Um grupo de perfis de segurança é um contentor para perfis de segurança. Uma regra de política de firewall faz referência a um grupo de perfis de segurança para ativar a inspeção da camada 7, como o serviço de filtragem de URLs e o serviço de deteção e prevenção de intrusões, na sua rede.
Este documento oferece uma vista geral detalhada dos grupos de perfis de segurança e das respetivas capacidades.
Especificações
Um grupo de perfis de segurança é um recurso ao nível da organização.
Num grupo de perfis de segurança, pode adicionar perfis de segurança dos tipos
url-filteringouthreat-preventionpor qualquer ordem.
Um grupo de perfis de segurança só pode conter um perfil de segurança de cada tipo. Se quiser adicionar dois perfis, estes têm de ser de tipos diferentes. Por exemplo, se adicionar um perfil de segurança do tipo url-filtering, pode adicionar um segundo perfil do tipo threat-prevention para analisar o tráfego, além de o filtrar.
Cada grupo de perfis de segurança é identificado exclusivamente por um URL com os seguintes elementos:
- ID da organização: ID da organização.
- Localização: âmbito do grupo de perfis de segurança. A localização está sempre
definida como
global. - Nome: nome do grupo de perfis de segurança no seguinte formato:
- Uma string com 1 a 63 carateres
- Inclui apenas carateres alfanuméricos ou hífenes (-)
- Não pode começar com um número
Para criar um identificador de URL exclusivo para um grupo de perfis de segurança, use o seguinte formato:
organization/ORGANIZATION_ID/locations/LOCATION/securityProfileGroups/SECURITY_PROFILE_GROUP_NAMEPor exemplo, um
globalgrupo de perfis de segurançaexample-security-profile-groupna organização2345678432tem o seguinte identificador exclusivo:organization/2345678432/locations/global/securityProfileGroups/example-security-profile-groupPara realizar a inspeção da camada 7 do tráfego de rede, uma regra de política de firewall tem de conter o nome do grupo de perfis de segurança a ser usado pelo ponto final da firewall.
Os grupos de perfis de segurança aplicam-se às políticas de firewall apenas quando adiciona uma regra de política de firewall com a ação
apply_security_profile_group. Pode configurar grupos de perfis de segurança em regras de políticas de firewall hierárquicas e regras de políticas de firewall de rede globais.A regra de política de firewall aplica-se ao tráfego de entrada e saída da rede de nuvem virtual privada (VPC). O tráfego correspondente é redirecionado para o ponto final da firewall juntamente com o nome do grupo do perfil de segurança configurado. O ponto final da firewall usa os perfis de segurança especificados no grupo de perfis de segurança para inspecionar as informações de indicação do nome do servidor (SNI), analisar pacotes em busca de ameaças e aplicar ações configuradas.
O ponto final da firewall executa primeiro o perfil de segurança de filtragem de URLs e, em seguida, executa o perfil de segurança de prevenção de ameaças. No entanto, se o ponto final detetar uma possível ameaça no cabeçalho da mensagem HTTP(S), pode usar primeiro o serviço de deteção e prevenção de intrusões para avaliar e bloquear o tráfego, conforme necessário. O tráfego que é avaliado e não bloqueado pelo serviço de deteção e prevenção de intrusões é, em seguida, processado pelo serviço de filtragem de URLs.
Para saber como configurar o serviço de filtragem de URLs, consulte o artigo Configure o serviço de filtragem de URLs.
Para saber como configurar a prevenção contra ameaças, consulte o artigo Configure o serviço de deteção e prevenção de intrusões.
Cada grupo de perfis de segurança tem de ter um ID do projeto associado. O projeto associado é usado para quotas e restrições de acesso a recursos do grupo de perfis de segurança. Se autenticar a sua conta de serviço através do comando
gcloud auth activate-service-account, pode associar a conta de serviço ao grupo de perfis de segurança. Para saber como criar um grupo de perfis, consulte o artigo Crie um grupo de perfis de segurança.
Funções de gestão de identidade e de acesso
As funções da gestão de identidade e de acesso (IAM) regem as seguintes ações do grupo de perfis de segurança:
- Criar um grupo de perfis de segurança numa organização
- Modificar ou eliminar um grupo de perfis de segurança
- Ver detalhes de um grupo de perfis de segurança
- Ver uma lista de grupos de perfis de segurança numa organização
- Usar um grupo de perfis de segurança numa regra de política de firewall
A tabela seguinte descreve as funções necessárias para cada passo.
| Capacidade | Função necessária |
|---|---|
| Crie um grupo de perfis de segurança | Funções de administrador do perfil de segurança (roles/networksecurity.securityProfileAdmin) e administrador da rede de computação (roles/compute.networkAdmin) na organização onde o grupo de perfis de segurança é criado. |
| Modifique um grupo de perfis de segurança | Funções de administrador do perfil de segurança (roles/networksecurity.securityProfileAdmin) e administrador da rede de computação (roles/compute.networkAdmin) na organização onde o grupo de perfis de segurança é criado. |
| Veja detalhes sobre o grupo de perfis de segurança numa organização | Qualquer uma das seguintes funções para a organização: Administrador do perfil de segurança ( roles/networksecurity.securityProfileAdmin)Administrador da rede de computação ( roles/compute.networkAdmin)Utilizador da rede de computação ( roles/compute.networkUser)Visualizador da rede de computação ( roles/compute.networkViewer) |
| Veja todos os grupos de perfis de segurança numa organização | Qualquer uma das seguintes funções para a organização: Administrador do perfil de segurança ( roles/networksecurity.securityProfileAdmin)Administrador da rede de computação ( roles/compute.networkAdmin)Utilizador da rede de computação ( roles/compute.networkUser)Visualizador da rede de computação ( roles/compute.networkViewer) |
| Use um grupo de perfis de segurança numa regra de política de firewall | Qualquer uma das seguintes funções para a organização: Administrador do perfil de segurança ( roles/networksecurity.securityProfileAdmin)Administrador da rede de computação ( roles/compute.networkAdmin)Utilizador da rede de computação ( roles/compute.networkUser) |
O que se segue?
- Configure o serviço de filtragem de URLs
- Configure o serviço de deteção e prevenção de intrusões
- Crie e faça a gestão de grupos de perfis de segurança