Os perfis de segurança ajudam você a definir a política de inspeção da camada 7 para seus Google Cloud recursos. Eles são estruturas de política genéricas usadas por endpoints de firewall para verificar o tráfego interceptado para fornecer serviços de camada de aplicativo, como o serviço de filtragem de URL e o serviço de detecção e prevenção de invasões.
Neste documento, você encontra informações gerais detalhadas dos perfis de segurança e dos recursos deles.
Especificações
O Cloud Next Generation Firewall oferece suporte a perfis de segurança dos tipos
URL_FILTERINGeTHREAT_PREVENTION.Cada perfil de segurança é identificado exclusivamente por um URL com os seguintes elementos:
- ID da organização ou ID do projeto (prévia): ID da organização ou do projeto host.
- Local:escopo do perfil de segurança. A localização está sempre definida como
global. - Nome: nome do perfil de segurança no seguinte formato:
- Uma string com 1 a 63 caracteres
- Inclui apenas caracteres alfanuméricos ou hifens (-)
- Não pode começar com um número
Para criar um identificador de URL exclusivo para um perfil de segurança, use o seguinte formato:
- Para um perfil de segurança no nível da organização:
organizations/ORGANIZATION_ID/locations/global/securityProfiles/SECURITY_PROFILE_NAMEPor exemplo, um perfil de segurança
example-security-profilena organização2345678432tem o seguinte identificador exclusivo:organizations/2345678432/locations/global/securityProfiles/example-security-profile- Para um perfil de segurança para envolvidos no projeto (prévia):
projects/PROJECT_ID/locations/global/securityProfiles/SECURITY_PROFILE_NAMEPor exemplo, um perfil de segurança
example-security-profileno projetomy-project-123tem o seguinte identificador exclusivo:projects/my-project-123/locations/global/securityProfiles/example-security-profileDepois de criar um perfil de segurança, anexe-o manualmente a um grupo de perfis de segurança. Esse grupo de perfis de segurança é referenciado pela política de firewall da rede da nuvem privada virtual (VPC) em que você quer aplicar a inspeção da camada 7.
Cada perfil de segurança precisa ter um ID de projeto associado. O projeto associado é usado para faturamento, cotas e restrições de acesso a recursos de perfil de segurança. Se você autenticar sua conta de serviço usando o
gcloud auth activate-service-accountcomando, será possível associar sua conta de serviço ao perfil de segurança. Para saber mais sobre como criar um perfil de segurança, consulte Criar um perfil de segurança de prevenção de ameaças e Criar um perfil de segurança de filtragem de URL.Ao adicionar perfis de segurança a um grupo de perfis de segurança, as seguintes restrições se aplicam:
Perfil de segurança de filtragem de URL
O Cloud NGFW usa um perfil de segurança de filtragem de URL para configurar o serviço de filtragem de URL.
Um perfil de segurança de filtragem de URL é um tipo de perfil de segurança que usa um ou mais filtros de URL para definir políticas de segurança para os endpoints de firewall. Um filtro de URL é uma lista de strings de correspondência com uma prioridade e uma ação exclusivas. As strings de correspondência contêm nomes de domínio que o Cloud NGFW combina com a mensagem HTTP que está sendo avaliada. Para mensagens criptografadas, o Cloud NGFW verifica as strings de correspondência com o SNI enviado durante a negociação de TLS. Se você ativar a inspeção de TLS, o Cloud NGFW descriptografará o cabeçalho da mensagem e também avaliará o cabeçalho do host. Para tráfego não criptografado, o Cloud NGFW sempre compara as strings de correspondência com o cabeçalho do host da mensagem HTTP.
A prioridade de um filtro de URL é determinada pelo valor exclusivo especificado usando o campo priority. O valor de prioridade de um filtro de URL pode variar de 0 a 2147483647. O Cloud NGFW processa primeiro o menor valor numérico (que representa a maior prioridade), seguido pelo próximo valor numérico mais alto até encontrar uma correspondência. O Cloud NGFW não avalia os domínios individuais em uma lista de filtragem de URL em ordem de prioridade.
Para saber mais sobre como criar e gerenciar perfis de segurança de filtragem de URL, consulte Criar e gerenciar perfis de segurança de filtragem de URL.
Para saber mais sobre como configurar a filtragem de URL, consulte Configurar o serviço de filtragem de URL.
Perfil de segurança de prevenção de ameaças
O Cloud NGFW usa perfis de segurança de prevenção de ameaças para fornecer o serviço de detecção e prevenção de invasões.
Quando você cria um perfil de segurança do tipo THREAT_PREVENTION, as seguintes
assinaturas de ameaça padrão
com gravidade padrão e ações associadas são adicionadas ao perfil:
- Assinaturas de detecção de vulnerabilidades
- Assinaturas antispyware
- Assinaturas antivírus
- Assinaturas DNS
Você tem a opção de adicionar substituições de gravidade aos seus perfis de segurança de prevenção de ameaças. Cada assinatura padrão tem um nível de gravidade da ameaça. O nível de gravidade indica o risco da ameaça detectada. Cada nível de gravidade também tem uma ação padrão associada. A ação padrão especifica as medidas que o Cloud NGFW toma para lidar com ameaças com um determinado nível de gravidade. É possível usar perfis de segurança de prevenção de ameaças para substituir a ação padrão por um nível de gravidade.
São suportadas as seguintes ações:
- Sem substituição: executa a ação padrão associada à ameaça.
- Negar: registra a ameaça e descarta o pacote.
- Alerta: registra a ameaça e autoriza a sessão.
- Permitir: ignora a ameaça se detectada.
Quando você cria um perfil de segurança de prevenção de ameaças, a ação de substituição padrão para todos os níveis de gravidade é definida como No override.
Também é possível adicionar substituições de assinatura aos seus perfis de segurança de prevenção de ameaças. Cada assinatura de ameaça tem uma ação padrão associada. Você pode usar perfis de segurança de prevenção de ameaças para substituir as ações padrão das assinaturas de ameaças usando as ações anteriores. As substituições de assinatura têm precedência sobre as substituições de gravidade.
Para saber mais sobre como configurar a prevenção de ameaças, consulte Configurar detecção de intrusões e prevenção de invasões.
Papéis do Identity and Access Management
Os papéis do Identity and Access Management (IAM) controlam as seguintes ações dos perfis de segurança:
- Como criar um perfil de segurança em uma organização ou um projeto
- Como modificar ou excluir um perfil de segurança em uma organização ou um projeto
- Como visualizar detalhes de um perfil de segurança em uma organização ou um projeto
- Como visualizar uma lista de perfis de segurança em uma organização ou um projeto
- Como usar um perfil de segurança em um grupo de perfis de segurança
Veja na tabela a seguir os papéis necessários para cada etapa.
| Habilidade | Papel necessário |
|---|---|
| Criar um perfil de segurança | Administrador de rede do Compute (roles/compute.networkAdmin) e administrador de perfil de segurança (roles/networksecurity.securityProfileAdmin) no nível da organização para perfis de segurança no nível da organização e no nível do projeto ([prévia](https://cloud.google.com/products#product-launch-stages)) ou da organização para perfis de segurança |
| Modificar um perfil de segurança | Administrador de rede do Compute (roles/compute.networkAdmin) e administrador de perfil de segurança (roles/networksecurity.securityProfileAdmin) no nível da organização para perfis de segurança no nível da organização e no nível do projeto ([prévia](https://cloud.google.com/products#product-launch-stages)) ou da organização para perfis de segurança |
| Excluir um perfil de segurança | Papel de administrador de rede do Compute (roles/compute.networkAdmin) na organização para perfis de segurança no nível da organização e no projeto para perfis de segurança para envolvidos no projeto ([prévia](https://cloud.google.com/products#product-launch-stages)) em que o perfil existe. |
| Visualizar detalhes sobre o perfil de segurança em uma organização | Qualquer um dos seguintes papéis para a organização: Administrador de rede do Compute ( roles/compute.networkAdmin)Usuário de rede do Compute ( roles/compute.networkUser)Leitor de rede do Compute ( roles/compute.networkViewer)Administrador de perfil de segurança ( roles/networksecurity.securityProfileAdmin) no nível da organização para perfis de segurança no nível da organização e no nível do projeto ([prévia](https://cloud.google.com/products#product-launch-stages)) ou da organização para perfis de segurança |
| Visualizar todos os perfis de segurança em uma organização | Qualquer um dos seguintes papéis para a organização: Administrador de rede do Compute ( roles/compute.networkAdmin)Usuário de rede do Compute ( roles/compute.networkUser)Leitor de rede do Compute ( roles/compute.networkViewer)Administrador de perfil de segurança ( roles/networksecurity.securityProfileAdmin) no nível da organização para perfis de segurança no nível da organização e no nível do projeto ([prévia](https://cloud.google.com/products#product-launch-stages)) ou da organização para perfis de segurança |
| Usar um perfil de segurança em um grupo de perfis de segurança | Qualquer um dos seguintes papéis para a organização: Administrador de rede do Compute ( roles/compute.networkAdmin)Usuário de rede do Compute ( roles/compute.networkUser)Administrador de perfil de segurança ( roles/networksecurity.securityProfileAdmin) no nível da organização para perfis de segurança no nível da organização e no nível do projeto ([prévia](https://cloud.google.com/products#product-launch-stages)) ou da organização para perfis de segurança |
Cotas
Para visualizar as cotas associadas aos perfis de segurança, consulte Cotas e limites.
A seguir
- Configurar o serviço de filtragem de URL
- Configurar detecção de intrusões e prevenção de invasões
- Criar e gerenciar perfis de segurança de prevenção de ameaças
- Criar e gerenciar perfis de segurança de filtragem de URL