Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Présentation du profil de sécurité

Les profils de sécurité vous aident à définir la règle d'inspection de couche 7 pour vos Google Cloud ressources. Il s'agit de structures de règles génériques utilisées par les points de terminaison de pare-feu pour analyser le trafic intercepté afin de fournir des services de couche d'application, tels que le service de filtrage des URL et le service de détection et de prévention des intrusions.

Ce document fournit une présentation détaillée des profils de sécurité et de leurs fonctionnalités.

Spécifications

Cloud Next Generation Firewall est compatible avec les profils de sécurité de type URL_FILTERING et THREAT_PREVENTION.
Chaque profil de sécurité est identifié de manière unique par une URL comprenant les éléments suivants :
- ID de l'organisation ou ID du projet (bêta) : ID de l'organisation hôte ou du projet hôte.
- Emplacement : champ d'application du profil de sécurité. L'emplacement est toujours défini sur global.
- Nom : nom du profil de sécurité au format suivant :
  - Chaîne de 1 à 63 caractères.
  - N'inclut que des caractères alphanumériques ou des traits d'union (-).
  - Ne doit pas commencer par un chiffre.
Pour créer un identifiant d'URL unique pour un profil de sécurité, utilisez le format suivant :
- Pour un profil de sécurité au niveau de l'organisation :
```
organizations/ORGANIZATION_ID/locations/global/securityProfiles/SECURITY_PROFILE_NAME
```
Par exemple, un profil de sécurité example-security-profile dans l'organisation 2345678432 possède l'identifiant unique suivant :
```
organizations/2345678432/locations/global/securityProfiles/example-security-profile
```
- Pour un profil de sécurité au niveau du projet (bêta) :
```
projects/PROJECT_ID/locations/global/securityProfiles/SECURITY_PROFILE_NAME
```
Par exemple, un profil de sécurité example-security-profile dans le projet my-project-123 possède l'identifiant unique suivant :
```
projects/my-project-123/locations/global/securityProfiles/example-security-profile
```
Après avoir créé un profil de sécurité, associez-le manuellement à un groupe de profils de sécurité. Ce groupe de profils de sécurité est référencé par la stratégie de pare-feu du réseau cloud privé virtuel (VPC) dans lequel vous souhaitez appliquer l'inspection de couche 7.
Chaque profil de sécurité doit être associé à un ID de projet. Le projet associé est utilisé pour les quotas et les restrictions d'accès sur les ressources des profils de sécurité. Si vous authentifiez votre compte de service à l'aide de la gcloud auth activate-service-account commande, vous pouvez associer votre compte de service au profil de sécurité. Pour savoir comment créer un profil de sécurité, consultez Créer un profil de sécurité de prévention des menaces et Créer un profil de sécurité de filtrage des URL.
Lorsque vous ajoutez des profils de sécurité à un groupe de profils de sécurité, les contraintes suivantes s'appliquent :
- Un groupe de profils de sécurité au niveau de l'organisation ne peut référencer que des profils de sécurité au niveau de l'organisation.
- Un groupe de profils de sécurité au niveau du projet (bêta) peut référencer des profils de sécurité au niveau du projet (bêta) dans le même projet.

Profil de sécurité de filtrage des URL

Cloud NGFW utilise un profil de sécurité de filtrage des URL pour configurer le service de filtrage des URL.

Un profil de sécurité de filtrage des URL est un type de profil de sécurité qui utilise un ou plusieurs filtres d'URL pour définir des règles de sécurité pour les points de terminaison de pare-feu. Un filtre d'URL est une liste de chaînes de correspondance avec une priorité et une action uniques. Les chaînes de correspondance contiennent des noms de domaine que Cloud NGFW compare au message HTTP en cours d'évaluation. Pour les messages chiffrés, Cloud NGFW compare les chaînes de correspondance au SNI envoyé lors de la négociation TLS. Si vous activez l'inspection TLS, Cloud NGFW déchiffre l'en-tête du message et évalue également l'en-tête d'hôte. Pour le trafic non chiffré, Cloud NGFW compare toujours les chaînes de correspondance à l'en-tête d'hôte du message HTTP.

La priorité d'un filtre d'URL est déterminée par la valeur unique que vous spécifiez à l'aide du champ priority. La valeur de priorité d'un filtre d'URL peut être comprise entre 0 et 2147483647. Cloud NGFW traite d'abord la valeur numérique la plus basse (qui représente la priorité la plus élevée), puis la valeur numérique supérieure suivante jusqu'à ce qu'il trouve une correspondance. Cloud NGFW n'évalue pas les domaines individuels d'une liste de filtrage d'URL par ordre de priorité.

Pour en savoir plus sur la création et la gestion des profils de sécurité de filtrage des URL, consultez Créer et gérer des profils de sécurité de filtrage des URL.

Pour savoir comment configurer le filtrage des URL, consultez Configurer le service de filtrage des URL.

Profil de sécurité de prévention des menaces

Cloud NGFW utilise des profils de sécurité de prévention des menaces pour fournir un service de détection et de prévention des intrusions.

Lorsque vous créez un profil de sécurité de type THREAT_PREVENTION, les signatures de menaces par défaut suivantes avec un niveau de gravité par défaut et les actions associées sont ajoutées au profil :

Signatures de détection des failles
Signatures anti-espions
Signatures antivirus
Signatures DNS

Vous avez la possibilité d'ajouter des remplacements de niveau gravité à vos profils de sécurité de prévention des menaces. Chaque signature par défaut comporte un niveau de gravité de menace. Le niveau de gravité indique le risque de la menace détectée. Chaque niveau de gravité est également associé à une action par défaut. L'action par défaut spécifie les mesures prises par Cloud NGFW pour traiter les menaces d'un niveau de gravité spécifique. Vous pouvez utiliser des profils de sécurité de prévention des menaces pour remplacer l'action par défaut associée à un niveau de gravité.

Les actions suivantes sont acceptées :

Aucun remplacement : effectue l'action par défaut associée à la menace.
Refuser : consigne la menace et supprime le paquet.
Alerte : consigne la menace et autorise la session.
Autoriser : ignore la menace si elle est détectée.

Lorsque vous créez un profil de sécurité de prévention des menaces, l'action de remplacement par défaut pour tous les niveaux de gravité est définie sur No override.

Vous pouvez également ajouter des remplacements de signature à vos profils de sécurité de prévention des menaces. Chaque signature de menace est associée à une action par défaut. Vous pouvez utiliser des profils de sécurité de prévention des menaces pour remplacer les actions par défaut des signatures de menaces en utilisant les actions précédentes. Les remplacements de signatures prévalent sur les remplacements de niveau de gravité.

Pour en savoir plus sur la configuration de la prévention des menaces, consultez Configurer le service de détection et de prévention des intrusions.

Rôles de Identity and Access Management

Les rôles Identity and Access Management (IAM) régissent les actions des profils de sécurité suivantes :

Créer un profil de sécurité dans une organisation ou un projet
Modifier ou supprimer un profil de sécurité dans une organisation ou un projet
Afficher les détails d'un profil de sécurité dans une organisation ou un projet
Afficher la liste des profils de sécurité dans une organisation ou un projet
Utiliser un profil de sécurité dans un groupe de profils de sécurité

Le tableau suivant décrit les rôles nécessaires pour chaque étape.

Aptitude	Rôle nécessaire
Créer un profil de sécurité	Administrateur de réseau Compute (`roles/compute.networkAdmin`) et administrateur de profils de sécurité (`roles/networksecurity.securityProfileAdmin`) au niveau de l'organisation pour les profils de sécurité au niveau de l'organisation, et au niveau du projet ([bêta](https://cloud.google.com/products#product-launch-stages)) ou de l'organisation pour les profils de sécurité
Modifier un profil de sécurité	Administrateur de réseau Compute (`roles/compute.networkAdmin`) et administrateur de profils de sécurité (`roles/networksecurity.securityProfileAdmin`) au niveau de l'organisation pour les profils de sécurité au niveau de l'organisation, et au niveau du projet ([bêta](https://cloud.google.com/products#product-launch-stages)) ou de l'organisation pour les profils de sécurité
Supprimer un profil de sécurité	Administrateur de réseau Compute (`roles/compute.networkAdmin`) rôle sur l'organisation pour les profils de sécurité au niveau de l'organisation, et sur le projet pour les profils de sécurité au niveau du projet ([bêta](https://cloud.google.com/products#product-launch-stages)) où le profil existe.
Afficher les détails du profil de sécurité d'une organisation	L'un des rôles suivants pour l'organisation : Administrateur de réseau Compute (`roles/compute.networkAdmin`) Utilisateur de réseau Compute (`roles/compute.networkUser`) Lecteur de réseau Compute (`roles/compute.networkViewer`) Administrateur de profils de sécurité (`roles/networksecurity.securityProfileAdmin`) au niveau de l'organisation pour les profils de sécurité au niveau de l'organisation, et au niveau du projet ([bêta](https://cloud.google.com/products#product-launch-stages)) ou de l'organisation pour les profils de sécurité
Afficher tous les profils de sécurité d'une organisation	L'un des rôles suivants pour l'organisation : Administrateur de réseau Compute (`roles/compute.networkAdmin`) Utilisateur de réseau Compute (`roles/compute.networkUser`) Lecteur de réseau Compute (`roles/compute.networkViewer`) Administrateur de profils de sécurité (`roles/networksecurity.securityProfileAdmin`) au niveau de l'organisation pour les profils de sécurité au niveau de l'organisation, et au niveau du projet ([bêta](https://cloud.google.com/products#product-launch-stages)) ou de l'organisation pour les profils de sécurité
Utiliser un profil de sécurité dans un groupe de profils de sécurité	L'un des rôles suivants pour l'organisation : Administrateur de réseau Compute (`roles/compute.networkAdmin`) Utilisateur de réseau Compute (`roles/compute.networkUser`) Administrateur de profils de sécurité (`roles/networksecurity.securityProfileAdmin`) au niveau de l'organisation pour les profils de sécurité au niveau de l'organisation, et au niveau du projet ([bêta](https://cloud.google.com/products#product-launch-stages)) ou de l'organisation pour les profils de sécurité

Quotas

Pour afficher les quotas associés aux profils de sécurité, consultez la section Quotas et limites.

Tarifs

La tarification des profils de sécurité est décrite dans la section Tarifs de Cloud NGFW.