Ringkasan profil keamanan

Profil keamanan membantu Anda menentukan kebijakan inspeksi Layer 7 untuk Google Cloud resource Anda. Struktur kebijakan ini bersifat umum yang digunakan oleh endpoint firewall untuk memindai traffic yang dicegat guna menyediakan layanan Layer aplikasi, seperti deteksi dan pencegahan penyusupan.

Dokumen ini memberikan ringkasan mendetail tentang profil keamanan dan kemampuannya.

Spesifikasi

• Profil keamanan adalah resource tingkat organisasi.

• Cloud Next Generation Firewall mendukung profil keamanan jenis threat prevention.

• Setiap profil keamanan diidentifikasi secara unik oleh URL dengan elemen berikut:

  • ID Organisasi: ID organisasi.
  • Lokasi: cakupan profil keamanan. Lokasi selalu ditetapkan ke global.
  • Nama: nama profil keamanan dalam format berikut:
    • String sepanjang 1-63 karakter
    • Hanya berisi karakter alfanumerik atau tanda hubung (-)
    • Tidak boleh diawali dengan angka

• Untuk membuat ID URL unik untuk profil keamanan, gunakan format berikut:

  organization/ORGANIZATION_ID/locations/LOCATION/securityProfiles/SECURITY_PROFILE_NAME
  

  Misalnya, global profil keamanan example-security-profile di organisasi 2345678432 memiliki ID unik berikut:

  organization/2345678432/locations/global/securityProfiles/example-security-profile
  

• Setelah membuat profil keamanan, Anda memiliki opsi untuk melampirkannya ke grup profil keamanan atau melampirkannya nanti. Grup profil keamanan ini dirujuk oleh kebijakan firewall jaringan Virtual Private Cloud (VPC) tempat Anda ingin menerapkan inspeksi Layer 7.

• Setiap profil keamanan harus memiliki ID project terkait. Project terkait digunakan untuk kuota dan batasan akses pada resource profil keamanan. Jika Anda mengautentikasi akun layanan menggunakan perintah gcloud auth activate-service-account, Anda dapat mengaitkan akun layanan dengan profil keamanan. Untuk mempelajari lebih lanjut cara membuat profil keamanan, lihat Membuat dan mengelola profil keamanan.

Profil keamanan pencegahan ancaman

Cloud NGFW menggunakan profil keamanan pencegahan ancaman untuk menyediakan layanan deteksi dan pencegahan penyusupan.

Saat Anda membuat profil keamanan jenis threat-prevention, tanda tangan ancaman default dengan tingkat keseriusan default dan tindakan terkait akan ditambahkan ke profil:

• Tanda tangan deteksi kerentanan
• Tanda tangan anti-spyware
• Tanda tangan antivirus
• Tanda tangan DNS

Anda memiliki opsi untuk menambahkan penggantian tingkat keparahan ke profil keamanan Anda. Setiap tanda tangan default memiliki tingkat keparahan ancaman. Tingkat keparahan menunjukkan risiko ancaman yang terdeteksi. Setiap tingkat keparahan juga memiliki tindakan default terkait. Tindakan default menentukan langkah-langkah yang dilakukan Cloud NGFW untuk menangani ancaman dengan tingkat keparahan tertentu. Anda dapat menggunakan profil keamanan untuk mengganti tindakan default untuk tingkat keparahan.

Tindakan berikut didukung:

• Tanpa penggantian: melakukan tindakan default yang terkait dengan ancaman.
• Tolak: mencatat ancaman dan membuang paket.
• Peringatan: mencatat ancaman dan mengizinkan sesi.
• Izinkan: mengabaikan ancaman, jika terdeteksi.

Saat Anda membuat profil keamanan, tindakan penggantian default untuk semua tingkat keparahan ditetapkan ke No override.

Anda juga dapat menambahkan penggantian tanda tangan ke profil keamanan Anda. Setiap tanda tangan ancaman memiliki tindakan default terkait. Anda dapat menggunakan profil keamanan untuk mengganti tindakan default tanda tangan ancaman dengan menggunakan tindakan sebelumnya. Penggantian tanda tangan lebih diutamakan daripada penggantian tingkat keparahan.

Untuk mempelajari lebih lanjut cara mengonfigurasi pencegahan ancaman, lihat Mengonfigurasi layanan deteksi dan pencegahan penyusupan.

Peran Identity and Access Management

Peran Identity and Access Management (IAM) mengatur tindakan profil keamanan berikut:

• Membuat profil keamanan di organisasi
• Mengubah atau menghapus profil keamanan
• Melihat detail profil keamanan
• Melihat daftar profil keamanan dalam organisasi
• Menggunakan profil keamanan dalam grup profil keamanan

Tabel berikut menjelaskan peran yang diperlukan untuk setiap langkah.

Kemampuan	Peran yang diperlukan
Membuat profil keamanan	Peran Admin Profil Keamanan di organisasi tempat profil keamanan dibuat.
Mengubah profil keamanan	Peran Admin Profil Keamanan di organisasi tempat profil keamanan dibuat.
Melihat detail tentang profil keamanan dalam organisasi	Salah satu peran berikut untuk organisasi: Admin Profil Keamanan compute.networkViewer compute.networkUser
Melihat semua profil keamanan dalam organisasi	Salah satu peran berikut untuk organisasi: Admin Profil Keamanan compute.networkViewer compute.networkUser
Menggunakan profil keamanan dalam grup profil keamanan	Salah satu peran berikut untuk organisasi: Admin Profil Keamanan compute.networkUser

Kuota

Untuk melihat kuota yang terkait dengan profil keamanan, lihat Kuota dan batas.

Harga

Harga untuk profil keamanan dijelaskan dalam harga Cloud NGFW.

Langkah berikutnya

• Mengonfigurasi layanan deteksi dan pencegahan penyusupan
• Membuat dan mengelola profil keamanan