セキュリティ プロファイルは、Google Cloud リソースのレイヤ 7 検査ポリシーを定義するのに役立ちます。これは、ファイアウォール エンドポイントがインターセプトしたトラフィックをスキャンし、侵入防止などのアプリケーション レイヤ サービスを提供するために使用される汎用のポリシー構造です。
このドキュメントでは、セキュリティ プロファイルとその機能について詳しく説明します。
仕様
セキュリティ プロファイルは組織レベルのリソースです。
Cloud Next Generation Firewall は、
threat preventionタイプのセキュリティ プロファイルをサポートしています。各セキュリティ プロファイルは、次の要素を含む URL で一意に識別されます。
- 組織 ID: 組織の ID。
- ロケーション: セキュリティ プロファイルの範囲。ロケーションは常に
globalに設定されます。 - 名前: 次の形式のセキュリティ プロファイル名。
- 1~63 文字の文字列
- 英数字とハイフン(-)のみを使用
- 先頭は数字以外
セキュリティ プロファイルの一意の URL 識別子を作成するには、次の形式を使用します。
organization/ORGANIZATION_ID/locations/LOCATION/securityProfiles/SECURITY_PROFILE_NAMEたとえば、組織
2345678432のglobalセキュリティ プロファイルexample-security-profileには、次のような固有識別子を設定します。organization/2345678432/locations/global/securityProfiles/example-security-profile作成したセキュリティ プロファイルは、セキュリティ プロファイル グループに関連付けるか、後で適用できます。このセキュリティ プロファイル グループは、レイヤ 7 検査を適用する Virtual Private Cloud(VPC)ネットワークのファイアウォール ポリシーから参照されます。
各セキュリティ プロファイルにはプロジェクト ID が関連付けられている必要があります。関連付けられたプロジェクトは、セキュリティ プロファイル リソースに対する割り当てとアクセス制限に使用されます。
gcloud auth activate-service-accountコマンドを使用してサービス アカウントを認証する場合は、サービス アカウントをセキュリティ プロファイルに関連付けることができます。セキュリティ プロファイルを作成する詳しい方法については、セキュリティ プロファイルの作成と管理をご覧ください。
脅威防止のセキュリティ プロファイル
Cloud NGFW は、脅威防止セキュリティ プロファイルを使用して侵入防止サービスを提供します。
threat-prevention タイプのセキュリティ プロファイルを作成すると、次のデフォルトの脅威シグネチャが、デフォルトの重大度と関連アクションとともにプロファイルに追加されます。
- 脆弱性検出シグネチャ
- スパイウェア対策シグネチャ
- ウイルス対策シグネチャ
- DNS シグネチャ
セキュリティ プロファイルに重大度のオーバーライドを追加することもできます。デフォルトのシグネチャにはそれぞれ脅威の重大度があります。重大度は、検出された脅威のリスクを示します。各重大度レベルには、デフォルトのアクションが関連付けられています。デフォルトのアクションには、Cloud NGFW が特定の重大度レベルの脅威を処理するために行う対策を指定します。セキュリティ プロファイルを使用すると、重大度レベルのデフォルトのアクションをオーバーライドできます。
次のアクションがサポートされます。
- オーバーライドなし: 脅威に関連付けられたデフォルトのアクションを実行します。
- 拒否: 脅威をログに記録してパケットをドロップします。
- アラート: 脅威をログに記録して、セッションを許可します。
- 許可: 検出された脅威を無視します。
セキュリティ プロファイルを作成すると、すべての重大度レベルのデフォルト オーバーライド アクションが No override に設定されます。
セキュリティ プロファイルにシグネチャのオーバーライドを追加することもできます。それぞれの脅威シグネチャには、デフォルトのアクションが関連付けられています。セキュリティ プロファイルを使用すると、前述のアクションを使用して脅威シグネチャのデフォルト アクションをオーバーライドできます。署名のオーバーライドは、重大度のオーバーライドよりも優先されます。
脅威防止の構成方法については、侵入防止サービスを構成するをご覧ください。
Identity and Access Management ロール
Identity and Access Management(IAM)ロールは、次のセキュリティ プロファイルのアクションを管理します。
- 組織でのセキュリティ プロファイルの作成
- セキュリティ プロファイルの変更または削除
- セキュリティ プロファイルの詳細の表示
- 組織内のセキュリティ プロファイルのリストの表示
- セキュリティ プロファイル グループでのセキュリティ プロファイルの使用
次の表に、各ステップに必要なロールを示します。
| 機能 | 必要なロール |
|---|---|
| セキュリティ プロファイルを作成する | セキュリティ プロファイルが作成される組織に対する compute.networkAdmin ロール。 |
| セキュリティ プロファイルを変更する | セキュリティ プロファイルが作成される組織に対する compute.networkAdmin ロール。 |
| 組織のセキュリティ プロファイルの詳細を表示する | 組織に対する次のいずれかのロール: compute.networkAdmin compute.networkViewer compute.networkUser |
| 組織内のすべてのセキュリティ プロファイルを表示する | 組織に対する次のいずれかのロール: compute.networkAdmin compute.networkViewer compute.networkUser |
| セキュリティ プロファイル グループでセキュリティ プロファイルを使用する | 組織に対する次のいずれかのロール: compute.networkAdmin compute.networkUser |
割り当て
セキュリティ プロファイルに関連付けられた割り当てを表示するには、割り当てと上限をご覧ください。
料金
セキュリティ プロファイルの料金については、Cloud NGFW の料金をご覧ください。