Un groupe de profils de sécurité est un conteneur pour les profils de sécurité. Une règle de stratégie de pare-feu référence un groupe de profils de sécurité pour permettre l'inspection de couche 7, telle que le service de filtrage d'URL et le service de détection et de prévention des intrusions, sur votre réseau.
Ce document fournit une présentation détaillée des groupes de profils de sécurité et de leurs fonctionnalités.
Spécifications
Un groupe de profils de sécurité est une ressource que vous pouvez configurer au niveau de l'organisation ou du projet.
Groupes de profils de sécurité au niveau de l'organisation : utilisez ces groupes pour regrouper les profils de sécurité au niveau de l'organisation dans votre organisation.
Groupes de profils de sécurité au niveau du projet (aperçu) : utilisez ces groupes pour regrouper les profils de sécurité au niveau du projet dans votre projet.
Dans un groupe de profils de sécurité, vous pouvez ajouter des profils de sécurité de type
url-filteringouthreat-preventiondans n'importe quel ordre.
Un groupe de profils de sécurité ne peut contenir qu'un seul profil de sécurité de chaque type. Si vous souhaitez ajouter deux profils, ils doivent être de types différents. Par exemple, si vous ajoutez un profil de sécurité de type url-filtering, vous pouvez ajouter un deuxième profil de type threat-prevention pour analyser le trafic en plus de le filtrer.
Chaque groupe de profils de sécurité est identifié de manière unique par une URL comprenant les éléments suivants :
- ID d'organisation ou ID de projet (aperçu) : ID de l'organisation ou du projet.
- Emplacement : champ d'application du groupe de profils de sécurité. L'emplacement est toujours défini sur
global. - Nom : nom du groupe de profils de sécurité au format suivant :
- Chaîne de 1 à 63 caractères.
- N'inclut que des caractères alphanumériques ou des traits d'union (-).
- Ne doit pas commencer par un chiffre.
Pour créer un identifiant d'URL unique pour un groupe de profils de sécurité, utilisez le format suivant :
- Pour un groupe de profils de sécurité au niveau de l'organisation :
organizations/ORGANIZATION_ID/locations/global/securityProfileGroups/SECURITY_PROFILE_GROUP_NAMEPar exemple, un groupe de profils de sécurité
example-security-profile-groupdans l'organisation2345678432possède l'identifiant unique suivant :organizations/2345678432/locations/global/securityProfileGroups/example-security-profile-group- Pour un groupe de profils de sécurité au niveau du projet (aperçu) :
projects/PROJECT_ID/locations/global/securityProfileGroups/SECURITY_PROFILE_GROUP_NAMEPar exemple, un groupe de profils de sécurité
example-security-profile-groupdans le projetmy-project-123possède l'identifiant unique suivant :projects/my-project-123/locations/global/securityProfileGroups/example-security-profile-groupPour effectuer une inspection de couche 7 du trafic réseau, une règle de stratégie de pare-feu doit contenir le nom du groupe de profils de sécurité qui sera utilisé par le point de terminaison de pare-feu.
Les groupes de profils de sécurité ne s'appliquent aux stratégies de pare-feu que lorsque vous ajoutez une règle de stratégie de pare-feu avec l'action
apply_security_profile_group. Vous pouvez configurer uniquement des groupes de profils de sécurité au niveau de l'organisation dans les règles de stratégies de pare-feu hiérarchiques, et des groupes de profils de sécurité au niveau de l'organisation et du projet dans les règles de stratégies de pare-feu de réseau au niveau mondial.La règle de stratégie de pare-feu s'applique au trafic entrant et sortant du réseau cloud privé virtuel (VPC). Le trafic correspondant est redirigé vers le point de terminaison de pare-feu avec le nom du groupe de profils de sécurité configuré. Le point de terminaison de pare-feu utilise les profils de sécurité spécifiés dans le groupe de profils de sécurité pour inspecter les informations d'indication du nom de domaine et du serveur (SNI), analyser les paquets et détecter les menaces, ainsi que pour appliquer des actions configurées.
Le point de terminaison de pare-feu exécute d'abord le profil de sécurité de filtrage d'URL, puis le profil de sécurité de prévention des menaces. Toutefois, si le point de terminaison détecte une menace potentielle dans l'en-tête du message HTTP(S), il peut d'abord utiliser le service de détection et de prévention des intrusions pour évaluer et bloquer le trafic si nécessaire. Le trafic évalué et non bloqué par le service de détection et de prévention des intrusions est ensuite traité par le service de filtrage d'URL.
Pour en savoir plus sur la configuration du service de filtrage d'URL, consultez la section Configurer le service de filtrage d'URL.
Pour en savoir plus sur la configuration de la prévention des menaces, consultez la section Configurer le service de détection et de prévention des intrusions.
Chaque groupe de profils de sécurité doit être associé à un ID de projet. Le projet associé est utilisé pour les quotas et les restrictions d'accès aux ressources du groupe de profils de sécurité. Si vous authentifiez votre compte de service à l'aide de la
gcloud auth activate-service-accountcommande, vous pouvez associer votre compte de service au groupe de profils de sécurité. Pour en savoir plus sur la création d'un groupe de profils, consultez la section Créer un groupe de profils de sécurité.Lorsque vous associez des groupes de profils de sécurité à des stratégies de pare-feu à l'aide de règles de pare-feu avec l'action
apply_security_profile_group, les contraintes suivantes s'appliquent :- Stratégies de pare-feu hiérarchiques : gérées au niveau de l'organisation ou du dossier, elles ne peuvent référencer que des groupes de profils de sécurité au niveau de l'organisation.
- Stratégies de pare-feu réseau au niveau mondial : gérées au niveau du projet, elles peuvent référencer des groupes de profils de sécurité au niveau de l'organisation et des groupes de profils de sécurité au niveau du projet à partir de n'importe quel projet.
Différences entre les groupes de profils de sécurité au niveau de l'organisation et au niveau du projet
Les points suivants résument les différences entre les groupes de profils de sécurité au niveau de l'organisation et au niveau du projet :
- Les groupes de profils de sécurité au niveau de l'organisation s'appliquent aux points de terminaison au niveau de l'organisation et au niveau du projet.
- Les groupes de profils de sécurité au niveau du projet s'appliquent aux points de terminaison de pare-feu au niveau du projet qui se trouvent dans le même projet que le groupe de profils de sécurité. Ils ne peuvent pas être appliqués aux points de terminaison de pare-feu au niveau de l'organisation.
- Un groupe de profils de sécurité au niveau de l'organisation ne peut regrouper que des profils de sécurité au niveau de l'organisation.
- Un groupe de profils de sécurité au niveau du projet ne peut regrouper que des profils de sécurité au niveau du projet qui existent dans le même projet.
Rôles de Identity and Access Management
Les rôles IAM (Identity and Access Management) régissent les actions du groupe de profils de sécurité suivantes :
- Créer un groupe de profils de sécurité dans une organisation ou un projet
- Modifier ou supprimer un groupe de profils de sécurité dans une organisation ou un projet
- Afficher les détails d'un groupe de profils de sécurité dans une organisation ou un projet
- Afficher la liste des groupes de profils de sécurité dans une organisation ou un projet
- Utiliser un groupe de profils de sécurité dans une règle de stratégie de pare-feu
Le tableau suivant décrit les rôles nécessaires pour chaque étape.
| Aptitude | Rôle nécessaire |
|---|---|
| Créer un groupe de profils de sécurité | L'un des rôles suivants pour l'organisation ou le projet :
|
| Modifier un groupe de profils de sécurité | L'un des rôles suivants pour l'organisation ou le projet :
|
| Supprimer un groupe de profils de sécurité |
Rôle d'administrateur de réseaux Compute (roles/compute.networkAdmin) sur l'organisation ou le projet ([aperçu](https://cloud.google.com/products#product-launch-stages)) où le groupe de profils de sécurité existe.
|
| Afficher les détails du groupe de profils de sécurité dans une organisation et un projet |
L'un des rôles suivants pour l'organisation ou le projet :
|
| Afficher tous les groupes de profils de sécurité d'une organisation et d'un projet |
L'un des rôles suivants pour l'organisation ou le projet :
|
| Utiliser un groupe de profils de sécurité dans une règle de stratégie de pare-feu |
L'un des rôles suivants pour l'organisation ou le projet :
|
Étape suivante
- Configurer le service de filtrage d'URL
- Configurer le service de détection et de prévention des intrusions
- Créer et gérer des groupes de profils de sécurité