Un gruppo di profili di sicurezza è un container per i profili di sicurezza. Una regola della policy del firewall fa riferimento a un gruppo di profili di sicurezza per abilitare l'ispezione di livello 7, ad esempio il servizio di filtro degli URL e il servizio di rilevamento e prevenzione delle intrusioni, sulla tua rete.
Questo documento fornisce una panoramica dettagliata dei gruppi di profili di sicurezza e delle loro funzionalità.
Specifiche
Un gruppo di profili di sicurezza è una risorsa che puoi configurare a livello di organizzazione o di progetto.
Gruppi di profili di sicurezza a livello di organizzazione: utilizza questi gruppi per raggruppare i profili di sicurezza a livello di organizzazione in tutta l'organizzazione.
Gruppi di profili di sicurezza a livello di progetto (anteprima): utilizza questi gruppi per raggruppare i profili di sicurezza a livello di progetto all'interno del progetto.
In un gruppo di profili di sicurezza puoi aggiungere profili di sicurezza di tipo
url-filteringothreat-preventionin qualsiasi ordine.
Un gruppo di profili di sicurezza può contenere un solo profilo di sicurezza di ogni tipo. Se vuoi aggiungere due profili, devono essere di tipi diversi. Ad esempio, se aggiungi un profilo di sicurezza di tipo url-filtering, puoi aggiungere un secondo profilo di tipo threat-prevention per eseguire la scansione del traffico oltre a filtrarlo.
Ogni gruppo di profili di sicurezza è identificato in modo univoco da un URL con i seguenti elementi:
- ID organizzazione o ID progetto (anteprima): ID dell'organizzazione o del progetto.
- Località:ambito del gruppo di profili di sicurezza. La località è sempre impostata su
global. - Nome:nome del gruppo di profili di sicurezza nel seguente formato:
- Una stringa di lunghezza compresa tra 1 e 63 caratteri
- Include solo caratteri alfanumerici o trattini (-)
- Non può iniziare con un numero
Per creare un identificatore URL univoco per un gruppo di profili di sicurezza, utilizza il seguente formato:
- Per un gruppo di profili di sicurezza a livello di organizzazione:
organizations/ORGANIZATION_ID/locations/global/securityProfileGroups/SECURITY_PROFILE_GROUP_NAMEAd esempio, un gruppo di profili di sicurezza
example-security-profile-groupnell'organizzazione2345678432ha il seguente identificatore univoco:organizations/2345678432/locations/global/securityProfileGroups/example-security-profile-group- Per un gruppo di profili di sicurezza a livello di progetto (anteprima):
projects/PROJECT_ID/locations/global/securityProfileGroups/SECURITY_PROFILE_GROUP_NAMEAd esempio, un gruppo di profili di sicurezza
example-security-profile-groupnel progettomy-project-123ha il seguente identificatore univoco:projects/my-project-123/locations/global/securityProfileGroups/example-security-profile-groupPer eseguire l'ispezione di livello 7 del traffico di rete, una regola della policy del firewall deve contenere il nome del gruppo di profili di sicurezza da utilizzare per l'endpoint firewall.
I gruppi di profili di sicurezza si applicano alle policy del firewall solo quando aggiungi una regola della policy del firewall con l'azione
apply_security_profile_group. Puoi configurare solo i gruppi di profili di sicurezza a livello di organizzazione nelle regole delle policy del firewall gerarchiche e sia i gruppi di profili di sicurezza a livello di organizzazione che di progetto nelle regole delle policy del firewall di rete globali.La regola della policy del firewall si applica al traffico in entrata e in uscita della rete Virtual Private Cloud (VPC). Il traffico corrispondente viene reindirizzato all'endpoint firewall insieme al nome del gruppo di profili di sicurezza configurato. L'endpoint firewall utilizza i profili di sicurezza specificati nel gruppo di profili di sicurezza per ispezionare le informazioni sul nome del dominio e sull'indicazione del nome del server (SNI), eseguire la scansione dei pacchetti alla ricerca di minacce e applicare le azioni configurate.
L'endpoint firewall esegue prima il profilo di sicurezza del filtro degli URL e poi il profilo di sicurezza per la prevenzione delle minacce. Tuttavia, se l'endpoint rileva una possibile minaccia nell'intestazione del messaggio HTTP(S), può utilizzare prima il servizio di rilevamento e prevenzione delle intrusioni per valutare e bloccare il traffico, se necessario. Il traffico valutato e non bloccato dal servizio di rilevamento e prevenzione delle intrusioni viene quindi elaborato dal servizio di filtro degli URL.
Per saperne di più su come configurare il servizio di filtro degli URL, consulta Configurare il servizio di filtro degli URL.
Per saperne di più su come configurare la prevenzione delle minacce, consulta Configurare il servizio di rilevamento e prevenzione delle intrusioni.
Ogni gruppo di profili di sicurezza deve avere un ID progetto associato. Il progetto associato viene utilizzato per le quote e le limitazioni di accesso alle risorse del gruppo di profili di sicurezza. Se autentichi il tuo account di servizio utilizzando il
gcloud auth activate-service-accountcomando, puoi associare il tuo account di servizio al gruppo di profili di sicurezza. Per saperne di più su come creare un gruppo di profili, consulta Creare un gruppo di profili di sicurezza.Quando associ i gruppi di profili di sicurezza alle policy del firewall utilizzando le regole firewall con l'azione
apply_security_profile_group, si applicano i seguenti vincoli:- Policy del firewall gerarchiche: gestite a livello di organizzazione o di cartella, possono fare riferimento solo ai gruppi di profili di sicurezza a livello di organizzazione.
- Policy del firewall di rete globali: gestite a livello di progetto, possono fare riferimento ai gruppi di profili di sicurezza a livello di organizzazione e ai gruppi di profili di sicurezza a livello di progetto di qualsiasi progetto.
Differenze tra i gruppi di profili di sicurezza a livello di organizzazione e a livello di progetto
I seguenti punti riassumono le differenze tra i gruppi di profili di sicurezza a livello di organizzazione e a livello di progetto :
- I gruppi di profili di sicurezza a livello di organizzazione si applicano sia agli endpoint a livello di organizzazione che a livello di progetto.
- I gruppi di profili di sicurezza a livello di progetto si applicano agli endpoint firewall a livello di progetto che si trovano nello stesso progetto del gruppo di profili di sicurezza. Non possono essere applicati agli endpoint firewall a livello di organizzazione.
- Un gruppo di profili di sicurezza a livello di organizzazione può raggruppare solo i profili di sicurezza a livello di organizzazione.
- Un gruppo di profili di sicurezza a livello di progetto può raggruppare solo i profili di sicurezza a livello di progetto esistenti nello stesso progetto.
Ruoli Identity and Access Management
I ruoli Identity and Access Management (IAM) regolano le seguenti azioni del gruppo di profili di sicurezza:
- Creazione di un gruppo di profili di sicurezza in un'organizzazione o in un progetto
- Modifica o eliminazione di un gruppo di profili di sicurezza in un'organizzazione o in un progetto
- Visualizzazione dei dettagli di un gruppo di profili di sicurezza in un'organizzazione o in un progetto
- Visualizzazione di un elenco di gruppi di profili di sicurezza in un'organizzazione o in un progetto
- Utilizzo di un gruppo di profili di sicurezza in una regola della policy del firewall
La seguente tabella descrive i ruoli necessari per ogni passaggio.
| Capacità | Ruolo necessario |
|---|---|
| Crea un gruppo di profili di sicurezza | Uno dei seguenti ruoli per l'organizzazione o il progetto:
|
| Modifica un gruppo di profili di sicurezza | Uno dei seguenti ruoli per l'organizzazione o il progetto:
|
| Elimina un gruppo di profili di sicurezza |
Ruolo Compute Network Admin (roles/compute.networkAdmin) nell'organizzazione o nel progetto ([anteprima](https://cloud.google.com/products#product-launch-stages)) in cui esiste il gruppo di profili di sicurezza.
|
| Visualizza i dettagli del gruppo di profili di sicurezza in un'organizzazione e in un progetto |
Uno dei seguenti ruoli per l'organizzazione o il progetto:
|
| Visualizza tutti i gruppi di profili di sicurezza in un'organizzazione e in un progetto |
Uno dei seguenti ruoli per l'organizzazione o il progetto:
|
| Utilizza un gruppo di profili di sicurezza in una regola della policy del firewall |
Uno dei seguenti ruoli per l'organizzazione o il progetto:
|
Passaggi successivi
- Configura il servizio di filtro degli URL
- Configura il servizio di rilevamento e prevenzione delle intrusioni
- Crea gruppi di profili di sicurezza