보안 프로필은 Google Cloud 리소스에 대한 레이어 7 검사 정책을 정의하는 데 도움이 됩니다. 침입 방지와 같은 애플리케이션 레이어 서비스를 제공하기 위해 가로채기 트래픽을 스캔하는 방화벽 엔드포인트에서 사용하는 일반 정책 구조입니다.
이 문서에서는 보안 프로필 개요와 해당 기능을 자세히 설명합니다.
사양
보안 프로필은 조직 수준 리소스입니다.
Cloud Next Generation Firewall은
threat prevention유형의 보안 프로필을 지원합니다.각 보안 프로필은 다음 요소가 있는 URL로 고유하게 식별됩니다.
- 조직 ID: 조직 ID입니다.
- 위치: 보안 프로필 범위입니다. 위치는 항상
global로 설정됩니다. - 이름: 다음 형식의 보안 프로필 이름입니다.
- 1~63자(영문 기준)의 문자열
- 영숫자 문자 또는 하이픈(-)만 포함
- 숫자로 시작하지 않아야 함
보안 프로필의 고유한 URL 식별자를 구성하려면 다음 형식을 사용합니다.
organization/ORGANIZATION_ID/locations/LOCATION/securityProfiles/SECURITY_PROFILE_NAME예를 들어
2345678432조직의global보안 프로필example-security-profile에는 다음과 같은 고유 식별자가 있습니다.organization/2345678432/locations/global/securityProfiles/example-security-profile보안 프로필을 만든 후 보안 프로필 그룹에 연결하거나 나중에 연결할 수 있습니다. 이 보안 프로필 그룹은 레이어 7 검사를 시행할 가상 프라이빗 클라우드(VPC) 네트워크의 방화벽 정책에서 참조됩니다.
각 보안 프로필에는 연결된 프로젝트 ID가 있어야 합니다. 연결된 프로젝트는 보안 프로필 리소스의 할당량, 액세스 제한에 사용됩니다.
gcloud auth activate-service-account명령어를 사용하여 서비스 계정을 인증하는 경우 서비스 계정을 보안 프로필과 연결할 수 있습니다. 보안 프로필을 만드는 방법에 대한 자세한 내용은 보안 프로필 만들기 및 관리를 참조하세요.
위협 방지 보안 프로필
Cloud NGFW는 위협 방지 보안 프로필을 사용하여 침입 방지 서비스를 제공합니다.
threat-prevention 유형의 보안 프로필을 만들면 기본 심각도와 관련 작업이 있는 다음 기본 위협 서명이 프로필에 추가됩니다.
- 취약점 감지 서명
- 스파이웨어 방지 서명
- 바이러스 백신 서명
- DNS 서명
보안 프로필에 심각도 재정의를 추가할 수 있습니다. 각 기본 서명에는 위협 심각도 수준이 있습니다. 심각도 수준은 감지된 위협의 위험을 나타냅니다. 각 심각도 수준에는 연결된 기본 작업도 있습니다. 기본 작업은 Cloud NGFW가 특정 심각도 수준의 위협을 처리하기 위해 취하는 조치를 지정합니다. 보안 프로필을 사용하여 심각도 수준의 기본 작업을 재정의할 수 있습니다.
지원되는 작업은 다음과 같습니다.
- 재정의 없음: 위협과 연결된 기본 작업 수행
- 거부: 위협 로깅 및 패킷 삭제
- 알림: 위협 로깅 및 세션 허용
- 허용: 위협이 감지되면 무시
보안 프로필을 만들 때 모든 심각도 수준의 기본 재정의 작업은 No override으로 설정됩니다.
보안 프로필에 서명 재정의도 추가할 수 있습니다. 각 위협 서명에는 연결된 기본 작업이 있습니다. 보안 프로필을 사용하여 이전 작업으로 위협 서명의 기본 작업을 재정의할 수 있습니다. 참고: 서명 재정의는 심각도 재정의보다 우선 적용됩니다.
위협 방지를 구성하는 방법에 대한 자세한 내용은 침입 방지 서비스 구성을 참조하세요.
Identity and Access Management 역할
Identity and Access Management(IAM) 역할은 다음 보안 프로필 작업을 제어합니다.
- 조직에 보안 프로필 만들기
- 보안 프로필 수정 또는 삭제
- 보안 프로필 세부정보 보기
- 조직의 보안 프로필 목록 보기
- 보안 프로필 그룹에서 보안 프로필 사용
다음 표에서는 각 단계에 필요한 역할을 설명합니다.
| 기능 | 필수 역할 |
|---|---|
| 보안 프로필 만들기 | 보안 프로필이 생성된 조직에 대한 compute.networkAdmin 역할 |
| 보안 프로필 수정 | 보안 프로필이 생성된 조직에 대한 compute.networkAdmin 역할 |
| 조직의 보안 프로필에 대한 세부정보 보기 | 조직에 대한 다음 역할 중 하나입니다. compute.networkAdmin compute.networkViewer compute.networkUser |
| 조직 내 모든 보안 프로필 보기 | 조직에 대한 다음 역할 중 하나입니다. compute.networkAdmin compute.networkViewer compute.networkUser |
| 보안 프로필 그룹에서 보안 프로필 사용 | 조직에 대한 다음 역할 중 하나입니다. compute.networkAdmin compute.networkUser |
할당량
보안 프로필과 연결된 할당량을 보려면 할당량 및 한도를 참조하세요.
가격 책정
보안 프로필 가격 책정은 Cloud Next Generation Firewall Enterprise 가격 책정에 설명되어 있습니다.