Profil keamanan membantu Anda menentukan kebijakan pemeriksaan Lapisan 7 untuk resource Google Cloud. Ini adalah struktur kebijakan umum yang digunakan oleh endpoint firewall untuk memindai traffic yang disadap guna menyediakan layanan Lapisan aplikasi, seperti pencegahan intrusi.
Dokumen ini memberikan ringkasan mendetail tentang profil keamanan dan kemampuannya.
Spesifikasi
Profil keamanan adalah resource tingkat organisasi.
Firewall Cloud Next Generation mendukung profil keamanan jenis
threat prevention
.Setiap profil keamanan diidentifikasi secara unik oleh URL dengan elemen berikut:
- ID Organisasi: ID organisasi.
- Lokasi: cakupan profil keamanan. Lokasi selalu
ditetapkan ke
global
. - Nama: nama profil keamanan dalam format berikut:
- String yang terdiri dari 1-63 karakter
- Hanya menyertakan karakter alfanumerik atau tanda hubung (-)
- Tidak boleh diawali dengan angka
Untuk membuat ID URL unik bagi profil keamanan, gunakan format berikut:
organization/ORGANIZATION_ID/locations/LOCATION/securityProfiles/SECURITY_PROFILE_NAME
Misalnya, profil keamanan
global
example-security-profile
di organisasi2345678432
memiliki ID unik berikut:organization/2345678432/locations/global/securityProfiles/example-security-profile
Setelah membuat profil keamanan, Anda memiliki opsi untuk menambahkannya ke grup profil keamanan atau memasangnya nanti. Grup profil keamanan ini dirujuk oleh kebijakan firewall jaringan Virtual Private Cloud (VPC) tempat Anda ingin menerapkan pemeriksaan Lapisan 7.
Setiap profil keamanan harus memiliki project ID terkait. Project terkait digunakan untuk kuota dan pembatasan akses di resource profil keamanan. Jika mengautentikasi akun layanan menggunakan perintah
gcloud auth activate-service-account
, Anda dapat mengaitkan akun layanan dengan profil keamanan. Untuk mempelajari lebih lanjut cara membuat profil keamanan, lihat Membuat dan mengelola profil keamanan.
Profil keamanan pencegahan ancaman
Cloud NGFW menggunakan profil keamanan pencegahan ancaman untuk menyediakan layanan pencegahan intrusi.
Saat Anda membuat profil keamanan jenis threat-prevention
, tanda tangan ancaman default berikut
dengan tingkat keparahan default dan tindakan terkait akan ditambahkan ke profil:
- Tanda tangan deteksi kerentanan
- Tanda tangan anti-spyware
- Tanda tangan antivirus
- Tanda tangan DNS
Anda dapat menambahkan penggantian tingkat keparahan ke profil keamanan. Setiap tanda tangan default memiliki tingkat keparahan ancaman. Tingkat keparahan menunjukkan risiko ancaman yang terdeteksi. Setiap tingkat keparahan juga memiliki tindakan default terkait. Tindakan default tersebut menentukan tindakan yang diambil Cloud NGFW untuk menangani ancaman dengan tingkat keparahan tertentu. Anda dapat menggunakan profil keamanan untuk mengganti tindakan default untuk tingkat keparahan.
Tindakan berikut ini telah didukung:
- No override: melakukan tindakan default yang terkait dengan ancaman.
- Deny: mencatat ancaman dan menghapus paket.
- Pemberitahuan: mencatat ancaman dan mengizinkan sesi.
- Izinkan: mengabaikan ancaman, jika terdeteksi.
Saat Anda membuat profil keamanan, tindakan penggantian default untuk semua
tingkat keparahan akan ditetapkan ke No override
.
Anda juga dapat menambahkan penggantian tanda tangan ke profil keamanan. Setiap tanda tangan ancaman memiliki tindakan default yang terkait. Anda dapat menggunakan profil keamanan untuk mengganti tindakan default tanda tangan ancaman menggunakan tindakan sebelumnya. Penggantian tanda tangan lebih diutamakan daripada penggantian tingkat keparahan.
Untuk mempelajari lebih lanjut cara mengonfigurasi pencegahan ancaman, lihat Mengonfigurasi layanan pencegahan intrusi.
Peran Identity and Access Management
Peran Identity and Access Management (IAM) mengatur tindakan profil keamanan berikut:
- Membuat profil keamanan dalam organisasi
- Memodifikasi atau menghapus profil keamanan
- Melihat detail profil keamanan
- Melihat daftar profil keamanan di organisasi
- Menggunakan profil keamanan dalam grup profil keamanan
Tabel berikut menjelaskan peran yang diperlukan untuk setiap langkah.
Kemampuan | Peran yang diperlukan |
---|---|
Buat profil keamanan | compute.networkAdmin di organisasi tempat profil keamanan dibuat. |
Mengubah profil keamanan | compute.networkAdmin di organisasi tempat profil keamanan dibuat. |
Melihat detail tentang profil keamanan di organisasi | Salah satu peran berikut untuk organisasi: compute.networkAdmin compute.networkViewer compute.networkUser |
Melihat semua profil keamanan dalam organisasi | Salah satu peran berikut untuk organisasi: compute.networkAdmin compute.networkViewer compute.networkUser |
Menggunakan profil keamanan di grup profil keamanan | Salah satu peran berikut untuk organisasi: compute.networkAdmin compute.networkUser |
Kuota
Untuk melihat kuota yang terkait dengan profil keamanan, lihat Kuota dan batas.
Harga
Harga untuk profil keamanan dijelaskan dalam harga Cloud Next Generation Firewall Enterprise.