Los perfiles de seguridad te ayudan a definir la política de inspección de la capa 7 para tus Google Cloud recursos. Son estructuras de políticas genéricas que usan los extremos de firewall para analizar el tráfico interceptado y proporcionar servicios de capa de aplicación, como el servicio de filtrado de URLs y el servicio de detección y prevención de intrusiones.
En este documento, se proporciona una descripción general detallada de los perfiles de seguridad y sus capacidades.
Especificaciones
Cloud Next Generation Firewall admite los siguientes tipos de perfiles de seguridad:
URL_FILTERINGTHREAT_PREVENTION
Un perfil de seguridad es un recurso que puedes configurar a nivel de la organización o del proyecto.
Perfil de seguridad a nivel de la organización: Usa este perfil para crear y administrar extremos de firewall a nivel de la organización y a nivel de proyecto.
Perfil de seguridad a nivel del proyecto: Usa este perfil para crear y administrar extremos de firewall a nivel del proyecto en el mismo proyecto.
El nombre de un perfil de seguridad se configura en el siguiente formato de identificador de URL:
Nivel de la organización:
organizations/ORGANIZATION_ID/locations/global/securityProfiles/NAMENivel del proyecto:
projects/PROJECT_ID/locations/global/securityProfiles/NAME
El
NAMEdel perfil de seguridad debe cumplir con los siguientes requisitos:- Una cadena de 1 a 63 caracteres de longitud
- Contiene solo caracteres alfanuméricos en minúscula o guiones (-)
- Comienza con una letra
Ejemplos:
Perfil de seguridad a nivel de la organización:
organizations/2345678432/locations/global/securityProfiles/example-security-profilePerfil de seguridad a nivel del proyecto:
projects/my-project-123/locations/global/securityProfiles/example-security-profile
Si usas el identificador de URL único para el nombre del perfil de seguridad, la URL incluye la organización o el proyecto, y la ubicación. Si especificas solo el nombre, debes proporcionar el ID de la organización o el ID del proyecto y la ubicación por separado cuando usas comandos
gcloud.Después de crear un perfil de seguridad, adjúntalo de forma manual a un grupo de perfiles de seguridad. La política de firewall de la red de nube privada virtual (VPC) en la que deseas aplicar la inspección de capa 7 hace referencia a este grupo de perfiles de seguridad.
Cada perfil de seguridad debe tener un ID del proyecto asociado. El proyecto asociado se usa para la facturación, las cuotas y las restricciones de acceso en los recursos del perfil de seguridad. Si autenticas la cuenta de servicio con el
gcloud auth activate-service-accountcomando, puedes asociarla con el perfil de seguridad. Si quieres obtener más información para crear un perfil de seguridad, consulta Crea un perfil de seguridad de prevención de amenazas y Crea un perfil de seguridad de filtrado de URLs.Cuando agregas perfiles de seguridad a un grupo de perfiles de seguridad, se aplican las siguientes restricciones:
- Un grupo de perfiles de seguridad a nivel de la organización solo puede hacer referencia a perfiles de seguridad a nivel de la organización.
- Un grupo de perfiles de seguridad a nivel del proyecto puede hacer referencia a perfiles de seguridad a nivel del proyecto en el mismo proyecto.
Perfil de seguridad de filtrado de URLs
Cloud NGFW usa un perfil de seguridad de filtrado de URLs para configurar el servicio de filtrado de URLs.
Un perfil de seguridad de filtrado de URLs es un tipo de perfil de seguridad que usa uno o más filtros de URL para definir políticas de seguridad para los extremos de firewall. Un filtro de URL es una lista de cadenas de comparador con una prioridad y una acción únicas. Las cadenas de comparador contienen nombres de dominio que Cloud NGFW compara con el mensaje HTTP que se está evaluando. Para los mensajes encriptados, Cloud NGFW compara las cadenas de comparador con el SNI enviado durante la negociación de TLS. Si habilitas la inspección de TLS, Cloud NGFW desencripta el encabezado del mensaje y también evalúa el encabezado del host. Para el tráfico no encriptado, Cloud NGFW siempre compara las cadenas de comparador con el encabezado del host del mensaje HTTP.
La prioridad de un filtro de URL está determinada por el valor único que especificas con el campo priority. El valor de prioridad de un filtro de URL puede variar de 0 a 2147483647. Cloud NGFW procesa primero el valor numérico más bajo (que representa la prioridad más alta) y, luego, el siguiente valor numérico más alto hasta que encuentra una coincidencia. Cloud NGFW no evalúa los dominios individuales dentro de una lista de filtrado de URLs en orden de prioridad.
Si quieres obtener más información para crear y administrar perfiles de seguridad de filtrado de URLs, consulta Crea y administra perfiles de seguridad de filtrado de URLs.
Si quieres obtener más información para configurar el filtrado de URLs, consulta Configura el servicio de filtrado de URLs.
Perfil de seguridad de prevención de amenazas
Cloud NGFW usa perfiles de seguridad de prevención de amenazas para proporcionar un servicio de detección y prevención de intrusiones.
Cuando creas un perfil de seguridad de tipo THREAT_PREVENTION, se agregan las siguientes
firmas de amenazas predeterminadas
con la gravedad predeterminada y las acciones asociadas al perfil:
- Firmas de detección de vulnerabilidades
- Firmas anti software espía
- Firmas antivirus
- Firmas DNS
Tienes la opción de agregar anulaciones de gravedad a tus perfiles de seguridad de prevención de amenazas. Cada firma predeterminada tiene un nivel de gravedad de amenaza. El nivel de gravedad indica el riesgo de las amenazas detectadas. Cada nivel de gravedad también tiene una acción predeterminada asociada. La acción predeterminada especifica las medidas que toma Cloud NGFW para controlar las amenazas con un nivel de gravedad específico. Puedes usar perfiles de seguridad de prevención de amenazas para anular la acción predeterminada de un nivel de gravedad.
Se admiten las siguientes acciones:
- Sin anulación: Realiza la acción predeterminada asociada con la amenaza.
- Denegar: Registra la amenaza y descarta el paquete.
- Alerta: Registra la amenaza y permite la sesión.
- Permitir: Ignora la amenaza si se detecta.
Cuando creas un perfil de seguridad de prevención de amenazas, la acción de anulación predeterminada para todos los niveles de gravedad se establece en No override.
También puedes agregar anulaciones de firma a tus perfiles de seguridad de prevención de amenazas. Cada firma de amenaza tiene una acción predeterminada asociada. Puedes usar perfiles de seguridad de prevención de amenazas para anular las acciones predeterminadas de las firmas de amenazas mediante las acciones anteriores. Las anulaciones de firma tienen prioridad sobre las anulaciones de gravedad.
Para obtener más información sobre cómo configurar la prevención de amenazas, consulta Configura el servicio de detección y prevención de intrusiones.
Funciones de Identity and Access Management
Los roles de Identity and Access Management (IAM) rigen las siguientes acciones de perfiles de seguridad:
- Crear un perfil de seguridad en una organización o un proyecto
- Modificar o borrar un perfil de seguridad en una organización o un proyecto
- Ver los detalles de un perfil de seguridad en una organización o un proyecto
- Ver una lista de perfiles de seguridad en una organización o un proyecto
- Usar un perfil de seguridad en un grupo de perfiles de seguridad
En la siguiente tabla, se describen los roles necesarios para cada paso.
| Capacidad | Rol necesario |
|---|---|
| Crear un perfil de seguridad |
Cualquiera de los siguientes roles:
|
| Modificar un perfil de seguridad |
Cualquiera de los siguientes roles:
|
| Borra un perfil de seguridad |
Cualquiera de los siguientes roles:
|
| Ver detalles sobre un perfil de seguridad |
Cualquiera de los siguientes roles:
|
| Visualizar todos los perfiles de seguridad de una organización |
Cualquiera de los siguientes roles:
|
| Usar un perfil de seguridad en un grupo de perfiles de seguridad |
Cualquiera de los siguientes roles:
|
Cuotas
Para ver las cuotas asociadas con los perfiles de seguridad, consulta Cuotas y límites.
¿Qué sigue?
- Configura el servicio de filtrado de URLs
- Configura el servicio de detección y prevención de intrusiones
- Crea y administra perfiles de seguridad de prevención de amenazas
- Crea y administra perfiles de seguridad de filtrado de URLs