Un grupo de perfiles de seguridad es un contenedor de perfiles de seguridad. Una regla de política de firewall hace referencia a un grupo de perfiles de seguridad para habilitar la inspección de la capa 7, como el servicio de filtrado de URLs y el servicio de detección y prevención de intrusiones, en tu red.
En este documento se ofrece una descripción detallada de los grupos de perfiles de seguridad y sus funciones.
Especificaciones
Un grupo de perfiles de seguridad es un recurso a nivel de organización.
En un grupo de perfiles de seguridad, puedes añadir perfiles de seguridad de los tipos
url-filteringothreat-preventionen cualquier orden.
Un grupo de perfiles de seguridad solo puede contener un perfil de seguridad de cada tipo. Si quieres añadir dos perfiles, deben ser de tipos diferentes. Por ejemplo, si añades un perfil de seguridad de tipo url-filtering, puedes añadir un segundo perfil de tipo threat-prevention para analizar el tráfico además de filtrarlo.
Cada grupo de perfiles de seguridad se identifica de forma única mediante una URL con los siguientes elementos:
- ID de organización: ID de la organización.
- Ubicación: ámbito del grupo de perfiles de seguridad. La ubicación siempre se define como
global. - Nombre: nombre del grupo de perfiles de seguridad con el siguiente formato:
- Una cadena de entre 1 y 63 caracteres
- Solo incluye caracteres alfanuméricos o guiones (-).
- No puede empezar por un número
Para crear un identificador de URL único para un grupo de perfiles de seguridad, usa el siguiente formato:
organization/ORGANIZATION_ID/locations/LOCATION/securityProfileGroups/SECURITY_PROFILE_GROUP_NAMEPor ejemplo, un
globalgrupo de perfiles de seguridadexample-security-profile-groupde la organización2345678432tiene el siguiente identificador único:organization/2345678432/locations/global/securityProfileGroups/example-security-profile-groupPara realizar una inspección de capa 7 del tráfico de red, una regla de política de cortafuegos debe contener el nombre del grupo de perfiles de seguridad que va a usar el endpoint del cortafuegos.
Los grupos de perfiles de seguridad solo se aplican a las políticas de cortafuegos cuando se añade una regla de política de cortafuegos con la acción
apply_security_profile_group. Puedes configurar grupos de perfiles de seguridad en reglas de políticas de cortafuegos jerárquicas y reglas de políticas de cortafuegos de red globales.La regla de la política de cortafuegos se aplica al tráfico entrante y saliente de la red de nube privada virtual (VPC). El tráfico coincidente se redirige al endpoint del cortafuegos junto con el nombre del grupo de perfiles de seguridad configurado. El endpoint de firewall usa los perfiles de seguridad especificados en el grupo de perfiles de seguridad para inspeccionar la información del nombre de dominio y la indicación del nombre del servidor (SNI), analizar los paquetes en busca de amenazas y aplicar las acciones configuradas.
El endpoint del firewall ejecuta primero el perfil de seguridad de filtrado de URLs y, a continuación, el perfil de seguridad de prevención de amenazas. Sin embargo, si el endpoint detecta una posible amenaza en el encabezado del mensaje HTTP(S), puede usar primero el servicio de detección y prevención de intrusiones para evaluar y bloquear el tráfico según sea necesario. El tráfico que se evalúa y no se bloquea mediante el servicio de detección y prevención de intrusiones se procesa mediante el servicio de filtrado de URLs.
Para obtener más información sobre cómo configurar el servicio de filtrado de URLs, consulte Configurar el servicio de filtrado de URLs.
Para obtener más información sobre cómo configurar la prevención de amenazas, consulte Configurar el servicio de detección y prevención de intrusiones.
Cada grupo de perfiles de seguridad debe tener un ID de proyecto asociado. El proyecto asociado se usa para las cuotas y las restricciones de acceso a los recursos del grupo de perfiles de seguridad. Si autenticas tu cuenta de servicio con el comando
gcloud auth activate-service-account, puedes asociar tu cuenta de servicio con el grupo de perfiles de seguridad. Para obtener más información sobre cómo crear un grupo de perfiles, consulta Crear un grupo de perfiles de seguridad.
Roles de Gestión de Identidades y Accesos
Los roles de Gestión de Identidades y Accesos (IAM) rigen las siguientes acciones de grupos de perfiles de seguridad:
- Crear un grupo de perfiles de seguridad en una organización
- Modificar o eliminar un grupo de perfiles de seguridad
- Ver los detalles de un grupo de perfiles de seguridad
- Ver una lista de grupos de perfiles de seguridad de una organización
- Usar un grupo de perfiles de seguridad en una regla de política de cortafuegos
En la siguiente tabla se describen los roles necesarios para cada paso.
| Habilidad | Rol necesario |
|---|---|
| Crear un grupo de perfiles de seguridad | Administrador de perfil de seguridad (roles/networksecurity.securityProfileAdmin)
y Administrador de red de Compute (roles/compute.networkAdmin) en la organización en la que se crea el grupo de perfiles de seguridad. |
| Modificar un grupo de perfiles de seguridad | Administrador de perfil de seguridad (roles/networksecurity.securityProfileAdmin)
y Administrador de red de Compute (roles/compute.networkAdmin) en la organización en la que se crea el grupo de perfiles de seguridad. |
| Ver detalles sobre el grupo de perfiles de seguridad de una organización | Cualquiera de los siguientes roles de la organización: Administrador de perfil de seguridad ( roles/networksecurity.securityProfileAdmin)Administrador de red de Compute ( roles/compute.networkAdmin)Usuario de red de Compute ( roles/compute.networkUser)Lector de red de Compute ( roles/compute.networkViewer) |
| Ver todos los grupos de perfiles de seguridad de una organización | Cualquiera de los siguientes roles de la organización: Administrador de perfil de seguridad ( roles/networksecurity.securityProfileAdmin)Administrador de red de Compute ( roles/compute.networkAdmin)Usuario de red de Compute ( roles/compute.networkUser)Lector de red de Compute ( roles/compute.networkViewer) |
| Usar un grupo de perfiles de seguridad en una regla de política de cortafuegos | Cualquiera de los siguientes roles de la organización: Administrador de perfil de seguridad ( roles/networksecurity.securityProfileAdmin)Administrador de red de Compute ( roles/compute.networkAdmin)Usuario de red de Compute ( roles/compute.networkUser) |
Siguientes pasos
- Configurar el servicio de filtrado de URLs
- Configurar el servicio de detección y prevención de intrusos
- Crear y gestionar grupos de perfiles de seguridad