보안 프로필 그룹 개요

보안 프로필 그룹은 보안 프로필의 컨테이너입니다. 방화벽 정책 규칙은 보안 프로필 그룹을 참조하여 네트워크에 침입 방지와 같은 레이어 7 검사를 사용 설정합니다.

이 문서에서는 보안 프로필 그룹과 해당 기능을 자세히 설명합니다.

사양

• 보안 프로필 그룹은 조직 수준 리소스입니다.

• 보안 그룹 프로필에는 threat-prevention 유형의 보안 프로필만 추가할 수 있습니다.

• 각 보안 프로필 그룹은 다음 요소가 있는 URL로 고유하게 식별됩니다.

  • 조직 ID: 조직 ID입니다.
  • 위치: 보안 프로필 그룹 범위입니다. 위치는 항상 global로 설정됩니다.
  • 이름: 다음 형식의 보안 프로필 그룹 이름입니다.
    • 1~63자(영문 기준)의 문자열
    • 영숫자 문자 또는 하이픈(-)만 포함
    • 숫자로 시작하지 않아야 함

  보안 프로필 그룹의 고유한 URL 식별자를 구성하려면 다음 형식을 사용합니다.

  organization/ORGANIZATION_ID/locations/LOCATION/securityProfileGroups/SECURITY_PROFILE_GROUP_NAME
  

  예를 들어 2345678432 조직의 global 보안 프로필 example-security-profile-group에는 다음과 같은 고유 식별자가 있습니다.

  organization/2345678432/locations/global/securityProfileGroups/example-security-profile-group
  

• 네트워크 트래픽의 레이어 7 검사를 수행하려면 방화벽 정책 규칙에 방화벽 엔드포인트에서 사용할 보안 프로필 그룹의 이름이 포함되어야 합니다.

• 보안 프로필 그룹은 apply_security_profile_group 작업으로 방화벽 정책 규칙을 추가하는 경우에만 방화벽 정책에 적용됩니다. 계층식 방화벽 정책 규칙 및 전역 네트워크 방화벽 정책 규칙에서 보안 프로필 그룹을 구성할 수 있습니다.

• 방화벽 정책 규칙은 Virtual Private Cloud(VPC) 네트워크의 수신 및 발신 트래픽에 적용됩니다. 일치하는 트래픽은 구성된 보안 프로필 그룹 이름과 함께 방화벽 엔드포인트로 리디렉션됩니다. 방화벽 엔드포인트는 보안 프로필 그룹에 지정된 보안 프로필을 사용하여 패킷에 위협이 있는지 검사하고 구성된 작업을 적용합니다.

  위협 방지를 구성하는 방법에 대한 자세한 내용은 침입 방지 서비스 구성을 참조하세요.

• 각 보안 프로필 그룹에는 연결된 프로젝트 ID가 있어야 합니다. 연결된 프로젝트는 보안 프로필 그룹 리소스의 할당량, 액세스 제한에 사용됩니다. gcloud auth activate-service-account 명령어를 사용하여 서비스 계정을 인증하는 경우 서비스 계정을 보안 프로필 그룹과 연결할 수 있습니다. 프로필 그룹을 만드는 방법에 대한 자세한 내용은 보안 프로필 그룹 만들기 및 관리를 참조하세요.

Identity and Access Management 역할

Identity and Access Management(IAM) 역할은 다음 보안 프로필 그룹 작업을 제어합니다.

• 조직에 보안 프로필 그룹 만들기
• 보안 프로필 그룹 수정 또는 삭제
• 보안 프로필 그룹의 세부정보 보기
• 조직의 보안 프로필 그룹 목록 보기
• 방화벽 정책 규칙에서 보안 프로필 그룹 사용

다음 표에서는 각 단계에 필요한 역할을 설명합니다.

다음 단계

• 침입 방지 서비스 구성
• 보안 프로필 그룹 만들기 및 관리