安全配置文件可帮助您为 Google Cloud 资源定义第 7 层检查政策。它们是通用政策结构,防火墙端点使用它们来扫描拦截的流量以提供应用层服务,例如入侵防御。
本文档详细介绍了安全配置文件及其功能。
规格
安全配置文件是组织级层资源。
Cloud 新一代防火墙支持
threat prevention类型的安全配置文件。每个安全配置文件都由包含以下元素的网址唯一标识:
- 组织 ID:组织的 ID。
- 位置:安全配置文件的范围。位置始终设置为
global。 - 名称:安全配置文件名称,格式如下:
- 长度为 1-63 个字符的字符串
- 仅包含字母数字字符或连字符 (-)
- 不能以数字开头
如需为安全配置文件组构建唯一的网址标识符,请使用以下格式:
organization/ORGANIZATION_ID/locations/LOCATION/securityProfiles/SECURITY_PROFILE_NAME例如,组织
2345678432中的global安全配置文件example-security-profile具有以下唯一标识符:organization/2345678432/locations/global/securityProfiles/example-security-profile创建安全配置文件后,您可以选择将其附加到安全配置文件组,也可以稍后再附加。此安全配置文件组由您要强制执行第 7 层检查的 Virtual Private Cloud (VPC) 网络的防火墙政策引用。
每个安全配置文件都必须具有关联的项目 ID。关联项目用于安全配置文件资源的配额和访问权限限制。如果您使用
gcloud auth activate-service-account命令对您的服务账号进行身份验证,则可以将您的服务账号与安全配置文件相关联。如需详细了解如何创建安全配置文件,请参阅创建和管理安全配置文件。
威胁防护安全配置文件
Cloud NGFW 使用威胁防护安全配置文件来提供入侵防御服务。
当您创建 threat-prevention 类型的安全配置文件时,系统会将具有默认严重级别和关联操作的以下默认威胁签名添加到配置文件中:
- 漏洞检测签名
- 反间谍软件签名
- 防病毒签名
- DNS 签名
您可以选择向安全配置文件添加严重级别替换项。每个默认签名都有一个威胁严重级别。严重级别表示检测到的威胁的风险。每个严重级别还具有一个关联的默认操作。默认操作指定 Cloud NGFW 处理具有特定严重级别的威胁的措施。您可以使用安全配置文件来替换严重级别的默认操作。
系统支持以下操作:
- 禁止替换:执行与威胁关联的默认操作。
- 拒绝:记录威胁并丢弃数据包。
- 提醒:记录威胁并允许会话。
- 允许:检测到威胁时忽略威胁。
创建安全配置文件时,所有严重级别的默认替换操作都会设置为 No override。
您还可以向安全配置文件添加签名替换项。每个威胁签名都有一个关联的默认操作。您可以按照上述操作,使用安全配置文件替换威胁签名的默认操作。 签名替换项优先于严重级别替换项。
如需详细了解如何配置威胁防护,请参阅配置入侵防御服务。
Identity and Access Management 角色
Identity and Access Management (IAM) 角色控制以下安全配置文件操作:
- 在组织中创建安全配置文件
- 修改或删除安全配置文件
- 查看安全配置文件的详细信息
- 查看组织中的安全配置文件列表
- 使用安全配置文件组中的安全配置文件
下表介绍了每个步骤所需的角色。
| 特性 | 必要角色 |
|---|---|
| 创建安全配置文件 | 创建安全配置文件的组织的 compute.networkAdmin 角色。 |
| 修改安全配置文件 | 创建安全配置文件的组织的 compute.networkAdmin 角色。 |
| 查看组织中安全配置文件的详细信息 | 组织的以下角色之一: compute.networkAdmin compute.networkViewer compute.networkUser |
| 查看组织中的所有安全配置文件 | 组织的以下角色之一: compute.networkAdmin compute.networkViewer compute.networkUser |
| 使用安全配置文件组中的安全配置文件 | 组织的以下角色之一: compute.networkAdmin compute.networkUser |
配额
如需查看与安全配置文件关联的配额,请参阅配额和限制。
价格
如需了解安全配置文件的价格,请参阅 Cloud NGFW 价格。