Um grupo de perfis de segurança é um contêiner para perfis de segurança. Uma regra de política de firewall faz referência a um grupo de perfis de segurança para ativar a inspeção da camada 7, como o serviço de filtragem de URL e o serviço de detecção e prevenção de intrusões, na sua rede.
Neste documento, você encontra informações gerais detalhadas dos grupos de perfis de segurança e dos respectivos recursos.
Especificações
Um grupo de perfis de segurança é um recurso no nível da organização.
Em um grupo de perfis de segurança, é possível adicionar perfis de segurança dos tipos
url-filteringouthreat-preventionem qualquer ordem.
Um grupo de perfis de segurança só pode conter um perfil de segurança de cada tipo. Se você quiser adicionar dois perfis, eles precisam ser de tipos diferentes. Por exemplo, se você adicionar um perfil de segurança do tipo url-filtering, poderá adicionar um segundo perfil do tipo threat-prevention para verificar o tráfego além de filtrá-lo.
Cada grupo de perfis de segurança é identificado exclusivamente por um URL com os seguintes elementos:
- ID da organização: ID da organização.
- Local: escopo do grupo de perfis de segurança. A localização está sempre definida como
global. - Nome: nome do grupo de perfis de segurança no seguinte formato:
- Uma string com 1 a 63 caracteres
- Inclui apenas caracteres alfanuméricos ou hifens (-)
- Não pode começar com um número
Para criar um identificador de URL exclusivo para um grupo de perfis de segurança, use o seguinte formato:
organization/ORGANIZATION_ID/locations/LOCATION/securityProfileGroups/SECURITY_PROFILE_GROUP_NAMEPor exemplo, um grupo de perfil de segurança
globalexample-security-profile-groupna organização2345678432tem o seguinte identificador exclusivo:organization/2345678432/locations/global/securityProfileGroups/example-security-profile-groupPara executar a inspeção da camada 7 do tráfego de rede, uma regra de política de firewall precisa conter o nome do grupo de perfis de segurança a ser usado pelo endpoint de firewall.
Os grupos de perfis de segurança se aplicam às políticas de firewall somente quando você adiciona uma regra de política de firewall com a ação
apply_security_profile_group. É possível configurar grupos de perfis de segurança em regras de política hierárquica de firewall e regras de política de firewall da rede global.A regra da política de firewall se aplica ao tráfego de entrada e saída da rede de nuvem privada virtual (VPC). O tráfego correspondente é redirecionado ao endpoint do firewall junto com o nome do grupo de perfis de segurança configurado. O endpoint de firewall usa os perfis de segurança especificados no grupo de perfis de segurança para inspecionar informações de indicação de nome de domínio e servidor (SNI), verificar se há ameaças nos pacotes e aplicar ações configuradas.
O endpoint de firewall executa primeiro o perfil de segurança de filtragem de URL e depois o perfil de segurança de prevenção de ameaças. No entanto, se o endpoint detectar uma possível ameaça no cabeçalho da mensagem HTTP(S), ele poderá usar primeiro o serviço de detecção e prevenção contra invasões para avaliar e bloquear o tráfego conforme necessário. O tráfego avaliado e não bloqueado pelo serviço de detecção e prevenção contra invasões é processado pelo serviço de filtragem de URL.
Para saber mais sobre como configurar o serviço de filtragem de URL, consulte Configurar o serviço de filtragem de URL.
Para saber mais sobre como configurar a prevenção de ameaças, consulte Configurar o serviço de prevenção e detecção de invasões.
Cada grupo de perfis de segurança precisa ter um ID de projeto associado. O projeto associado é usado para faturamento, cotas e restrições de acesso a recursos de grupo de perfil de segurança. Se você autenticar sua conta de serviço usando o comando
gcloud auth activate-service-account, será possível associar sua conta de serviço ao grupo de perfis de segurança. Para saber mais sobre como criar um grupo de perfis, consulte Criar um grupo de perfis de segurança.
Papéis do Identity and Access Management
Os papéis do Identity and Access Management (IAM) controlam as seguintes ações do grupo de perfis de segurança:
- Como criar um grupo de perfis de segurança em uma organização
- Como modificar ou excluir um grupo de perfis de segurança
- Como visualizar detalhes de um grupo de perfis de segurança
- Como visualizar uma lista de grupos de perfis de segurança em uma organização
- Como usar um grupo de perfis de segurança em uma regra de política de firewall
Veja na tabela a seguir os papéis necessários para cada etapa.
| Habilidade | Papel necessário |
|---|---|
| Criar um grupo de perfis de segurança | Papéis Administrador de perfil de segurança (roles/networksecurity.securityProfileAdmin)
e Administrador de rede do Compute (roles/compute.networkAdmin) na organização em que o grupo de perfis de segurança foi criado. |
| Modificar um grupo de perfis de segurança | Papéis Administrador de perfil de segurança (roles/networksecurity.securityProfileAdmin)
e Administrador de rede do Compute (roles/compute.networkAdmin) na organização em que o grupo de perfis de segurança foi criado. |
| Visualizar detalhes sobre o grupo de perfis de segurança em uma organização | Qualquer uma das seguintes funções para a organização: Administrador de perfil de segurança ( roles/networksecurity.securityProfileAdmin)Administrador de rede do Compute ( roles/compute.networkAdmin)Usuário de rede do Compute ( roles/compute.networkUser)Leitor de rede do Compute ( roles/compute.networkViewer) |
| Visualizar todos os grupos de perfis de segurança em uma organização | Qualquer uma das seguintes funções para a organização: Administrador de perfil de segurança ( roles/networksecurity.securityProfileAdmin)Administrador de rede do Compute ( roles/compute.networkAdmin)Usuário de rede do Compute ( roles/compute.networkUser)Leitor de rede do Compute ( roles/compute.networkViewer) |
| Usar um grupo de perfis de segurança em uma regra da política de firewall | Qualquer uma das seguintes funções na organização: Administrador de perfil de segurança ( roles/networksecurity.securityProfileAdmin)Administrador de rede do Compute ( roles/compute.networkAdmin)Usuário da rede do Compute ( roles/compute.networkUser) |
A seguir
- Configurar o serviço de filtragem de URL
- Configurar o serviço de detecção e prevenção contra invasões
- Criar e gerenciar grupos de perfis de segurança