Un grupo de perfil de seguridad es un contenedor de perfiles de seguridad. Una regla de política de firewall hace referencia a un grupo de perfiles de seguridad para habilitar la inspección de capa 7, como el servicio de filtrado de URL y el servicio de detección y prevención de intrusiones, en tu red.
En este documento, se proporciona una descripción general detallada de los grupos de perfiles de seguridad y sus capacidades.
Especificaciones
Un grupo de perfiles de seguridad es un recurso que puedes configurar a nivel de la organización o del proyecto.
Grupos de perfiles de seguridad a nivel de la organización: Usa estos grupos para agrupar los perfiles de seguridad a nivel de la organización en toda tu organización.
Grupos de perfiles de seguridad a nivel del proyecto (vista previa): Usa estos grupos para agrupar los perfiles de seguridad a nivel del proyecto dentro de tu proyecto.
En un grupo de perfiles de seguridad, puedes agregar perfiles de seguridad de los tipos
url-filteringothreat-preventionen cualquier orden.
Un grupo de perfiles de seguridad solo puede contener un perfil de seguridad de cada tipo. Si quieres agregar dos perfiles, deben ser de diferentes tipos. Por ejemplo, si agregas un perfil de seguridad de tipo url-filtering, puedes agregar un segundo perfil de tipo threat-prevention para analizar el tráfico además de filtrarlo.
Cada grupo de perfiles de seguridad se identifica de forma única mediante una URL con los siguientes elementos:
- ID de la organización o ID del proyecto (Versión preliminar): ID de la organización o el proyecto.
- Ubicación: permiso del grupo de perfiles de seguridad. La ubicación siempre está configurada como
global. - Nombre: nombre del grupo de perfiles de seguridad con el siguiente formato:
- Una string de 1 a 63 caracteres
- Solo incluye caracteres alfanuméricos o guiones (-)
- No debe comenzar con un número
A fin de crear un identificador de URL único para un grupo de perfiles de seguridad, usa el siguiente formato:
- Para un grupo de perfiles de seguridad a nivel de la organización, haz lo siguiente:
organizations/ORGANIZATION_ID/locations/global/securityProfileGroups/SECURITY_PROFILE_GROUP_NAMEPor ejemplo, un grupo de perfiles de seguridad
example-security-profile-groupen la organización2345678432tiene el siguiente identificador único:organizations/2345678432/locations/global/securityProfileGroups/example-security-profile-group- Para un grupo de perfiles de seguridad a nivel del proyecto (vista previa), haz lo siguiente:
projects/PROJECT_ID/locations/global/securityProfileGroups/SECURITY_PROFILE_GROUP_NAMEPor ejemplo, un grupo de perfiles de seguridad
example-security-profile-groupen el proyectomy-project-123tiene el siguiente identificador único:projects/my-project-123/locations/global/securityProfileGroups/example-security-profile-groupPara realizar la inspección de la Capa 7 del tráfico de red, una regla de política de firewall debe contener el nombre del grupo de perfil de seguridad que usará el extremo de firewall.
Los grupos de perfiles de seguridad se aplican a las políticas de firewall solo cuando agregas una regla de política de firewall con la acción
apply_security_profile_group. Solo puedes configurar grupos de perfiles de seguridad a nivel de la organización en reglas de políticas de firewall jerárquicas, y grupos de perfiles de seguridad a nivel de la organización y del proyecto en reglas de políticas de firewall de red globales.La regla de la política de firewall se aplica al tráfico entrante y saliente de la red de nube privada virtual (VPC). El tráfico coincidente se redirecciona al extremo de firewall junto con el nombre del grupo de perfiles de seguridad configurado. El extremo de firewall usa los perfiles de seguridad especificados en el grupo de perfiles de seguridad para inspeccionar la información de indicación de nombre de dominio y servidor (SNI), analizar los paquetes en busca de amenazas y aplicar acciones configuradas.
El extremo de firewall ejecuta primero el perfil de seguridad de filtrado de URL y, luego, el perfil de seguridad de prevención de amenazas. Sin embargo, si el extremo detecta una posible amenaza en el encabezado del mensaje HTTP(S), puede usar primero el servicio de detección y prevención de intrusiones para evaluar y bloquear el tráfico según sea necesario. Luego, el servicio de filtrado de URLs procesa el tráfico que se evalúa y que no bloquea el servicio de detección y prevención de intrusiones.
Para obtener más información sobre cómo configurar el servicio de filtrado de URLs, consulta Configura el servicio de filtrado de URLs.
Para obtener más información sobre cómo configurar la prevención de amenazas, consulta Configura el servicio de detección y prevención de intrusiones.
Cada grupo de perfiles de seguridad debe tener un ID del proyecto asociado. El proyecto asociado se usa para las cuotas y las restricciones de acceso en los recursos del grupo de perfiles de seguridad. Si autenticas la cuenta de servicio con el comando
gcloud auth activate-service-account, puedes asociarla con el grupo de perfiles de seguridad. Si quieres obtener más información para crear un grupo de perfiles, consulta Crea un grupo de perfiles de seguridad.Cuando asocias grupos de perfiles de seguridad con políticas de firewall a través de reglas de firewall con la acción
apply_security_profile_group, se aplican las siguientes restricciones:- Políticas de firewall jerárquicas: Se administran a nivel de la organización o la carpeta, y solo pueden hacer referencia a grupos de perfiles de seguridad a nivel de la organización.
- Políticas de firewall de red globales: Se administran a nivel del proyecto y pueden hacer referencia a grupos de perfiles de seguridad a nivel de la organización y grupos de perfiles de seguridad a nivel del proyecto desde cualquier proyecto.
Diferencias entre los grupos de perfiles de seguridad a nivel de la organización y a nivel del proyecto
En los siguientes puntos, se resumen las diferencias entre los grupos de perfiles de seguridad a nivel de la organización y a nivel del proyecto :
- Los grupos de perfiles de seguridad a nivel de la organización se aplican a los extremos a nivel de la organización y a nivel de proyecto.
- Los grupos de perfiles de seguridad a nivel del proyecto se aplican a los extremos de firewall a nivel del proyecto que se encuentran en el mismo proyecto que el grupo de perfiles de seguridad. No se pueden aplicar a los extremos de firewall a nivel de la organización.
- El grupo de perfiles de seguridad a nivel de la organización solo puede agrupar perfiles de seguridad a nivel de la organización.
- Los grupos de perfiles de seguridad a nivel del proyecto solo pueden agrupar perfiles de seguridad a nivel del proyecto que existan en el mismo proyecto.
Roles de Identity and Access Management
Los roles de Identity and Access Management (IAM) rigen las siguientes acciones de grupo de perfil de seguridad:
- Crear un grupo de perfiles de seguridad en una organización o un proyecto
- Modifica o borra un grupo de perfiles de seguridad en una organización o un proyecto
- Visualiza los detalles de un grupo de perfiles de seguridad en una organización o un proyecto
- Visualiza una lista de los grupos de perfiles de seguridad de una organización o un proyecto
- Usa un grupo de perfiles de seguridad en una regla de política de firewall
En la siguiente tabla, se describen los roles necesarios para cada paso.
| Capacidad | Rol necesario |
|---|---|
| Crear un grupo de perfil de seguridad | Cualquiera de los siguientes roles para la organización o el proyecto:
|
| Modificar un grupo de perfiles de seguridad | Cualquiera de los siguientes roles para la organización o el proyecto:
|
| Borra un grupo de perfiles de seguridad |
Rol de administrador de red de Compute (roles/compute.networkAdmin) en la organización o el proyecto ([versión preliminar](https://cloud.google.com/products#product-launch-stages)) en el que existe el grupo de perfiles de seguridad.
|
| Visualizar los detalles del grupo de perfiles de seguridad de una organización y un proyecto |
Cualquiera de los siguientes roles para la organización o el proyecto:
|
| Visualiza todos los grupos de perfiles de seguridad de una organización y un proyecto |
Cualquiera de los siguientes roles para la organización o el proyecto:
|
| Usar un grupo de perfiles de seguridad en una regla de política de firewall |
Cualquiera de los siguientes roles para la organización o el proyecto:
|
¿Qué sigue?
- Configura el servicio de filtrado de URLs
- Configura el servicio de detección y prevención de intrusiones
- Crea y administra grupos de perfiles de seguridad