Um grupo de perfis de segurança é um contêiner para perfis de segurança. Uma regra de política de firewall faz referência a um grupo de perfis de segurança para ativar a inspeção da camada 7, como o serviço de filtragem de URL e o serviço de detecção e prevenção de intrusões, na sua rede.
Neste documento, você encontra informações gerais detalhadas dos grupos de perfis de segurança e dos respectivos recursos.
Especificações
Um grupo de perfis de segurança é um recurso que pode ser configurado no nível da organização ou do projeto.
Grupo de perfis de segurança no nível da organização: use para agrupar perfis de segurança no nível da organização em toda a organização.
Grupo de perfis de segurança para envolvidos no projeto:use para agrupar perfis de segurança para envolvidos no projeto.
O nome de um grupo de perfis de segurança é configurado no seguinte formato de identificador de URL:
No nível da organização:
organizations/ORGANIZATION_ID/locations/global/securityProfileGroups/NAMEPara envolvidos no projeto:
projects/PROJECT_ID/locations/global/securityProfileGroups/NAME
O
NAMEdo grupo de perfis de segurança precisa atender aos seguintes requisitos:- Uma string de 1 a 63 caracteres
- Contém apenas caracteres alfanuméricos minúsculos ou hifens (-)
- Começa com uma letra
Exemplos:
Grupo de perfis de segurança no nível da organização:
organizations/2345678432/locations/global/securityProfileGroups/example-security-profile-groupGrupo de perfis de segurança para envolvidos no projeto:
projects/my-project-123/locations/global/securityProfileGroups/example-security-profile-group
Se você usar o identificador de URL exclusivo para o nome do grupo de perfis de segurança, o URL vai incluir a organização ou o projeto e o local. Se você especificar apenas o nome, será necessário fornecer o ID da organização ou o ID do projeto e o local separadamente ao usar comandos
gcloud.Em um grupo de perfis de segurança, é possível adicionar perfis de segurança dos tipos
url-filteringouthreat-preventionem qualquer ordem.
Um grupo de perfis de segurança só pode conter um perfil de segurança de cada tipo.
Por exemplo, se você adicionar um perfil de segurança do tipo url-filtering, poderá adicionar um segundo perfil do tipo threat-prevention para verificar o tráfego além de filtrá-lo.
Para executar a inspeção da camada 7 do tráfego de rede, uma regra de política de firewall precisa conter o nome do grupo de perfis de segurança a ser usado pelo endpoint de firewall.
Os grupos de perfis de segurança se aplicam às políticas de firewall somente quando você adiciona uma regra de política de firewall com a ação
apply_security_profile_group. É possível configurar apenas grupos de perfis de segurança no nível da organização em regras de política hierárquica de firewall e grupos de perfis de segurança no nível da organização e do projeto em regras de política de firewall da rede global.A regra da política de firewall se aplica ao tráfego de entrada e saída da rede de nuvem privada virtual (VPC). O tráfego correspondente é redirecionado ao endpoint do firewall junto com o nome do grupo de perfis de segurança configurado. O endpoint de firewall usa os perfis de segurança especificados no grupo de perfis de segurança para inspecionar informações de indicação de nome de domínio e servidor (SNI), verificar se há ameaças nos pacotes e aplicar ações configuradas.
O endpoint de firewall executa primeiro o perfil de segurança de filtragem de URL e depois o perfil de segurança de prevenção de ameaças. No entanto, se o endpoint detectar uma possível ameaça no cabeçalho da mensagem HTTP(S), ele poderá usar primeiro o serviço de detecção e prevenção de intrusões para avaliar e bloquear o tráfego conforme necessário. O tráfego avaliado e não bloqueado pelo serviço de detecção e prevenção de intrusões é processado pelo serviço de filtragem de URL.
Para saber mais sobre como configurar o serviço de filtragem de URL, consulte Configurar o serviço de filtragem de URL.
Para saber mais sobre como configurar a prevenção de ameaças, consulte Configurar o serviço de prevenção e detecção de invasões.
Cada grupo de perfis de segurança precisa ter um ID de projeto associado. O projeto associado é usado para faturamento, cotas e restrições de acesso a recursos de grupo de perfil de segurança. Se você autenticar sua conta de serviço usando o comando
gcloud auth activate-service-account, será possível associar sua conta de serviço ao grupo de perfis de segurança. Para saber mais sobre como criar um grupo de perfis, consulte Criar um grupo de perfis de segurança.Ao associar grupos de perfis de segurança a políticas de firewall usando regras de firewall com a ação
apply_security_profile_group, as seguintes restrições se aplicam:- Políticas hierárquicas de firewall: gerenciadas no nível da organização ou da pasta, podem referenciar apenas grupos de perfis de segurança no nível da organização.
- Políticas globais de firewall de rede: gerenciadas no nível do projeto, podem fazer referência a grupos de perfis de segurança no nível da organização e do projeto de qualquer projeto.
Diferenças entre grupos de perfis de segurança no nível da organização e para envolvidos no projeto
Os pontos a seguir resumem as diferenças entre os grupos de perfis de segurança no nível da organização e para envolvidos no projeto :
- Os grupos de perfis de segurança no nível da organização se aplicam a endpoints no nível da organização e para envolvidos no projeto.
- Os grupos de perfis de segurança para envolvidos no projeto se aplicam aos endpoints de firewall para envolvidos no projeto que estão no mesmo projeto que o grupo de perfis de segurança. Elas não podem ser aplicadas a endpoints de firewall no nível da organização.
- Um grupo de perfis de segurança no nível da organização só pode agrupar perfis de segurança no nível da organização.
- O grupo de perfis de segurança para envolvidos no projeto só pode agrupar perfis de segurança para envolvidos no projeto que existem no mesmo projeto.
Papéis do Identity and Access Management
Os papéis do Identity and Access Management (IAM) controlam as seguintes ações do grupo de perfis de segurança:
- Como criar um grupo de perfis de segurança em uma organização ou um projeto
- Como modificar ou excluir um grupo de perfis de segurança em uma organização ou um projeto
- Como visualizar detalhes de um grupo de perfis de segurança em uma organização ou um projeto
- Como visualizar uma lista de grupos de perfis de segurança em uma organização ou um projeto
- Como usar um grupo de perfis de segurança em uma regra de política de firewall
Veja na tabela a seguir os papéis necessários para cada etapa.
| Habilidade | Papel necessário |
|---|---|
| Criar um grupo de perfis de segurança | Qualquer uma das seguintes funções:
|
| Modificar um grupo de perfis de segurança | Qualquer uma das seguintes funções:
|
| Excluir um grupo de perfis de segurança | Qualquer uma das seguintes funções:
|
| Visualizar detalhes sobre o grupo de perfis de segurança em uma organização e um projeto | Qualquer uma das seguintes funções:
|
| Visualizar todos os grupos de perfis de segurança em uma organização e um projeto | Qualquer uma das seguintes funções:
|
| Usar um grupo de perfis de segurança em uma regra da política de firewall | Qualquer uma das seguintes funções:
|
A seguir
- Configurar o serviço de filtragem de URL
- Configurar detecção de intrusões e prevenção de invasões
- Criar grupos de perfis de segurança