セキュリティ プロファイル グループの概要

セキュリティ プロファイル グループは、セキュリティ プロファイルのコンテナです。ファイアウォール ポリシールールは、セキュリティ プロファイル グループを参照して、ネットワーク侵入防止などのレイヤ 7 検査を有効にします。

このドキュメントでは、セキュリティ プロファイル グループとその機能について詳しく説明します。

仕様

  • セキュリティ プロファイル グループは組織レベルのリソースです。

  • セキュリティ プロファイル グループには、threat-prevention タイプのセキュリティ プロファイルを 1 つだけ追加できます。

  • 各セキュリティ プロファイル グループは、次の要素を含む URL で一意に識別されます。

    • 組織 ID: 組織の ID。
    • ロケーション: セキュリティ プロファイル グループのスコープ。ロケーションは常に global に設定されます。
    • 名前: セキュリティ プロファイル グループ名。次の形式で指定します。
      • 1~63 文字の文字列
      • 英数字とハイフン(-)のみを使用
      • 先頭は数字以外

    セキュリティ プロファイル グループの一意の URL 識別子を作成するには、次の形式を使用します。

    organization/ORGANIZATION_ID/locations/LOCATION/securityProfileGroups/SECURITY_PROFILE_GROUP_NAME

    たとえば、組織 2345678432global セキュリティ プロファイル example-security-profile-group には、次のような固有識別子を設定します。

    organization/2345678432/locations/global/securityProfileGroups/example-security-profile-group

  • ネットワーク トラフィックのレイヤ 7 検査を行うには、ファイアウォール エンドポイントで使用されるセキュリティ プロファイル グループの名前をファイアウォール ポリシールールに含める必要があります。

  • セキュリティ プロファイル グループは、アクション apply_security_profile_group を使用してファイアウォール ポリシー ルールを追加する場合にのみ、ファイアウォール ポリシーに適用されます。セキュリティ プロファイル グループは、階層型ファイアウォール ポリシー ルールグローバル ネットワーク ファイアウォール ポリシー ルールで構成できます。

  • ファイアウォール ポリシー ルールは、Virtual Private Cloud(VPC)ネットワークの受信トラフィックと送信トラフィックに適用されます。一致したトラフィックは、構成済みのセキュリティ プロファイル グループ名とともにファイアウォール エンドポイントにリダイレクトされます。ファイアウォール エンドポイントは、セキュリティ プロファイル グループで指定されたセキュリティ プロファイルを使用して、パケットの脅威をスキャンし、構成済みのアクションを適用します。

    脅威防止の構成方法については、侵入防止サービスを構成するをご覧ください。

  • 各セキュリティ プロファイル グループにはプロジェクト ID が関連付けられている必要があります。関連付けられたプロジェクトは、セキュリティ プロファイル グループ リソースに対する割り当てとアクセス制限に使用されます。gcloud auth activate-service-account コマンドを使用してサービス アカウントを認証する場合は、サービス アカウントをセキュリティ プロファイル グループに関連付けることができます。プロファイル グループを作成する詳しい方法については、セキュリティ プロファイル グループの作成と管理をご覧ください。

Identity and Access Management ロール

Identity and Access Management(IAM)のロールは、次のセキュリティ プロファイル グループのアクションを管理します。

  • 組織でのセキュリティ プロファイル グループの作成
  • セキュリティ プロファイル グループの変更または削除
  • セキュリティ プロファイル グループの詳細の表示
  • 組織内のセキュリティ プロファイル グループの一覧表示
  • ファイアウォール ポリシー ルールでのセキュリティ プロファイル グループの使用

次の表に、各ステップに必要なロールを示します。

機能 必要なロール
セキュリティ プロファイル グループを作成する セキュリティ プロファイル グループが作成される組織に対する compute.networkAdmin ロール。
セキュリティ プロファイル グループを変更する セキュリティ プロファイル グループが作成される組織に対する compute.networkAdmin ロール。
組織のセキュリティ プロファイル グループの詳細を表示する 組織に対する次のいずれかのロール:
compute.networkAdmin
compute.networkViewer
compute.networkUser
組織内のすべてのセキュリティ プロファイル グループを表示する 組織に対する次のいずれかのロール:
compute.networkAdmin
compute.networkViewer
compute.networkUser
ファイアウォール ポリシー ルールでセキュリティ プロファイル グループを使用する 組織に対する次のいずれかのロール:
compute.networkAdmin
compute.networkUser

次のステップ