Grup profil keamanan adalah penampung untuk profil keamanan. Aturan kebijakan firewall mereferensikan grup profil keamanan untuk mengaktifkan inspeksi Layer 7, seperti layanan pemfilteran URL dan layanan deteksi dan pencegahan penyusupan, di jaringan Anda.
Dokumen ini memberikan ringkasan mendetail tentang grup profil keamanan dan kemampuannya.
Spesifikasi
Grup profil keamanan adalah resource tingkat organisasi.
Dalam grup profil keamanan, Anda dapat menambahkan profil keamanan jenis
url-filteringatauthreat-preventiondalam urutan apa pun.
Grup profil keamanan hanya dapat berisi satu profil keamanan dari setiap jenis. Jika Anda ingin menambahkan dua profil, profil tersebut harus memiliki jenis yang berbeda. Misalnya, jika Anda menambahkan profil keamanan jenis url-filtering, Anda dapat menambahkan profil kedua jenis threat-prevention untuk memindai traffic selain memfilternya.
Setiap grup profil keamanan diidentifikasi secara unik oleh URL dengan elemen berikut:
- ID Organisasi: ID organisasi.
- Lokasi: cakupan grup profil keamanan. Lokasi selalu
ditetapkan ke
global. - Nama: nama grup profil keamanan dalam format berikut:
- String sepanjang 1-63 karakter
- Hanya berisi karakter alfanumerik atau tanda hubung (-)
- Tidak boleh diawali dengan angka
Untuk membuat ID URL unik untuk grup profil keamanan, gunakan format berikut:
organization/ORGANIZATION_ID/locations/LOCATION/securityProfileGroups/SECURITY_PROFILE_GROUP_NAMEMisalnya,
globalgrup profil keamananexample-security-profile-groupdi organisasi2345678432memiliki ID unik berikut:organization/2345678432/locations/global/securityProfileGroups/example-security-profile-groupUntuk melakukan inspeksi Lapisan 7 pada traffic jaringan, aturan kebijakan firewall harus berisi nama grup profil keamanan yang akan digunakan oleh endpoint firewall.
Grup profil keamanan hanya berlaku untuk kebijakan firewall saat Anda menambahkan aturan kebijakan firewall dengan tindakan
apply_security_profile_group. Anda dapat mengonfigurasi grup profil keamanan dalam aturan kebijakan firewall hierarkis dan aturan kebijakan firewall jaringan global.Aturan kebijakan firewall berlaku untuk traffic masuk dan keluar dari jaringan Virtual Private Cloud (VPC). Traffic yang cocok akan dialihkan ke endpoint firewall bersama dengan nama grup profil keamanan yang dikonfigurasi. Endpoint firewall menggunakan profil keamanan yang ditentukan dalam grup profil keamanan untuk memeriksa informasi indikasi nama server (SNI) dan domain, memindai paket untuk mendeteksi ancaman, dan menerapkan tindakan yang dikonfigurasi.
Endpoint firewall menjalankan profil keamanan pemfilteran URL terlebih dahulu, lalu menjalankan profil keamanan pencegahan ancaman. Namun, jika endpoint mendeteksi kemungkinan ancaman di header pesan HTTP(S), endpoint dapat menggunakan layanan deteksi dan pencegahan penyusupan terlebih dahulu untuk mengevaluasi dan memblokir traffic sesuai kebutuhan. Traffic yang dievaluasi dan tidak diblokir oleh layanan deteksi dan pencegahan penyusupan kemudian diproses oleh layanan pemfilteran URL.
Untuk mempelajari lebih lanjut cara mengonfigurasi layanan pemfilteran URL, lihat Mengonfigurasi layanan pemfilteran URL.
Untuk mempelajari lebih lanjut cara mengonfigurasi pencegahan ancaman, lihat Mengonfigurasi layanan deteksi dan pencegahan penyusupan.
Setiap grup profil keamanan harus memiliki ID project terkait. Project terkait digunakan untuk kuota dan batasan akses pada resource grup profil keamanan. Jika Anda mengautentikasi akun layanan menggunakan perintah
gcloud auth activate-service-account, Anda dapat mengaitkan akun layanan dengan grup profil keamanan. Untuk mempelajari lebih lanjut cara membuat grup profil, lihat Membuat grup profil keamanan.
Peran Identity and Access Management
Peran Identity and Access Management (IAM) mengatur tindakan grup profil keamanan berikut:
- Membuat grup profil keamanan di organisasi
- Mengubah atau menghapus grup profil keamanan
- Melihat detail grup profil keamanan
- Melihat daftar grup profil keamanan dalam organisasi
- Menggunakan grup profil keamanan dalam aturan kebijakan firewall
Tabel berikut menjelaskan peran yang diperlukan untuk setiap langkah.
| Kemampuan | Peran yang diperlukan |
|---|---|
| Membuat grup profil keamanan | Admin Profil Keamanan (roles/networksecurity.securityProfileAdmin)
dan peran Admin Jaringan Compute (roles/compute.networkAdmin) di organisasi tempat grup profil keamanan dibuat. |
| Mengubah grup profil keamanan | Admin Profil Keamanan (roles/networksecurity.securityProfileAdmin)
dan peran Admin Jaringan Compute (roles/compute.networkAdmin) di organisasi tempat grup profil keamanan dibuat. |
| Melihat detail tentang grup profil keamanan dalam organisasi | Salah satu peran berikut untuk organisasi: Admin Profil Keamanan ( roles/networksecurity.securityProfileAdmin)Admin Jaringan Compute ( roles/compute.networkAdmin)Pengguna Jaringan Compute ( roles/compute.networkUser)Pelihat Jaringan Compute ( roles/compute.networkViewer) |
| Melihat semua grup profil keamanan dalam organisasi | Salah satu peran berikut untuk organisasi: Admin Profil Keamanan ( roles/networksecurity.securityProfileAdmin)Admin Jaringan Compute ( roles/compute.networkAdmin)Pengguna Jaringan Compute ( roles/compute.networkUser)Pelihat Jaringan Compute ( roles/compute.networkViewer) |
| Menggunakan grup profil keamanan dalam aturan kebijakan firewall | Salah satu peran berikut untuk organisasi: Admin Profil Keamanan ( roles/networksecurity.securityProfileAdmin)Admin Jaringan Compute ( roles/compute.networkAdmin)Pengguna Jaringan Compute ( roles/compute.networkUser) |
Langkah berikutnya
- Mengonfigurasi layanan pemfilteran URL
- Mengonfigurasi layanan deteksi dan pencegahan penyusupan
- Membuat dan mengelola grup profil keamanan