보안 프로필 개요

보안 프로필은 여러 네트워크 보안 제품에서 사용하는 조직 수준 정책 컨테이너입니다. 보안 프로필은 네트워크 보안 통합 서비스 내에서 모니터링하고 분석할 네트워크 트래픽의 범위를 정의합니다.

보안 프로필을 사용하는 이유

보안 프로필을 사용하여 일치하는 미러링 규칙의 작업을 지정합니다. 미러링 규칙에 연결된 보안 프로필이 없으면 통합 서비스에서 검사를 위해 미러링된 트래픽을 어디로 전송해야 하는지 알 수 없습니다.

보안 프로필 작동 방식

보안 프로필은 네트워크 리소스를 미러링 방화벽 규칙에 연결하여 작동합니다. 미러링 방화벽 규칙에 보안 프로필을 연결하면 프로필에서 다음과 같은 두 가지 주요 기능을 실행합니다.

• 트래픽 라우팅: 보안 프로필은 Virtual Private Cloud (VPC) 네트워크와 연결된 엔드포인트 그룹을 식별합니다. 엔드포인트 그룹은 프로듀서의 배포 그룹을 가리킵니다. 이 프로듀서의 배포 그룹은 가상 머신 (VM)과 같은 네트워크 리소스를 정리하고 통합 서비스가 모니터링할 수 있는 트래픽 범위를 정의합니다.

• 프로필 연결: 미러링된 패킷은 보안 프로필 그룹 data_path_id을 전달하며, 이는 수집기에서 정책을 적용하는 데 사용할 수 있습니다. 수집기는 공급자 네트워크의 사용자 관리 대상입니다. 수집기는 검사를 위해 소비자 네트워크에서 미러링된 트래픽을 수신합니다.

이 문서에서는 보안 프로필과 특정 구성 기능에 대해 간략하게 설명합니다.

사양

• 보안 프로필은 조직 수준 리소스입니다.

• 네트워크 보안 통합은 CUSTOM_MIRRORING 유형의 보안 프로필을 지원합니다.

• 각 보안 프로필은 다음 요소가 있는 URL로 고유하게 식별됩니다.

  • 조직 ID: 조직 ID입니다.
  • 위치: 보안 프로필 범위입니다. 위치는 항상 global로 설정됩니다.
  • 이름: 다음 형식의 보안 프로필 이름입니다.
    • 1~63자(영문 기준)의 문자열
    • 소문자 영숫자 문자 또는 하이픈 (-)만 포함
    • 문자로 시작해야 합니다.

• 보안 프로필의 고유한 URL 식별자를 구성하려면 다음 형식을 사용합니다.

  organization/ORGANIZATION_ID/locations/LOCATION/securityProfiles/SECURITY_PROFILE_NAME
  

  다음을 바꿉니다.

  • ORGANIZATION_ID: 조직의 ID입니다.

  • LOCATION: 보안 프로필의 범위입니다. 위치는 항상 global로 설정됩니다.

  • SECURITY_PROFILE_NAME: 보안 프로필의 이름입니다.

  예를 들어 2345678432 조직의 global 보안 프로필 example-security-profile에는 다음과 같은 고유 식별자가 있습니다.

  organization/2345678432/locations/global/securityProfiles/example-security-profile
  

• 보안 프로필을 만든 후 보안 프로필 그룹에 연결할 수 있습니다. 이 보안 프로필 그룹은 네트워크 보안 통합 내에서 네트워크 트래픽을 처리할 VPC 네트워크의 네트워크 방화벽 정책에서 참조됩니다.

• 네트워크 방화벽 정책 규칙과 일치하는 트래픽은 보안 프로필에서 참조하는 엔드포인트 그룹으로 전송됩니다.

• 각 보안 프로필에는 연결된 프로젝트 ID가 있어야 합니다. 연결된 프로젝트는 보안 프로필 리소스의 할당량, 액세스 제한에 사용됩니다. gcloud auth activate-service-account 명령어를 사용하여 서비스 계정을 인증하는 경우 서비스 계정을 보안 프로필과 연결할 수 있습니다. 자세한 내용은 맞춤 보안 프로필 만들기 및 관리를 참고하세요.

Identity and Access Management 역할

Identity and Access Management(IAM) 역할은 다음 보안 프로필 작업을 제어합니다.

• 조직에 커스텀 보안 프로필 만들기
• 맞춤 보안 프로필 수정 또는 삭제
• 맞춤 보안 프로필의 세부정보 보기
• 조직의 맞춤 보안 프로필 목록 보기
• 보안 프로필 그룹에서 맞춤 보안 프로필 사용

다음 표에서는 각 단계에 필요한 역할을 설명합니다.

기능	필수 역할
커스텀 보안 프로필 만들기	맞춤 보안 프로필이 생성된 조직의 보안 프로필 관리자 역할 (networksecurity.securityProfileAdmin)
커스텀 보안 프로필 수정	맞춤 보안 프로필이 생성된 조직의 보안 프로필 관리자 역할 (networksecurity.securityProfileAdmin)
조직의 맞춤 보안 프로필에 대한 세부정보 보기	조직에 대한 다음 역할 중 하나입니다. 보안 프로필 관리자 역할 (networksecurity.securityProfileAdmin) Compute 네트워크 사용자 역할 (compute.networkUser) Compute 네트워크 뷰어 역할(compute.networkViewer)
조직 내 모든 맞춤 보안 프로필 보기	조직의 다음 역할 중 하나: 보안 프로필 관리자 역할 (networksecurity.securityProfileAdmin) Compute 네트워크 사용자 역할 (compute.networkUser) Compute 네트워크 뷰어 역할(compute.networkViewer)
보안 프로필 그룹에서 맞춤 보안 프로필 사용	조직의 다음 역할 중 하나: 보안 프로필 관리자 역할 (networksecurity.securityProfileAdmin) Compute 네트워크 사용자 역할 (compute.networkUser)

보안 프로필 관리자 역할 (roles/networksecurity.securityProfileAdmin)이 없는 경우 다음 권한으로 맞춤 보안 프로필을 만들고 관리할 수 있습니다.

• networksecurity.securityProfiles.create
• networksecurity.securityProfiles.delete
• networksecurity.securityProfiles.get
• networksecurity.securityProfiles.list
• networksecurity.securityProfiles.update
• networksecurity.securityProfiles.use

IAM 권한 및 사전 정의된 역할에 대한 자세한 내용은 IAM 권한 참조를 참고하세요.

할당량

맞춤 보안 프로필과 연결된 할당량을 보려면 할당량 및 한도를 참고하세요.

다음 단계

• 보안 프로필 그룹 만들기 및 관리
• 맞춤 미러링 보안 프로필 만들기 및 관리하기