Um grupo de perfis de segurança é um contêiner para perfis de segurança. Uma regra de política de firewall faz referência a um grupo de perfis de segurança para ativar a inspeção da camada 7, como o serviço de filtragem de URL e o serviço de detecção e prevenção de intrusões, na sua rede.
Neste documento, você encontra informações gerais detalhadas dos grupos de perfis de segurança e dos respectivos recursos.
Especificações
Um grupo de perfis de segurança é um recurso que pode ser configurado no nível da organização ou do projeto.
Grupos de perfis de segurança no nível da organização: use esses grupos para agrupar perfis de segurança no nível da organização em toda a empresa.
Grupos de perfis de segurança para envolvidos no projeto (prévia): use esses grupos para agrupar perfis de segurança para envolvidos no projeto.
Em um grupo de perfis de segurança, é possível adicionar perfis de segurança dos tipos
url-filteringouthreat-preventionem qualquer ordem.
Um grupo de perfis de segurança só pode conter um perfil de segurança de cada tipo. Se você quiser adicionar dois perfis, eles precisam ser de tipos diferentes. Por exemplo, se você adicionar um perfil de segurança do tipo url-filtering, poderá adicionar um segundo perfil do tipo threat-prevention para verificar o tráfego além de filtrá-lo.
Cada grupo de perfis de segurança é identificado exclusivamente por um URL com os seguintes elementos:
- ID da organização ou ID do projeto (prévia): ID da organização ou do projeto.
- Local: escopo do grupo de perfis de segurança. A localização está sempre definida como
global. - Nome: nome do grupo de perfis de segurança no seguinte formato:
- Uma string com 1 a 63 caracteres
- Inclui apenas caracteres alfanuméricos ou hifens (-)
- Não pode começar com um número
Para criar um identificador de URL exclusivo para um grupo de perfis de segurança, use o seguinte formato:
- Para um grupo de perfis de segurança no nível da organização:
organizations/ORGANIZATION_ID/locations/global/securityProfileGroups/SECURITY_PROFILE_GROUP_NAMEPor exemplo, um grupo de perfis de segurança
example-security-profile-groupna organização2345678432tem o seguinte identificador exclusivo:organizations/2345678432/locations/global/securityProfileGroups/example-security-profile-group- Para um grupo de perfis de segurança para envolvidos no projeto (Prévia):
projects/PROJECT_ID/locations/global/securityProfileGroups/SECURITY_PROFILE_GROUP_NAMEPor exemplo, um grupo de perfis de segurança
example-security-profile-groupno projetomy-project-123tem o seguinte identificador exclusivo:projects/my-project-123/locations/global/securityProfileGroups/example-security-profile-groupPara executar a inspeção da camada 7 do tráfego de rede, uma regra de política de firewall precisa conter o nome do grupo de perfis de segurança a ser usado pelo endpoint de firewall.
Os grupos de perfis de segurança se aplicam às políticas de firewall somente quando você adiciona uma regra de política de firewall com a ação
apply_security_profile_group. É possível configurar apenas grupos de perfis de segurança no nível da organização em regras de política hierárquica de firewall e grupos de perfis de segurança no nível da organização e do projeto em regras de política de firewall de rede global.A regra da política de firewall se aplica ao tráfego de entrada e saída da rede de nuvem privada virtual (VPC). O tráfego correspondente é redirecionado ao endpoint do firewall junto com o nome do grupo de perfis de segurança configurado. O endpoint de firewall usa os perfis de segurança especificados no grupo de perfis de segurança para inspecionar informações de indicação de nome de domínio e servidor (SNI), verificar se há ameaças nos pacotes e aplicar ações configuradas.
O endpoint de firewall executa primeiro o perfil de segurança de filtragem de URL e depois o perfil de segurança de prevenção de ameaças. No entanto, se o endpoint detectar uma possível ameaça no cabeçalho da mensagem HTTP(S), ele poderá usar primeiro o serviço de detecção e prevenção de intrusões para avaliar e bloquear o tráfego conforme necessário. O tráfego avaliado e não bloqueado pelo serviço de detecção e prevenção de intrusões é processado pelo serviço de filtragem de URL.
Para saber mais sobre como configurar o serviço de filtragem de URL, consulte Configurar o serviço de filtragem de URL.
Para saber mais sobre como configurar a prevenção de ameaças, consulte Configurar o serviço de prevenção e detecção de invasões.
Cada grupo de perfis de segurança precisa ter um ID de projeto associado. O projeto associado é usado para faturamento, cotas e restrições de acesso a recursos de grupo de perfil de segurança. Se você autenticar sua conta de serviço usando o comando
gcloud auth activate-service-account, será possível associar sua conta de serviço ao grupo de perfis de segurança. Para saber mais sobre como criar um grupo de perfis, consulte Criar um grupo de perfis de segurança.Ao associar grupos de perfis de segurança a políticas de firewall usando regras de firewall com a ação
apply_security_profile_group, as seguintes restrições se aplicam:- Políticas hierárquicas de firewall: gerenciadas no nível da organização ou da pasta, podem referenciar apenas grupos de perfis de segurança no nível da organização.
- Políticas de firewall de rede global: gerenciadas para envolvidos no projeto, podem fazer referência a grupos de perfis de segurança no nível da organização e para envolvidos no projeto de qualquer projeto.
Diferenças entre grupos de perfis de segurança no nível da organização e para envolvidos no projeto
Os pontos a seguir resumem as diferenças entre os grupos de perfis de segurança no nível da organização e para envolvidos no projeto :
- Os grupos de perfis de segurança no nível da organização se aplicam a endpoints no nível da organização e para envolvidos no projeto.
- Os grupos de perfis de segurança para envolvidos no projeto se aplicam aos endpoints de firewall para envolvidos no projeto que estão no mesmo projeto que o grupo de perfis de segurança. Elas não podem ser aplicadas a endpoints de firewall no nível da organização.
- Um grupo de perfis de segurança no nível da organização só pode agrupar perfis de segurança no mesmo nível.
- Um grupo de perfis de segurança para envolvidos no projeto só pode agrupar perfis de segurança para envolvidos no projeto que existem no mesmo projeto.
Papéis do Identity and Access Management
Os papéis do Identity and Access Management (IAM) controlam as seguintes ações do grupo de perfis de segurança:
- Como criar um grupo de perfis de segurança em uma organização ou um projeto
- Como modificar ou excluir um grupo de perfis de segurança em uma organização ou um projeto
- Como visualizar detalhes de um grupo de perfis de segurança em uma organização ou um projeto
- Como visualizar uma lista de grupos de perfis de segurança em uma organização ou um projeto
- Como usar um grupo de perfis de segurança em uma regra de política de firewall
Veja na tabela a seguir os papéis necessários para cada etapa.
| Habilidade | Papel necessário |
|---|---|
| Criar um grupo de perfis de segurança | Qualquer um dos seguintes papéis na organização ou no projeto:
|
| Modificar um grupo de perfis de segurança | Qualquer um dos seguintes papéis na organização ou no projeto:
|
| Excluir um grupo de perfis de segurança |
Papel Administrador de rede do Compute (roles/compute.networkAdmin) na organização ou no projeto ([Prévia](https://cloud.google.com/products#product-launch-stages)) em que o grupo de perfis de segurança existe.
|
| Visualizar detalhes sobre o grupo de perfis de segurança em uma organização e um projeto |
Qualquer um dos seguintes papéis na organização ou no projeto:
|
| Visualizar todos os grupos de perfis de segurança em uma organização e um projeto |
Qualquer um dos seguintes papéis na organização ou no projeto:
|
| Usar um grupo de perfis de segurança em uma regra da política de firewall |
Qualquer um dos seguintes papéis na organização ou no projeto:
|
A seguir
- Configurar o serviço de filtragem de URL
- Configurar detecção de intrusões e prevenção de intrusões
- Criar e gerenciar grupos de perfis de segurança