I profili di sicurezza ti aiutano a definire la policy di ispezione del livello 7 per le tue Google Cloud risorse. Sono strutture di policy generiche utilizzate dagli endpoint firewall per scansionare il traffico intercettato e fornire servizi di livello applicazione, come il servizio di filtro degli URL e il servizio di rilevamento e prevenzione delle intrusioni.
Questo documento fornisce una panoramica dettagliata dei profili di sicurezza e delle loro funzionalità.
Specifiche
Cloud Next Generation Firewall supporta i profili di sicurezza di tipo
URL_FILTERINGeTHREAT_PREVENTION.Ogni profilo di sicurezza è identificato in modo univoco da un URL con i seguenti elementi:
- ID organizzazione o ID progetto (anteprima): ID dell'organizzazione host o del progetto host.
- Posizione:ambito del profilo di sicurezza. La posizione è sempre impostata su
global. - Nome:nome del profilo di sicurezza nel seguente formato:
- Una stringa di lunghezza compresa tra 1 e 63 caratteri
- Include solo caratteri alfanumerici o trattini (-)
- Non può iniziare con un numero
Per creare un identificatore URL univoco per un profilo di sicurezza, utilizza il seguente formato:
- Per un profilo di sicurezza a livello di organizzazione:
organizations/ORGANIZATION_ID/locations/global/securityProfiles/SECURITY_PROFILE_NAMEAd esempio, un profilo di sicurezza
example-security-profilenell'organizzazione2345678432ha il seguente identificatore univoco:organizations/2345678432/locations/global/securityProfiles/example-security-profile- Per un profilo di sicurezza a livello di progetto (anteprima):
projects/PROJECT_ID/locations/global/securityProfiles/SECURITY_PROFILE_NAMEAd esempio, un profilo di sicurezza
example-security-profilenel progettomy-project-123ha il seguente identificatore univoco:projects/my-project-123/locations/global/securityProfiles/example-security-profileDopo aver creato un profilo di sicurezza, collegalo manualmente a un gruppo di profili di sicurezza. Questo gruppo di profili di sicurezza viene fatto riferimento dalla policy del firewall della rete Virtual Private Cloud (VPC) in cui vuoi applicare l'ispezione del livello 7.
Ogni profilo di sicurezza deve avere un ID progetto associato. Il progetto associato viene utilizzato per le quote e le limitazioni di accesso alle risorse del profilo di sicurezza. Se autentichi il tuo account di servizio utilizzando il
gcloud auth activate-service-accountcomando, puoi associare il tuo account di servizio al profilo di sicurezza. Per saperne di più su come creare un profilo di sicurezza, consulta Creare un profilo di sicurezza per la prevenzione delle minacce e Creare un profilo di sicurezza per il filtro degli URL.Quando aggiungi profili di sicurezza a un gruppo di profili di sicurezza, si applicano i seguenti vincoli:
- Un gruppo di profili di sicurezza a livello di organizzazione può fare riferimento solo a profili di sicurezza a livello di organizzazione.
- Un gruppo di profili di sicurezza a livello di progetto (anteprima) può fare riferimento a profili di sicurezza a livello di progetto profili di sicurezza (anteprima) nello stesso progetto.
Profilo di sicurezza per il filtro degli URL
Cloud NGFW utilizza un profilo di sicurezza per il filtro degli URL per configurare il servizio di filtro degli URL.
Un profilo di sicurezza per il filtro degli URL è un tipo di profilo di sicurezza che utilizza uno o più filtri URL per definire le policy di sicurezza per gli endpoint firewall. Un filtro URL è un elenco di stringhe di corrispondenza con una priorità e un'azione univoche. Le stringhe di corrispondenza contengono nomi di dominio che Cloud NGFW confronta con il messaggio HTTP in fase di valutazione. Per i messaggi criptati, Cloud NGFW controlla le stringhe di corrispondenza rispetto all'SNI inviato durante la negoziazione TLS. Se abiliti l'ispezione TLS, Cloud NGFW decripta l'intestazione del messaggio e valuta anche l'intestazione host. Per il traffico non criptato, Cloud NGFW confronta sempre le stringhe di corrispondenza con l'intestazione host del messaggio HTTP.
La priorità di un filtro URL è determinata dal valore univoco che specifichi utilizzando il campo priority. Il valore di priorità di un filtro URL può essere compreso tra 0 e 2147483647. Cloud NGFW elabora prima il valore numerico più basso (che rappresenta la priorità più alta), seguito dal valore numerico più alto successivo, finché non trova una corrispondenza. Cloud NGFW non valuta i singoli domini all'interno di un elenco di filtri URL in ordine di priorità.
Per saperne di più sulla creazione e la gestione dei profili di sicurezza per il filtro degli URL, consulta Creare e gestire i profili di sicurezza per il filtro degli URL.
Per saperne di più su come configurare il filtro degli URL, consulta Configurare il servizio di filtro degli URL.
Profilo di sicurezza per la prevenzione delle minacce
Cloud NGFW utilizza i profili di sicurezza per la prevenzione delle minacce per fornire il servizio di rilevamento e prevenzione delle intrusioni.
Quando crei un profilo di sicurezza di tipo THREAT_PREVENTION, al profilo vengono aggiunte le seguenti
firme delle minacce predefinite
con gravità predefinita e azioni associate:
- Firme di rilevamento delle vulnerabilità
- Firme anti-spyware
- Firme antivirus
- Firme DNS
Puoi aggiungere override di gravità ai profili di sicurezza per la prevenzione delle minacce. Ogni firma predefinita ha un livello di gravità della minaccia. Il livello di gravità indica il rischio della minaccia rilevata. Ogni livello di gravità ha anche un'azione predefinita associata. L'azione predefinita specifica le misure adottate da Cloud NGFW per gestire le minacce con un livello di gravità specifico. Puoi utilizzare i profili di sicurezza per la prevenzione delle minacce per eseguire l'override dell'azione predefinita per un livello di gravità.
Sono supportate le seguenti azioni:
- Nessun override: esegue l'azione predefinita associata alla minaccia.
- Nega: registra la minaccia ed elimina il pacchetto.
- Avvisa: registra la minaccia e consente la sessione.
- Consenti: ignora la minaccia, se rilevata.
Quando crei un profilo di sicurezza per la prevenzione delle minacce, l'azione di override predefinita per tutti i livelli di gravità è impostata su No override.
Puoi anche aggiungere override delle firme ai profili di sicurezza per la prevenzione delle minacce. Ogni firma delle minacce ha un'azione predefinita associata. Puoi utilizzare i profili di sicurezza per la prevenzione delle minacce per eseguire l'override delle azioni predefinite delle firme delle minacce utilizzando le azioni precedenti. Gli override delle firme hanno la precedenza sugli override di gravità.
Per saperne di più su come configurare la prevenzione delle minacce, consulta Configurare il servizio di rilevamento e prevenzione delle intrusioni.
Ruoli Identity and Access Management
I ruoli Identity and Access Management (IAM) regolano le seguenti azioni dei profili di sicurezza:
- Creazione di un profilo di sicurezza in un'organizzazione o in un progetto
- Modifica o eliminazione di un profilo di sicurezza in un'organizzazione o in un progetto
- Visualizzazione dei dettagli di un profilo di sicurezza in un'organizzazione o in un progetto
- Visualizzazione di un elenco di profili di sicurezza in un'organizzazione o in un progetto
- Utilizzo di un profilo di sicurezza in un gruppo di profili di sicurezza
La tabella seguente descrive i ruoli necessari per ogni passaggio.
| Capacità | Ruolo necessario |
|---|---|
| Crea un profilo di sicurezza | Compute Network Admin (roles/compute.networkAdmin) e Security Profile Admin (roles/networksecurity.securityProfileAdmin) a livello di organizzazione per i profili di sicurezza a livello di organizzazione e a livello di progetto ([anteprima](https://cloud.google.com/products#product-launch-stages)) o di organizzazione per i profili di sicurezza |
| Modifica un profilo di sicurezza | Compute Network Admin (roles/compute.networkAdmin) e Security Profile Admin (roles/networksecurity.securityProfileAdmin) a livello di organizzazione per i profili di sicurezza a livello di organizzazione e a livello di progetto ([anteprima](https://cloud.google.com/products#product-launch-stages)) o di organizzazione per i profili di sicurezza |
| Elimina un profilo di sicurezza | Ruolo Compute Network Admin (roles/compute.networkAdmin) nell'organizzazione per i profili di sicurezza a livello di organizzazione e nel progetto per i profili di sicurezza a livello di progetto ([anteprima](https://cloud.google.com/products#product-launch-stages)) in cui esiste il profilo. |
| Visualizza i dettagli del profilo di sicurezza in un'organizzazione | Uno dei seguenti ruoli per l'organizzazione: Compute Network Admin ( roles/compute.networkAdmin)Compute Network User ( roles/compute.networkUser)Compute Network Viewer ( roles/compute.networkViewer)Security Profile Admin ( roles/networksecurity.securityProfileAdmin) a livello di organizzazione per i profili di sicurezza a livello di organizzazione e a livello di progetto ([anteprima](https://cloud.google.com/products#product-launch-stages)) o di organizzazione per i profili di sicurezza |
| Visualizza tutti i profili di sicurezza in un'organizzazione | Uno dei seguenti ruoli per l'organizzazione: Compute Network Admin ( roles/compute.networkAdmin)Compute Network User ( roles/compute.networkUser)Compute Network Viewer ( roles/compute.networkViewer)Security Profile Admin ( roles/networksecurity.securityProfileAdmin) a livello di organizzazione per i profili di sicurezza a livello di organizzazione e a livello di progetto ([anteprima](https://cloud.google.com/products#product-launch-stages)) o di organizzazione per i profili di sicurezza |
| Utilizza un profilo di sicurezza in un gruppo di profili di sicurezza | Uno dei seguenti ruoli per l'organizzazione: Compute Network Admin ( roles/compute.networkAdmin)Compute Network User ( roles/compute.networkUser)Security Profile Admin ( roles/networksecurity.securityProfileAdmin) a livello di organizzazione per i profili di sicurezza a livello di organizzazione e a livello di progetto ([anteprima](https://cloud.google.com/products#product-launch-stages)) o di organizzazione per i profili di sicurezza |
Quote
Per visualizzare le quote associate ai profili di sicurezza, consulta Quote e limiti.
Passaggi successivi
- Configura il servizio di filtro degli URL
- Configura il servizio di rilevamento e prevenzione delle intrusioni
- Crea e gestisci profili di sicurezza per la prevenzione delle minacce
- Crea e gestisci profili di sicurezza per il filtro degli URL