Un groupe de profils de sécurité est un conteneur pour les profils de sécurité. Une règle de stratégie de pare-feu référence un groupe de profils de sécurité pour permettre l'inspection de couche 7, telle que le service de filtrage des URL et le service de détection et de prévention des intrusions, sur votre réseau.
Ce document fournit une présentation détaillée des groupes de profils de sécurité et de leurs fonctionnalités.
Spécifications
Un groupe de profils de sécurité est une ressource au niveau de l'organisation.
Dans un groupe de profils de sécurité, vous pouvez ajouter des profils de sécurité de types
url-filteringouthreat-preventiondans n'importe quel ordre.
Un groupe de profils de sécurité ne peut contenir qu'un seul profil de sécurité de chaque type. Si vous souhaitez ajouter deux profils, ils doivent être de types différents. Par exemple, si vous ajoutez un profil de sécurité de type url-filtering, vous pouvez ajouter un deuxième profil de type threat-prevention pour analyser le trafic en plus de le filtrer.
Chaque groupe de profils de sécurité est identifié de manière unique par une URL comprenant les éléments suivants :
- ID de l'organisation : ID de l'organisation.
- Emplacement : champ d'application du groupe de profils de sécurité. L'emplacement est toujours défini sur
global. - Nom : nom du groupe de profils de sécurité au format suivant :
- Chaîne de 1 à 63 caractères.
- N'inclut que des caractères alphanumériques ou des traits d'union (-).
- Ne doit pas commencer par un chiffre.
Pour créer un identifiant d'URL unique pour un groupe de profils de sécurité, utilisez le format suivant :
organization/ORGANIZATION_ID/locations/LOCATION/securityProfileGroups/SECURITY_PROFILE_GROUP_NAMEPar exemple, un groupe de profil de sécurité
example-security-profile-groupayant le niveau d'accèsglobaldans l'organisation2345678432possède l'identifiant unique suivant :organization/2345678432/locations/global/securityProfileGroups/example-security-profile-groupPour effectuer une inspection de couche 7 du trafic réseau, une règle de stratégie de pare-feu doit contenir le nom du groupe de profils de sécurité qui sera utilisé par le point de terminaison de pare-feu.
Les groupes de profils de sécurité ne s'appliquent aux stratégies de pare-feu que lorsque vous ajoutez une règle de stratégie de pare-feu avec l'action
apply_security_profile_group. Vous pouvez configurer des groupes de profils de sécurité dans les règles de stratégies de pare-feu hiérarchiques et les règles de stratégies de pare-feu de réseau au niveau mondial.La règle de stratégie de pare-feu s'applique au trafic entrant et sortant du réseau cloud privé virtuel (VPC). Le trafic correspondant est redirigé vers le point de terminaison de pare-feu avec le nom du groupe de profils de sécurité configuré. Le point de terminaison de pare-feu utilise les profils de sécurité spécifiés dans le groupe de profils de sécurité pour inspecter les informations d'indication du nom de domaine et du nom du serveur (SNI), analyser les paquets pour détecter les menaces et appliquer les actions configurées.
Le point de terminaison de pare-feu exécute d'abord le profil de sécurité de filtrage des URL, puis le profil de sécurité de prévention des menaces. Toutefois, si le point de terminaison détecte une menace potentielle dans l'en-tête du message HTTP(S), il peut d'abord utiliser le service de détection et de prévention des intrusions pour évaluer et bloquer le trafic si nécessaire. Le trafic évalué et non bloqué par le service de détection et de prévention des intrusions est ensuite traité par le service de filtrage des URL.
Pour en savoir plus sur la configuration du service de filtrage d'URL, consultez Configurer le service de filtrage d'URL.
Pour en savoir plus sur la configuration de la prévention des menaces, consultez Configurer le service de détection et de prévention des intrusions.
Chaque groupe de profils de sécurité doit être associé à un ID de projet. Le projet associé est utilisé pour les quotas et les restrictions d'accès aux ressources du groupe de profils de sécurité. Si vous authentifiez votre compte de service à l'aide de la commande
gcloud auth activate-service-account, vous pouvez associer votre compte de service au groupe de profils de sécurité. Pour savoir comment créer un groupe de profils, consultez Créer un groupe de profils de sécurité.
Rôles de gestion de l'authentification et des accès (IAM)
Les rôles IAM (Identity and Access Management) régissent les actions du groupe de profils de sécurité suivantes :
- Créer un groupe de profils de sécurité dans une organisation
- Modifier ou supprimer un groupe de profils de sécurité
- Afficher les détails d'un groupe de profils de sécurité
- Afficher la liste des groupes de profils de sécurité dans une organisation
- Utiliser un groupe de profils de sécurité dans une règle de stratégie de pare-feu
Le tableau suivant décrit les rôles nécessaires pour chaque étape.
| Aptitude | Rôle nécessaire |
|---|---|
| Créer un groupe de profils de sécurité | Rôles Administrateur de profils de sécurité (roles/networksecurity.securityProfileAdmin) et Administrateur de réseau Compute (roles/compute.networkAdmin) sur l'organisation où le groupe de profils de sécurité est créé. |
| Modifier un groupe de profils de sécurité | Rôles Administrateur de profils de sécurité (roles/networksecurity.securityProfileAdmin) et Administrateur de réseau Compute (roles/compute.networkAdmin) sur l'organisation où le groupe de profils de sécurité est créé. |
| Afficher les détails du groupe de profils de sécurité d'une organisation | L'un des rôles suivants pour l'organisation : Administrateur de profils de sécurité ( roles/networksecurity.securityProfileAdmin)Administrateur de réseaux Compute ( roles/compute.networkAdmin)Utilisateur de réseaux Compute ( roles/compute.networkUser)Lecteur de réseaux Compute ( roles/compute.networkViewer) |
| Afficher tous les groupes de profils de sécurité d'une organisation | L'un des rôles suivants pour l'organisation : Administrateur de profils de sécurité ( roles/networksecurity.securityProfileAdmin)Administrateur de réseaux Compute ( roles/compute.networkAdmin)Utilisateur de réseaux Compute ( roles/compute.networkUser)Lecteur de réseaux Compute ( roles/compute.networkViewer) |
| Utiliser un groupe de profils de sécurité dans une règle de stratégie de pare-feu | L'un des rôles suivants pour l'organisation : Administrateur de profils de sécurité ( roles/networksecurity.securityProfileAdmin)Administrateur de réseaux Compute ( roles/compute.networkAdmin)Utilisateur de réseaux Compute ( roles/compute.networkUser) |
Étapes suivantes
- Configurer le service de filtrage d'URL
- Configurer le service de détection et de prévention des intrusions
- Créer et gérer des groupes de profils de sécurité