安全性設定檔總覽

安全性設定檔是政策容器，可供多種網路安全產品使用。安全設定檔會定義網路流量的範圍，以便在網路安全整合服務中監控及分析。

使用安全設定檔的原因

您可以使用安全設定檔，指定相符鏡像規則的動作。 如果鏡像規則未附加安全設定檔，整合服務就不知道要將鏡像流量傳送至何處進行檢查。

安全設定檔的運作方式

安全性設定檔會將網路資源附加至鏡像防火牆規則。將安全性設定檔附加至鏡像防火牆規則時，設定檔會執行兩項主要功能：

• 轉送流量：安全設定檔會識別與虛擬私有雲 (VPC) 網路相關聯的端點群組。端點群組會指向生產者的部署群組。這個生產者部署群組會整理網路資源 (例如虛擬機器)，並定義整合服務可監控的流量範圍。

• 附加設定檔：鏡像封包會攜帶安全性設定檔群組 data_path_id，可用於在收集器上強制執行政策。收集器是生產者網路中由使用者管理的目的地。收集器會接收來自消費者網路的鏡像流量，以供檢查。

本文將概略介紹安全設定檔，以及這些設定檔的特定設定功能。

規格

• 網路安全整合服務支援 CUSTOM_MIRRORING 類型的安全設定檔。

• 安全設定檔名稱的設定格式如下：

  • 機構層級：organizations/ORGANIZATION_ID/locations/global/securityProfiles/NAME

  • 專案層級 (預先發布版)：projects/PROJECT_ID/locations/global/securityProfiles/NAME

  安全性設定檔的 NAME 必須符合下列規定：

  • 長度介於 1 至 63 個字元的字串
  • 只能包含小寫英數字元或連字號 (-)
  • 以英文字母開頭

  範例：

  • 機構層級安全性設定檔：organizations/2345678432/locations/global/securityProfiles/example-security-profile。
  • 專案層級安全設定檔 (預覽版)：projects/my-project-123/locations/global/securityProfiles/example-security-profile。

  如果您使用不重複的網址 ID 做為安全設定檔名稱，網址已包含機構或專案，以及位置。如果只指定簡稱，使用 gcloud 指令時，必須分別提供機構 ID 或專案 ID 和位置。

• 建立安全性設定檔後，您可以選擇將其附加至安全性設定檔群組。您要處理網路安全整合服務中的網路流量時，虛擬私有雲網路的網路防火牆政策會參照這個安全性設定檔群組。

• 符合網路防火牆政策規則的流量會傳送至安全設定檔參照的端點群組。

• 每個安全性設定檔都必須有相關聯的專案 ID。相關聯的專案會用於安全設定檔資源的配額和存取限制。如果您使用 gcloud auth activate-service-account 指令驗證服務帳戶，可以將服務帳戶與安全性設定檔建立關聯。詳情請參閱「建立及管理自訂安全性設定檔」。

身分與存取權管理角色

下表說明管理安全設定檔時需具備的 Identity and Access Management (IAM) 角色：

能力	必要角色
建立自訂安全性設定檔	在要建立自訂安全性設定檔的機構或專案中，擁有安全性設定檔管理員角色 (networksecurity.securityProfileAdmin)。
修改自訂安全性設定檔	機構或專案的安全性設定檔管理員角色 (networksecurity.securityProfileAdmin)，自訂安全性設定檔位於該機構或專案中。
查看機構或專案中自訂安全性設定檔的詳細資料	在機構或專案中，具備下列任一角色 (自訂安全性設定檔所在位置)： 安全性設定檔管理員角色 (networksecurity.securityProfileAdmin) Compute 網路使用者角色 (compute.networkUser) Compute 網路檢視者角色 (compute.networkViewer)
查看機構或專案中的所有自訂安全性設定檔	在機構或專案中，具備下列任一角色 (自訂安全性設定檔所在位置)： 安全性設定檔管理員角色 (networksecurity.securityProfileAdmin) Compute 網路使用者角色 (compute.networkUser) Compute 網路檢視者角色 (compute.networkViewer)
在安全性設定檔群組中使用自訂安全性設定檔	在機構或專案中，具備下列任一角色 (自訂安全性設定檔所在位置)： 安全性設定檔管理員角色 (networksecurity.securityProfileAdmin) Compute 網路使用者角色 (compute.networkUser)

如果您沒有安全設定檔管理員角色 (roles/networksecurity.securityProfileAdmin)，可以透過下列權限建立及管理自訂安全設定檔：

• networksecurity.securityProfiles.create
• networksecurity.securityProfiles.delete
• networksecurity.securityProfiles.get
• networksecurity.securityProfiles.list
• networksecurity.securityProfiles.update
• networksecurity.securityProfiles.use

如要進一步瞭解 IAM 權限和預先定義的角色，請參閱「IAM 權限參考資料」。

配額

如要查看與自訂安全性設定檔相關聯的配額，請參閱「配額與限制」。

後續步驟

• 建立及管理安全性設定檔群組
• 建立及管理自訂鏡像安全設定檔