Grup profil keamanan adalah penampung untuk profil keamanan. Aturan kebijakan firewall merujuk pada grup profil keamanan untuk mengaktifkan pemeriksaan Lapisan 7, seperti pencegahan intrusi, di jaringan Anda.
Dokumen ini memberikan ringkasan mendetail tentang grup profil keamanan dan kemampuannya.
Spesifikasi
Grup profil keamanan adalah resource tingkat organisasi.
Anda hanya dapat menambahkan satu profil keamanan berjenis
threat-preventionke grup profil keamanan.Setiap grup profil keamanan diidentifikasi secara unik oleh URL dengan elemen berikut:
- ID Organisasi: ID organisasi.
- Lokasi: cakupan grup profil keamanan. Lokasi selalu
ditetapkan ke
global. - Nama: nama grup profil keamanan dalam format berikut:
- String yang terdiri dari 1-63 karakter
- Hanya menyertakan karakter alfanumerik atau tanda hubung (-)
- Tidak boleh diawali dengan angka
Untuk membuat ID URL unik bagi grup profil keamanan, gunakan format berikut:
organization/ORGANIZATION_ID/locations/LOCATION/securityProfileGroups/SECURITY_PROFILE_GROUP_NAMEMisalnya, profil keamanan
globalexample-security-profile-groupdi organisasi2345678432memiliki ID unik berikut:organization/2345678432/locations/global/securityProfileGroups/example-security-profile-groupUntuk melakukan pemeriksaan Lapisan 7 traffic jaringan, aturan kebijakan firewall harus berisi nama grup profil keamanan yang akan digunakan oleh endpoint firewall.
Grup profil keamanan hanya berlaku untuk kebijakan firewall jika Anda menambahkan aturan kebijakan firewall dengan tindakan
apply_security_profile_group. Anda dapat mengonfigurasi grup profil keamanan di aturan kebijakan firewall hierarkis dan aturan kebijakan firewall jaringan global.Aturan kebijakan firewall berlaku untuk traffic masuk dan keluar jaringan Virtual Private Cloud (VPC). Traffic yang cocok dialihkan ke endpoint firewall bersama dengan nama grup profil keamanan yang dikonfigurasi. Endpoint firewall menggunakan profil keamanan yang ditentukan dalam grup profil keamanan untuk memindai paket guna menemukan ancaman dan menerapkan tindakan yang dikonfigurasi.
Untuk mempelajari lebih lanjut cara mengonfigurasi pencegahan ancaman, lihat Mengonfigurasi layanan pencegahan intrusi.
Setiap grup profil keamanan harus memiliki project ID terkait. Project terkait digunakan untuk kuota dan pembatasan akses di resource grup profil keamanan. Jika mengautentikasi akun layanan menggunakan perintah
gcloud auth activate-service-account, Anda dapat mengaitkan akun layanan dengan grup profil keamanan. Untuk mempelajari lebih lanjut cara membuat grup profil, lihat Membuat dan mengelola grup profil keamanan.
Peran Identity and Access Management
Peran Identity and Access Management (IAM) mengatur tindakan grup profil keamanan berikut:
- Membuat grup profil keamanan dalam organisasi
- Memodifikasi atau menghapus grup profil keamanan
- Melihat detail grup profil keamanan
- Melihat daftar grup profil keamanan dalam organisasi
- Menggunakan grup profil keamanan dalam aturan kebijakan firewall
Tabel berikut menjelaskan peran yang diperlukan untuk setiap langkah.
| Kemampuan | Peran yang diperlukan |
|---|---|
| Buat grup profil keamanan | compute.networkAdmin di organisasi tempat grup profil keamanan dibuat. |
| Mengubah grup profil keamanan | compute.networkAdmin di organisasi tempat grup profil keamanan dibuat. |
| Melihat detail tentang grup profil keamanan di organisasi | Salah satu peran berikut untuk organisasi: compute.networkAdmin compute.networkViewer compute.networkUser |
| Melihat semua grup profil keamanan dalam organisasi | Salah satu peran berikut untuk organisasi: compute.networkAdmin compute.networkViewer compute.networkUser |
| Menggunakan grup profil keamanan dalam aturan kebijakan firewall | Salah satu peran berikut untuk organisasi: compute.networkAdmin compute.networkUser |