Sicherheitsprofilgruppen

Eine Sicherheitsprofilgruppe ist ein Container für Sicherheitsprofile. Eine Firewallrichtlinienregel verweist auf eine Sicherheitsprofilgruppe, um die Layer-7-Prüfung wie die Einbruchsprävention in Ihrem Netzwerk zu aktivieren.

Dieses Dokument bietet eine detaillierte Übersicht über Sicherheitsprofilgruppen und deren Funktionen.

Spezifikationen

  • Eine Sicherheitsprofilgruppe ist eine Ressource auf Organisationsebene.

  • Sie können einer Sicherheitsprofilgruppe nur ein Sicherheitsprofil vom Typ threat-prevention hinzufügen.

  • Jede Sicherheitsprofilgruppe wird eindeutig durch eine URL mit den folgenden Elementen identifiziert:

    • Organisations-ID: ID der Organisation.
    • Standort: Geltungsbereich der Sicherheitsprofilgruppe. Der Standort ist immer auf global festgelegt.
    • Name: Name der Sicherheitsprofilgruppe im folgenden Format:
      • Ein String mit 1 bis 63 Zeichen
      • Enthält nur alphanumerische Zeichen oder Bindestriche (-)
      • Darf nicht mit einer Ziffer beginnen

    Verwenden Sie das folgende Format, um eine eindeutige URL-ID für eine Sicherheitsprofilgruppe zu erstellen:

    organization/ORGANIZATION_ID/locations/LOCATION/securityProfileGroups/SECURITY_PROFILE_GROUP_NAME

    Ein global-Sicherheitsprofil example-security-profile-group in der Organisation 2345678432 hat beispielsweise die folgende eindeutige Kennung:

    organization/2345678432/locations/global/securityProfileGroups/example-security-profile-group

  • Eine Firewallrichtlinienrichtlinie muss den Namen der Sicherheitsgruppe enthalten, die vom Firewall-Endpunkt verwendet werden soll, um eine Layer-7-Prüfung für den Netzwerk-Traffic durchzuführen.

  • Sicherheitsprofilgruppen gelten nur für Firewallrichtlinien, wenn Sie eine Firewallrichtlinienregel mit der Aktion apply_security_profile_group hinzufügen. Sie können Sicherheitsprofilgruppen in hierarchischen Firewallrichtlinienregeln und globalen Netzwerk-Firewallrichtlinienregeln konfigurieren.

  • Die Firewallrichtlinienregel gilt für eingehenden und ausgehenden Traffic des VPC-Netzwerks (Virtual Private Cloud). Der übereinstimmende Traffic wird zusammen mit dem konfigurierten Namen der Sicherheitsprofilgruppe an den Firewall-Endpunkt weitergeleitet. Der Firewall-Endpunkt verwendet das in der Sicherheitsprofilgruppe angegebene Sicherheitsprofil, um die Pakete auf Bedrohungen zu scannen und konfigurierte Aktionen anzuwenden.

    Weitere Informationen zum Konfigurieren der Bedrohungsprävention finden Sie unter Dienst zur Einbruchsprävention konfigurieren.

  • Jeder Sicherheitsprofilgruppe muss eine Projekt-ID zugeordnet sein. Das zugehörige Projekt wird für Kontingente und Zugriffsbeschränkungen für Sicherheitsprofilgruppenressourcen verwendet. Wenn Sie Ihr Dienstkonto mit dem Befehl gcloud auth activate-service-account authentifizieren, können Sie Ihr Dienstkonto der Gruppe der Sicherheitsprofile zuordnen. Weitere Informationen zum Erstellen einer Profilgruppe finden Sie unter Sicherheitsprofilgruppen erstellen und verwalten.

Identitäts- und Zugriffsverwaltungsrollen

IAM-Rollen (Identity and Access Management) steuern die folgenden Aktionen für Sicherheitsprofilgruppen:

  • Sicherheitsprofilgruppe in einer Organisation erstellen
  • Sicherheitsprofilgruppe ändern oder löschen
  • Details einer Sicherheitsprofilgruppe ansehen
  • Liste der Sicherheitsprofilgruppen in einer Organisation aufrufen
  • Sicherheitsprofilgruppe in einer Firewallrichtlinienregel verwenden

In der folgenden Tabelle werden die Rollen beschrieben, die für jeden Schritt erforderlich sind.

Funktion Erforderliche Rolle
Sicherheitsprofilgruppe erstellen Rolle compute.networkAdmin für die Organisation, in der die Sicherheitsprofilgruppe erstellt wird.
Sicherheitsprofilgruppe ändern Rolle compute.networkAdmin für die Organisation, in der die Sicherheitsprofilgruppe erstellt wird.
Details zur Sicherheitsprofilgruppe in einer Organisation ansehen Eine der folgenden Rollen für die Organisation:
compute.networkAdmin
compute.networkViewer
compute.networkUser
Alle Sicherheitsprofilgruppen in einer Organisation ansehen Eine der folgenden Rollen für die Organisation:
compute.networkAdmin
compute.networkViewer
compute.networkUser
Sicherheitsprofilgruppe in einer Firewallrichtlinienregel verwenden Eine der folgenden Rollen für die Organisation:
compute.networkAdmin
compute.networkUser

Nächste Schritte