安全設定檔可協助您為資源定義第 7 層檢查政策。Google Cloud 這些是防火牆端點使用的通用政策結構,可掃描攔截的流量,提供入侵偵測和防範等應用程式層服務。
本文件詳細說明安全設定檔及其功能。
規格
安全性設定檔是機構層級的資源。
Cloud Next Generation Firewall 支援
threat prevention類型的安全性設定檔。每個安全性設定檔都有專屬網址,包含下列元素:
- 機構 ID:機構的 ID。
- 位置:安全性設定檔的範圍。位置一律設為「
global」。 - 名稱:安全性設定檔名稱,格式如下:
- 長度介於 1 至 63 個字元的字串
- 只能包含英數字元或連字號 (-)
- 開頭不得為數字
如要為安全性設定檔建構專屬網址 ID,請使用下列格式:
organization/ORGANIZATION_ID/locations/LOCATION/securityProfiles/SECURITY_PROFILE_NAME舉例來說,機構
2345678432中的global安全性設定檔example-security-profile具有下列專屬 ID:organization/2345678432/locations/global/securityProfiles/example-security-profile建立安全性設定檔後,您可以選擇將其附加至安全性設定檔群組,也可以稍後再附加。您要強制執行第 7 層檢查的虛擬私有雲 (VPC) 網路防火牆政策,會參照這個安全性設定檔群組。
每個安全性設定檔都必須有相關聯的專案 ID。相關聯的專案會用於安全設定檔資源的配額和存取限制。如果您使用
gcloud auth activate-service-account指令驗證服務帳戶,可以將服務帳戶與安全性設定檔建立關聯。如要進一步瞭解如何建立安全性設定檔,請參閱「建立及管理安全性設定檔」。
威脅防護安全性設定檔
Cloud NGFW 會使用威脅防範安全性設定檔,提供入侵偵測與防範服務。
建立 threat-prevention 類型的安全性設定檔時,系統會將下列預設威脅簽章連同預設嚴重程度和相關聯的動作,一併新增至設定檔:
- 安全漏洞偵測簽章
- 反間諜軟體簽章
- 防毒特徵碼
- DNS 簽章
您可以選擇在安全性設定檔中新增嚴重程度覆寫。每個預設簽章都有威脅嚴重性等級。嚴重程度等級代表偵測到的威脅風險。每個嚴重性等級也都有相關聯的預設動作。預設動作會指定 Cloud NGFW 採取哪些措施,來處理特定嚴重程度的威脅。您可以使用安全設定檔,覆寫嚴重性等級的預設動作。
支援的動作如下:
- 不覆寫:執行與威脅相關聯的預設動作。
- 拒絕:記錄威脅並捨棄封包。
- 警示:記錄威脅並允許工作階段。
- 允許:忽略偵測到的威脅。
建立安全性設定檔時,所有嚴重程度的預設覆寫動作都會設為 No override。
您也可以在安全性設定檔中新增簽章覆寫。每個威脅簽章都有相關聯的預設動作。您可以透過安全性設定檔,使用上述動作覆寫威脅簽章的預設動作。簽章覆寫動作的優先順序高於嚴重程度覆寫動作。
如要進一步瞭解如何設定威脅防護功能,請參閱「設定入侵偵測和防護服務」。
身分與存取權管理角色
Identity and Access Management (IAM) 角色會控管下列安全性設定檔動作:
- 在機構中建立安全性設定檔
- 修改或刪除安全性設定檔
- 查看安全性設定檔詳細資料
- 查看機構中的安全性設定檔清單
- 在安全性設定檔群組中使用安全性設定檔
下表說明每個步驟所需的角色。
| 能力 | 必要角色 |
|---|---|
| 建立安全性設定檔 | 在建立安全性設定檔的機構中,具有安全性設定檔管理員角色。 |
| 修改安全性設定檔 | 在建立安全性設定檔的機構中,具有安全性設定檔管理員角色。 |
| 查看機構中安全性設定檔的詳細資料 | 機構的下列任一角色: 安全性設定檔管理員 compute.networkViewer compute.networkUser |
| 查看機構中的所有安全設定檔 | 機構的下列任一角色: 安全性設定檔管理員 compute.networkViewer compute.networkUser |
| 在安全性設定檔群組中使用安全性設定檔 | 機構的下列任一角色: 安全性設定檔管理員 compute.networkUser |
配額
如要查看與安全性設定檔相關聯的配額,請參閱「配額與限制」。
定價
如要瞭解安全性設定檔的價格,請參閱 Cloud NGFW 定價。