Sicherheitsprofile

Mit Sicherheitsprofilen können Sie die Layer-7-Prüfungsrichtlinie für Ihre Google Cloud-Ressourcen definieren. Es sind allgemeine Richtlinienstrukturen, die von Firewall-Endpunkten verwendet werden, um abgefangenen Traffic zu scannen und Dienste auf Anwendungsebene bereitzustellen, z. B. zur Einbruchsprävention.

In diesem Dokument erhalten Sie eine detaillierte Übersicht über Sicherheitsprofile und ihre Funktionen.

Spezifikationen

  • Ein Sicherheitsprofil ist eine Ressource auf Organisationsebene.

  • Cloud Next Generation Firewall unterstützt Sicherheitsprofile vom Typ threat prevention.

  • Jedes Sicherheitsprofil wird eindeutig durch eine URL mit den folgenden Elementen identifiziert:

    • Organisations-ID: ID der Organisation.
    • Standort: Geltungsbereich des Sicherheitsprofils. Der Standort ist immer auf global festgelegt.
    • Name: Name des Sicherheitsprofils im folgenden Format:
      • Ein String mit 1 bis 63 Zeichen
      • Enthält nur alphanumerische Zeichen oder Bindestriche (-)
      • Darf nicht mit einer Ziffer beginnen

  • Verwenden Sie das folgende Format, um eine eindeutige URL-ID für ein Sicherheitsprofil zu erstellen:

    organization/ORGANIZATION_ID/locations/LOCATION/securityProfiles/SECURITY_PROFILE_NAME

    Ein global-Sicherheitsprofil example-security-profile in der Organisation 2345678432 hat beispielsweise die folgende eindeutige Kennung:

    organization/2345678432/locations/global/securityProfiles/example-security-profile

  • Nachdem Sie ein Sicherheitsprofil erstellt haben, können Sie es gleich oder später an eine Sicherheitsprofilgruppe anhängen. Diese Sicherheitsprofilgruppe wird von der Firewallrichtlinie des VPC-Netzwerks (Virtual Private Cloud) berücksichtigt, in dem Sie die Layer-7-Prüfung erzwingen möchten.

  • Jedem Sicherheitsprofil muss eine Projekt-ID zugeordnet sein. Das zugehörige Projekt wird für Kontingente und Zugriffsbeschränkungen für Sicherheitsprofilressourcen verwendet. Wenn Sie Ihr Dienstkonto mit dem Befehl gcloud auth activate-service-account authentifizieren, können Sie Ihr Dienstkonto dem Sicherheitsprofil zuordnen. Weitere Informationen zum Erstellen eines Sicherheitsprofils finden Sie unter Sicherheitsprofile erstellen und verwalten.

Sicherheitsprofil für die Bedrohungsvermeidung

Cloud NGFW verwendet Sicherheitsprofile zur Vermeidung von Bedrohungen, um einen Dienst zur Einbruchsprävention bereitzustellen.

Wenn Sie ein Sicherheitsprofil vom Typ threat-prevention erstellen, werden dem Profil die folgenden Standardbedrohungssignaturen mit Standardschweregrad und zugehörigen Aktionen hinzugefügt:

  • Signaturen zur Sicherheitslückenerkennung
  • Anti-Spyware-Signaturen
  • Antivirensignaturen
  • DNS-Signaturen

Sie haben die Möglichkeit, Ihren Sicherheitsprofilen Überschreibungen für Schweregrade hinzuzufügen. Jede Standardsignatur hat einen Bedrohungsschweregrad. Der Schweregrad gibt das Risiko der erkannten Bedrohung an. Jedem Schweregrad ist auch eine Standardaktion zugeordnet. Die Standardaktion gibt die Maßnahmen an, die Cloud NGFW zum Umgang mit Bedrohungen mit einem bestimmten Schweregrad ergreift. Sie können Sicherheitsprofile verwenden, um die Standardaktion für einen Schweregrad zu überschreiben.

Die folgenden Aktionen werden unterstützt:

  • Keine Überschreibung: Führt die mit der Bedrohung verknüpfte Standardaktion aus.
  • Ablehnen: Protokolliert die Bedrohung und verwirft das Paket
  • Benachrichtigen: Protokolliert die Bedrohung und lässt die Sitzung zu
  • Zulassen: Bedrohung wird ignoriert, wenn sie erkannt wird

Wenn Sie ein Sicherheitsprofil erstellen, wird die Standard-Überschreibungsaktion für alle Schweregrade auf No override gesetzt.

Sie können Ihren Sicherheitsprofilen auch Signaturüberschreibungen hinzufügen. Jeder Bedrohungssignatur ist eine Standardaktion zugeordnet. Sie können Sicherheitsprofile verwenden, um die Standardaktionen der Bedrohungssignaturen mit den vorherigen Aktionen zu überschreiben. Signaturüberschreibungen haben Vorrang vor Schweregradüberschreibungen.

Weitere Informationen zum Konfigurieren der Bedrohungsvermeidung finden Sie unter Dienst zur Einbruchsprävention konfigurieren.

Identitäts- und Zugriffsverwaltungsrollen

IAM-Rollen (Identity and Access Management) regeln die Aktionen von Sicherheitsprofilen:

  • Sicherheitsprofil in einer Organisation erstellen
  • Sicherheitsprofil ändern oder löschen
  • Details eines Sicherheitsprofils ansehen
  • Liste der Sicherheitsprofile in einer Organisation ansehen
  • Sicherheitsprofil in einer Sicherheitsprofilgruppe verwenden

In der folgenden Tabelle werden die Rollen beschrieben, die für jeden Schritt erforderlich sind.

Funktion Erforderliche Rolle
Sicherheitsprofil erstellen Rolle compute.networkAdmin für die Organisation, in der das Sicherheitsprofil erstellt wird.
Sicherheitsprofil ändern Rolle compute.networkAdmin für die Organisation, in der das Sicherheitsprofil erstellt wird.
Details zum Sicherheitsprofil in einer Organisation ansehen Eine der folgenden Rollen für die Organisation:
compute.networkAdmin
compute.networkViewer
compute.networkUser
Alle Sicherheitsprofile in einer Organisation ansehen Eine der folgenden Rollen für die Organisation:
compute.networkAdmin
compute.networkViewer
compute.networkUser
Sicherheitsprofil in einer Sicherheitsprofilgruppe verwenden Eine der folgenden Rollen für die Organisation:
compute.networkAdmin
compute.networkUser

Kontingente

Informationen zu Kontingenten für Sicherheitsprofile finden Sie unter Kontingente und Limits.

Preise

Die Preise für Sicherheitsprofile werden unter Preise für Cloud Next Generation Firewall Enterprise beschrieben.

Nächste Schritte