安全性設定檔總覽

安全性設定檔是組織層級的政策容器，可供多項網路安全產品使用。安全設定檔會定義要在 Network Security Integration 服務中監控及分析的網路流量範圍。

使用安全性設定檔的好處

您可以使用安全性設定檔，指定相符鏡像規則的動作。 如果鏡像規則未附加安全性設定檔，整合服務就不知道要將鏡像流量傳送至何處進行檢查。

安全設定檔的運作方式

安全性設定檔會將網路資源附加至鏡像防火牆規則。將安全性設定檔附加至鏡像防火牆規則時，設定檔會執行兩項主要功能：

• 轉送流量：安全設定檔會識別與虛擬私有雲 (VPC) 網路相關聯的端點群組。端點群組指向生產者的部署群組。這個生產者部署群組會整理網路資源 (例如虛擬機器)，並定義整合服務可監控的流量範圍。

• 附加設定檔：鏡像封包會攜帶安全性設定檔群組 data_path_id，可用於在收集器上強制執行政策。收集器是生產者網路中由使用者管理的目的地。收集器會接收來自消費者網路的鏡像流量，以供檢查。

本文將概略介紹安全設定檔，以及這些設定檔的特定設定功能。

規格

• 安全性設定檔是機構層級的資源。

• 網路安全整合服務支援 CUSTOM_MIRRORING 類型的安全設定檔。

• 每個安全性設定檔都有專屬網址，包含下列元素：

  • 機構 ID：機構的 ID。
  • 位置：安全性設定檔的範圍。位置一律設為「global」。
  • 名稱：安全性設定檔名稱，格式如下：
    • 長度介於 1 至 63 個字元的字串
    • 只能包含小寫英數字元或連字號 (-)
    • 開頭須為英文字母

• 如要建構安全性設定檔的專屬網址 ID，請使用下列格式：

  organization/ORGANIZATION_ID/locations/LOCATION/securityProfiles/SECURITY_PROFILE_NAME
  

  更改下列內容：

  • ORGANIZATION_ID：組織 ID。

  • LOCATION：安全性設定檔的範圍。 位置一律設為「global」。

  • SECURITY_PROFILE_NAME：安全性設定檔的名稱。

  舉例來說，機構 2345678432 中的 global 安全性設定檔 example-security-profile 具有下列專屬 ID：

  organization/2345678432/locations/global/securityProfiles/example-security-profile
  

• 建立安全性設定檔後，您可以選擇將其附加至安全性設定檔群組。您要處理網路安全整合中的網路流量時，VPC 網路的網路防火牆政策會參照這個安全性設定檔群組。

• 符合網路防火牆政策規則的流量會傳送至安全性設定檔參照的端點群組。

• 每個安全性設定檔都必須有相關聯的專案 ID。相關聯的專案會用於安全設定檔資源的配額和存取限制。如果您使用 gcloud auth activate-service-account 指令驗證服務帳戶，可以將服務帳戶與安全性設定檔建立關聯。詳情請參閱「建立及管理自訂安全性設定檔」。

身分與存取權管理角色

Identity and Access Management (IAM) 角色會控管下列安全性設定檔動作：

• 在機構中建立自訂安全性設定檔
• 修改或刪除自訂安全性設定檔
• 查看自訂安全性設定檔的詳細資料
• 查看機構中的自訂安全性設定檔清單
• 在安全性設定檔群組中使用自訂安全性設定檔

下表說明每個步驟所需的角色。

能力	必要角色
建立自訂安全性設定檔	安全性設定檔管理員角色 (networksecurity.securityProfileAdmin) 在建立自訂安全性設定檔的機構中。
修改自訂安全性設定檔	安全性設定檔管理員角色 (networksecurity.securityProfileAdmin) 在建立自訂安全性設定檔的機構中。
查看機構中自訂安全性設定檔的詳細資料	機構的下列任一角色： 安全設定檔管理員角色 (networksecurity.securityProfileAdmin) Compute 網路使用者角色 (compute.networkUser) Compute 網路檢視者角色 (compute.networkViewer)
查看機構中的所有自訂安全性設定檔	機構的下列任一角色： 安全設定檔管理員角色 (networksecurity.securityProfileAdmin) Compute 網路使用者角色 (compute.networkUser) Compute 網路檢視者角色 (compute.networkViewer)
在安全性設定檔群組中使用自訂安全性設定檔	機構的下列任一角色： 安全設定檔管理員角色 (networksecurity.securityProfileAdmin) Compute 網路使用者角色 (compute.networkUser)

如果您沒有安全性設定檔管理員角色 (roles/networksecurity.securityProfileAdmin)，可以透過下列權限建立及管理自訂安全性設定檔：

• networksecurity.securityProfiles.create
• networksecurity.securityProfiles.delete
• networksecurity.securityProfiles.get
• networksecurity.securityProfiles.list
• networksecurity.securityProfiles.update
• networksecurity.securityProfiles.use

如要進一步瞭解 IAM 權限和預先定義的角色，請參閱「IAM 權限參考資料」。

配額

如要查看與自訂安全性設定檔相關聯的配額，請參閱「配額與限制」。

後續步驟

• 建立及管理安全性設定檔群組
• 建立及管理自訂鏡像安全設定檔