Un grupo de perfil de seguridad es un contenedor de perfiles de seguridad. Una regla de política de firewall hace referencia a un grupo de perfiles de seguridad para habilitar la inspección de capa 7, como el servicio de filtrado de URL y el servicio de detección y prevención de intrusiones, en tu red.
En este documento, se proporciona una descripción general detallada de los grupos de perfiles de seguridad y sus capacidades.
Especificaciones
Un grupo de perfiles de seguridad es un recurso a nivel organizacional.
En un grupo de perfiles de seguridad, puedes agregar perfiles de seguridad de tipo
url-filteringothreat-preventionen cualquier orden.
Un grupo de perfiles de seguridad solo puede contener un perfil de seguridad de cada tipo. Si quieres agregar dos perfiles, deben ser de diferentes tipos. Por ejemplo, si agregas un perfil de seguridad de tipo url-filtering, puedes agregar un segundo perfil de tipo threat-prevention para analizar el tráfico además de filtrarlo.
Cada grupo de perfiles de seguridad se identifica de forma única mediante una URL con los siguientes elementos:
- ID de la organización: ID de la organización.
- Ubicación: permiso del grupo de perfiles de seguridad. La ubicación siempre está configurada como
global. - Nombre: nombre del grupo de perfiles de seguridad con el siguiente formato:
- Una string de 1 a 63 caracteres
- Solo incluye caracteres alfanuméricos o guiones (-)
- No debe comenzar con un número
A fin de crear un identificador de URL único para un grupo de perfiles de seguridad, usa el siguiente formato:
organization/ORGANIZATION_ID/locations/LOCATION/securityProfileGroups/SECURITY_PROFILE_GROUP_NAMEPor ejemplo, un perfil de seguridad
globalexample-security-profile-groupen la organización2345678432tiene el siguiente identificador único:organization/2345678432/locations/global/securityProfileGroups/example-security-profile-groupPara realizar la inspección de la Capa 7 del tráfico de red, una regla de política de firewall debe contener el nombre del grupo de perfil de seguridad que usará el extremo de firewall.
Los grupos de perfiles de seguridad se aplican a las políticas de firewall solo cuando agregas una regla de política de firewall con la acción
apply_security_profile_group. Puedes configurar grupos de perfiles de seguridad en reglas de políticas de firewall jerárquicas y reglas de políticas de firewall de red globales.La regla de la política de firewall se aplica al tráfico entrante y saliente de la red de nube privada virtual (VPC). El tráfico coincidente se redirecciona al extremo de firewall junto con el nombre del grupo de perfiles de seguridad configurado. El extremo de firewall usa los perfiles de seguridad especificados en el grupo de perfiles de seguridad para inspeccionar la información de indicación de nombre de dominio y servidor (SNI), analizar los paquetes en busca de amenazas y aplicar acciones configuradas.
El extremo de firewall ejecuta primero el perfil de seguridad de filtrado de URLs y, luego, el perfil de seguridad de prevención de amenazas. Sin embargo, si el extremo detecta una posible amenaza en el encabezado del mensaje HTTP(S), puede usar primero el servicio de prevención y detección de intrusiones para evaluar y bloquear el tráfico según sea necesario. Luego, el servicio de filtrado de URLs procesa el tráfico que se evalúa y que no bloquea el servicio de detección y prevención de intrusiones.
Para obtener más información sobre cómo configurar el servicio de filtrado de URLs, consulta Configura el servicio de filtrado de URLs.
Para obtener más información sobre cómo configurar la prevención de amenazas, consulta Configura el servicio de detección y prevención de intrusiones.
Cada grupo de perfiles de seguridad debe tener un ID del proyecto asociado. El proyecto asociado se usa para las cuotas y las restricciones de acceso en los recursos del grupo de perfiles de seguridad. Si autenticas la cuenta de servicio con el comando
gcloud auth activate-service-account, puedes asociarla con el grupo de perfiles de seguridad. Si quieres obtener más información para crear un grupo de perfiles, consulta Crea un grupo de perfiles de seguridad.
Funciones de Identity and Access Management
Los roles de Identity and Access Management (IAM) rigen las siguientes acciones de grupo de perfil de seguridad:
- Crear un grupo de perfiles de seguridad en una organización
- Modifica o borra un grupo de perfiles de seguridad
- Visualiza los detalles de un grupo de perfiles de seguridad
- Visualiza una lista de los grupos de perfiles de seguridad de una organización
- Usa un grupo de perfiles de seguridad en una regla de política de firewall
En la siguiente tabla, se describen los roles necesarios para cada paso.
| Capacidad | Rol necesario |
|---|---|
| Crear un grupo de perfil de seguridad | Roles de administrador de perfiles de seguridad (roles/networksecurity.securityProfileAdmin) y administrador de red de Compute (roles/compute.networkAdmin) en la organización en la que se crea el grupo de perfiles de seguridad. |
| Modificar un grupo de perfiles de seguridad | Roles de administrador de perfiles de seguridad (roles/networksecurity.securityProfileAdmin) y administrador de red de Compute (roles/compute.networkAdmin) en la organización en la que se crea el grupo de perfiles de seguridad. |
| Visualizar los detalles del grupo de perfiles de seguridad de una organización | Cualquiera de los siguientes roles para la organización: Administrador de perfiles de seguridad ( roles/networksecurity.securityProfileAdmin)Administrador de red de Compute ( roles/compute.networkAdmin)Usuario de red de Compute ( roles/compute.networkUser)Visualizador de red de Compute ( roles/compute.networkViewer) |
| Visualiza todos los grupos de perfiles de seguridad de una organización | Cualquiera de los siguientes roles para la organización: Administrador de perfiles de seguridad ( roles/networksecurity.securityProfileAdmin)Administrador de red de Compute ( roles/compute.networkAdmin)Usuario de red de Compute ( roles/compute.networkUser)Visualizador de red de Compute ( roles/compute.networkViewer) |
| Usar un grupo de perfiles de seguridad en una regla de política de firewall | Cualquiera de los siguientes roles para la organización: Administrador de perfiles de seguridad ( roles/networksecurity.securityProfileAdmin)Administrador de red de Compute ( roles/compute.networkAdmin)Usuario de red de Compute ( roles/compute.networkUser) |
¿Qué sigue?
- Configura el servicio de filtrado de URLs
- Configura el servicio de detección y prevención de intrusiones
- Crea y administra grupos de perfiles de seguridad