安全性設定檔群組總覽

安全性設定檔群組是安全性設定檔的容器。防火牆政策規則會參照安全性設定檔群組,在您的網路上啟用第 7 層檢查,例如 URL 篩選服務入侵偵測與防範服務

本文詳細介紹安全性設定檔群組及其功能。

規格

  • 安全性設定檔群組是機構層級的資源。

  • 在安全性設定檔群組中,您可以依任意順序新增 url-filteringthreat-prevention 類型的安全性設定檔。

安全性設定檔群組只能包含每種類型的一個安全性設定檔。如要新增兩個設定檔,必須是不同類型。舉例來說,如果您新增 url-filtering 類型的安全性設定檔,可以新增 threat-prevention 類型的第二個設定檔,除了篩選流量外,還能掃描流量。

  • 每個安全性設定檔群組都有專屬網址,包含下列元素:

    • 機構 ID:機構的 ID。
    • 位置:安全性設定檔群組的範圍。位置一律設為「global」。
    • 名稱:安全性設定檔群組名稱,格式如下:
      • 長度介於 1 至 63 個字元的字串
      • 只能包含英數字元或連字號 (-)
      • 開頭不得為數字

    如要為安全性設定檔群組建構專屬網址 ID,請使用下列格式:

    organization/ORGANIZATION_ID/locations/LOCATION/securityProfileGroups/SECURITY_PROFILE_GROUP_NAME

    舉例來說,機構 2345678432 中的 global 安全性設定檔群組 example-security-profile-group 具有下列專屬 ID:

    organization/2345678432/locations/global/securityProfileGroups/example-security-profile-group

  • 如要對網路流量執行第 7 層檢查,防火牆政策規則必須包含防火牆端點使用的安全性設定檔群組名稱。

  • 只有在新增動作為 apply_security_profile_group 的防火牆政策規則時,安全性設定檔群組才會套用至防火牆政策。您可以在階層式防火牆政策規則全域網路防火牆政策規則中,設定安全性設定檔群組。

  • 防火牆政策規則會套用至虛擬私有雲 (VPC) 網路的連入和連出流量。系統會將相符的流量連同設定的安全性設定檔群組名稱,重新導向至防火牆端點。防火牆端點會使用安全性設定檔群組中指定的安全性設定檔,檢查網域和伺服器名稱指標 (SNI) 資訊、掃描封包中的威脅,並套用已設定的動作。

    防火牆端點會先執行網址篩選安全性設定檔, 然後執行威脅防護安全性設定檔。不過,如果端點在 HTTP(S) 訊息標頭中偵測到可能的威脅,可以先使用入侵偵測與防範服務評估並封鎖流量 (如有需要)。入侵偵測與防範服務評估且未封鎖的流量,接著會由網址篩選服務處理。

    如要進一步瞭解如何設定網址篩選服務,請參閱「設定網址篩選服務」。

    如要進一步瞭解如何設定威脅防護功能,請參閱「設定入侵偵測和防護服務」。

  • 每個安全性設定檔群組都必須有相關聯的專案 ID。相關聯的專案會用於安全性設定檔群組資源的配額和存取限制。如果您使用 gcloud auth activate-service-account 指令驗證服務帳戶,可以將服務帳戶與安全性設定檔群組建立關聯。如要進一步瞭解如何建立設定檔群組,請參閱「建立安全性設定檔群組」。

身分與存取權管理角色

Identity and Access Management (IAM) 角色會控管下列安全性設定檔群組動作:

  • 在機構中建立安全性設定檔群組
  • 修改或刪除安全性設定檔群組
  • 查看安全性設定檔群組的詳細資料
  • 查看機構中的安全性設定檔群組清單
  • 在防火牆政策規則中使用安全性設定檔群組

下表說明每個步驟所需的角色。

能力 必要角色
建立安全性設定檔群組 在建立安全性設定檔群組的機構中,具有安全性設定檔管理員 (roles/networksecurity.securityProfileAdmin) 和Compute 網路管理員 (roles/compute.networkAdmin) 角色的使用者。
修改安全性設定檔群組 在建立安全性設定檔群組的機構中,具有安全性設定檔管理員 (roles/networksecurity.securityProfileAdmin) 和Compute 網路管理員 (roles/compute.networkAdmin) 角色的使用者。
查看機構中安全性設定檔群組的詳細資料 機構的下列任一角色:
安全設定檔管理員 (roles/networksecurity.securityProfileAdmin)
運算網路管理員 (roles/compute.networkAdmin)
運算網路使用者 (roles/compute.networkUser)
運算網路檢視者 (roles/compute.networkViewer)
查看機構中的所有安全性設定檔群組 機構的下列任一角色:
安全設定檔管理員 (roles/networksecurity.securityProfileAdmin)
運算網路管理員 (roles/compute.networkAdmin)
運算網路使用者 (roles/compute.networkUser)
運算網路檢視者 (roles/compute.networkViewer)
在防火牆政策規則中使用安全性設定檔群組 機構的下列任一角色:
安全設定檔管理員 (roles/networksecurity.securityProfileAdmin)
運算網路管理員 (roles/compute.networkAdmin)
運算網路使用者 (roles/compute.networkUser)

後續步驟