のユーザー管理の宛先です。コレクタは、検査のためにミラーリングされたトラフィックをコンシューマー ネットワークから受信します。

このドキュメントでは、セキュリティ プロファイルとその特定の構成機能の概要について説明します。

仕様

• セキュリティ プロファイルは組織レベルのリソースです。

• Network Security Integration は、CUSTOM_MIRRORING タイプのセキュリティ プロファイルをサポートしています。

• 各セキュリティ プロファイルは、次の要素を含む URL で一意に識別されます。

  • 組織 ID: 組織の ID。
  • ロケーション: セキュリティ プロファイルのスコープ。ロケーションは常に global に設定されます。
  • 名前: 次の形式のセキュリティ プロファイル名。
    • 1～63 文字の文字列
    • 小文字の英数字とハイフン（-）のみを使用
    • 先頭は英字にしてください

• セキュリティ プロファイルの一意の URL 識別子を作成するには、次の形式を使用します。

  organization/ORGANIZATION_ID/locations/LOCATION/securityProfiles/SECURITY_PROFILE_NAME
  

  次のように置き換えます。

  • ORGANIZATION_ID: 組織の ID。

  • LOCATION: セキュリティ プロファイルのスコープ。ロケーションは常に global に設定されます。

  • SECURITY_PROFILE_NAME: セキュリティ プロファイルの名前。

  たとえば、組織 2345678432 の global セキュリティ プロファイル example-security-profile には、次のような固有識別子を設定します。

  organization/2345678432/locations/global/securityProfiles/example-security-profile
  

• 作成したセキュリティ プロファイルは、セキュリティ プロファイル グループに関連付けることができます。このセキュリティ プロファイル グループは、Network Security Integration 内でネットワーク トラフィックを処理する VPC ネットワークのネットワーク ファイアウォール ポリシーから参照されます。

• ネットワーク ファイアウォール ポリシールールに一致するトラフィックは、セキュリティ プロファイルで参照されるエンドポイント グループに送信されます。

• 各セキュリティ プロファイルにはプロジェクト ID が関連付けられている必要があります。関連付けられたプロジェクトは、セキュリティ プロファイル リソースに対する割り当てとアクセス制限に使用されます。gcloud auth activate-service-account コマンドを使用してサービス アカウントを認証する場合は、サービス アカウントをセキュリティ プロファイルに関連付けることができます。詳細については、カスタム セキュリティ プロファイルの作成と管理をご覧ください。

Identity and Access Management ロール

Identity and Access Management（IAM）ロールは、次のセキュリティ プロファイルのアクションを管理します。

• 組織でのカスタム セキュリティ プロファイルの作成
• カスタム セキュリティ プロファイルの変更または削除
• カスタム セキュリティ プロファイルの詳細を表示する
• 組織内のカスタム セキュリティ プロファイルのリストの表示
• セキュリティ プロファイル グループでのカスタム セキュリティ プロファイルの使用

次の表に、各ステップに必要なロールを示します。

機能	必要なロール
カスタム セキュリティ プロファイルを作成する	カスタム セキュリティ プロファイルが作成される組織に対するセキュリティ プロファイル管理者ロール（networksecurity.securityProfileAdmin）。
カスタム セキュリティ プロファイルを変更する	カスタム セキュリティ プロファイルが作成される組織に対するセキュリティ プロファイル管理者ロール（networksecurity.securityProfileAdmin）。
組織のカスタム セキュリティ プロファイルの詳細を表示する	組織に対する次のいずれかのロール: セキュリティ プロファイル管理者のロール（networksecurity.securityProfileAdmin） Compute ネットワーク ユーザーのロール（compute.networkUser） Compute ネットワーク閲覧者のロール（compute.networkViewer）
組織内のすべてのカスタム セキュリティ プロファイルを表示する	組織に対する次のいずれかのロール: セキュリティ プロファイル管理者のロール（networksecurity.securityProfileAdmin） Compute ネットワーク ユーザーのロール（compute.networkUser） Compute ネットワーク閲覧者のロール（compute.networkViewer）
セキュリティ プロファイル グループでカスタム セキュリティ プロファイルを使用する	組織に対する次のいずれかのロール: セキュリティ プロファイル管理者のロール（networksecurity.securityProfileAdmin） Compute ネットワーク ユーザーのロール（compute.networkUser）

セキュリティ プロファイル管理者ロール（roles/networksecurity.securityProfileAdmin）がない場合でも、次の権限があればカスタム セキュリティ プロファイルを作成して管理できます。

• networksecurity.securityProfiles.create
• networksecurity.securityProfiles.delete
• networksecurity.securityProfiles.get
• networksecurity.securityProfiles.list
• networksecurity.securityProfiles.update
• networksecurity.securityProfiles.use

IAM 権限と事前定義ロールの詳細については、IAM 権限リファレンスをご覧ください。

割り当て

カスタム セキュリティ プロファイルに関連付けられた割り当てを表示するには、割り当てと上限をご覧ください。

次のステップ

• セキュリティ プロファイル グループの作成と管理
• カスタム ミラーリング セキュリティ プロファイルを作成して管理する