Présentation du profil de sécurité

Les profils de sécurité vous aident à définir la règle d'inspection de couche 7 pour vos Google Cloud ressources. Il s'agit de structures de règles génériques utilisées par les points de terminaison de pare-feu pour analyser le trafic intercepté afin de fournir des services de couche d'application, tels que le service de filtrage des URL et le service de détection et de prévention des intrusions.

Ce document fournit une présentation détaillée des profils de sécurité et de leurs fonctionnalités.

Spécifications

  • Cloud Next Generation Firewall est compatible avec les types de profils de sécurité suivants :

    • URL_FILTERING
    • THREAT_PREVENTION
  • Un profil de sécurité est une ressource que vous pouvez configurer au niveau de l'organisation ou du projet.

    • Profil de sécurité au niveau de l'organisation : utilisez ce profil pour créer et gérer des points de terminaison de pare-feu au niveau de l'organisation et du projet.

    • Profil de sécurité au niveau du projet : utilisez ce profil pour créer et gérer des points de terminaison de pare-feu au niveau du projet dans le même projet.

  • Le nom d'un profil de sécurité est configuré au format d'identifiant d'URL suivant :

    • Au niveau de l'organisation :

      organizations/ORGANIZATION_ID/locations/global/securityProfiles/NAME
      
    • Au niveau du projet :

      projects/PROJECT_ID/locations/global/securityProfiles/NAME
      

    Le NAME du profil de sécurité doit répondre aux exigences suivantes :

    • Chaîne de 1 à 63 caractères
    • Ne contient que des caractères alphanumériques minuscules ou des traits d'union (-)
    • Commence par une lettre

    Exemples :

    • Profil de sécurité au niveau de l'organisation :

      organizations/2345678432/locations/global/securityProfiles/example-security-profile
      
    • Profil de sécurité au niveau du projet :

      projects/my-project-123/locations/global/securityProfiles/example-security-profile
      

    Si vous utilisez l'identifiant d'URL unique pour le nom du profil de sécurité, l'URL inclut l'organisation ou le projet, ainsi que l'emplacement. Si vous ne spécifiez que le nom, vous devez fournir l'ID de l'organisation ou l'ID du projet et l'emplacement séparément lorsque vous utilisez des commandes gcloud.

  • Après avoir créé un profil de sécurité, associez-le manuellement à un groupe de profils de sécurité. Ce groupe de profils de sécurité est référencé par la stratégie de pare-feu du réseau cloud privé virtuel (VPC) dans lequel vous souhaitez appliquer l'inspection de couche 7.

  • Chaque profil de sécurité doit être associé à un ID de projet. Le projet associé est utilisé pour les quotas et les restrictions d'accès sur les ressources des profils de sécurité. Si vous authentifiez votre compte de service à l'aide de la gcloud auth activate-service-account commande, vous pouvez associer votre compte de service au profil de sécurité. Pour en savoir plus sur la création d'un profil de sécurité, consultez Créer un profil de sécurité de prévention des menaces et Créer un profil de sécurité de filtrage des URL.

  • Lorsque vous ajoutez des profils de sécurité à un groupe de profils de sécurité, les contraintes suivantes s'appliquent :

    • Un groupe de profils de sécurité au niveau de l'organisation ne peut référencer que des profils de sécurité au niveau de l'organisation.
    • Un groupe de profils de sécurité au niveau du projet peut référencer des profils de sécurité au niveau du projet dans le même projet.

Profil de sécurité de filtrage des URL

Cloud NGFW utilise un profil de sécurité de filtrage des URL pour configurer le service de filtrage des URL.

Un profil de sécurité de filtrage des URL est un type de profil de sécurité qui utilise un ou plusieurs filtres d'URL pour définir des règles de sécurité pour les points de terminaison de pare-feu. Un filtre d'URL est une liste de chaînes de correspondance avec une priorité et une action uniques. Les chaînes de correspondance contiennent des noms de domaine que Cloud NGFW compare au message HTTP en cours d'évaluation. Pour les messages chiffrés, Cloud NGFW compare les chaînes de correspondance au SNI envoyé lors de la négociation TLS. Si vous activez l'inspection TLS, Cloud NGFW déchiffre l'en-tête du message et évalue également l'en-tête d'hôte. Pour le trafic non chiffré, Cloud NGFW compare toujours les chaînes de correspondance à l'en-tête d'hôte du message HTTP.

La priorité d'un filtre d'URL est déterminée par la valeur unique que vous spécifiez à l'aide du champ priority. La valeur de priorité d'un filtre d'URL peut être comprise entre 0 et 2147483647. Cloud NGFW traite d'abord la valeur numérique la plus basse (qui représente la priorité la plus élevée), puis la valeur numérique supérieure suivante jusqu'à ce qu'il trouve une correspondance. Cloud NGFW n'évalue pas les domaines individuels d'une liste de filtrage d'URL par ordre de priorité.

Pour en savoir plus sur la création et la gestion de profils de sécurité de filtrage des URL, consultez Créer et gérer des profils de sécurité de filtrage des URL.

Pour en savoir plus sur la configuration du filtrage des URL, consultez Configurer le service de filtrage des URL.

Profil de sécurité de prévention des menaces

Cloud NGFW utilise des profils de sécurité de prévention des menaces pour fournir un service de détection et de prévention des intrusions.

Lorsque vous créez un profil de sécurité de type THREAT_PREVENTION, les signatures de menaces par défaut suivantes avec un niveau de gravité par défaut et les actions associées sont ajoutées au profil :

  • Signatures de détection des failles
  • Signatures anti-espions
  • Signatures antivirus
  • Signatures DNS

Vous avez la possibilité d'ajouter des remplacements de niveau gravité à vos profils de sécurité de prévention des menaces. Chaque signature par défaut comporte un niveau de gravité de menace. Le niveau de gravité indique le risque de la menace détectée. Chaque niveau de gravité est également associé à une action par défaut. L'action par défaut spécifie les mesures prises par Cloud NGFW pour traiter les menaces d'un niveau de gravité spécifique. Vous pouvez utiliser des profils de sécurité de prévention des menaces pour remplacer l'action par défaut associée à un niveau de gravité.

Les actions suivantes sont acceptées :

  • Aucun remplacement : effectue l'action par défaut associée à la menace.
  • Refuser : consigne la menace et supprime le paquet.
  • Alerte : consigne la menace et autorise la session.
  • Autoriser : ignore la menace si elle est détectée.

Lorsque vous créez un profil de sécurité de prévention des menaces, l'action de remplacement par défaut pour tous les niveaux de gravité est définie sur No override.

Vous pouvez également ajouter des remplacements de signature à vos profils de sécurité de prévention des menaces. Chaque signature de menace est associée à une action par défaut. Vous pouvez utiliser des profils de sécurité de prévention des menaces pour remplacer les actions par défaut des signatures de menaces en utilisant les actions précédentes. Les remplacements de signatures prévalent sur les remplacements de niveau de gravité.

Pour en savoir plus sur la configuration de la prévention des menaces, consultez Configurer le service de détection et de prévention des intrusions.

Rôles de Identity and Access Management

Les rôles Identity and Access Management (IAM) régissent les actions des profils de sécurité suivantes :

  • Créer un profil de sécurité dans une organisation ou un projet
  • Modifier ou supprimer un profil de sécurité dans une organisation ou un projet
  • Afficher les détails d'un profil de sécurité dans une organisation ou un projet
  • Afficher la liste des profils de sécurité dans une organisation ou un projet
  • Utiliser un profil de sécurité dans un groupe de profils de sécurité

Le tableau suivant décrit les rôles nécessaires pour chaque étape.

Aptitude Rôle nécessaire
Créer un profil de sécurité L'un des rôles suivants :
Modifier un profil de sécurité L'un des rôles suivants :
Supprimer un profil de sécurité L'un des rôles suivants :
Afficher les détails d'un profil de sécurité L'un des rôles suivants :
Afficher tous les profils de sécurité d'une organisation L'un des rôles suivants :
Utiliser un profil de sécurité dans un groupe de profils de sécurité L'un des rôles suivants :

Quotas

Pour afficher les quotas associés aux profils de sécurité, consultez la section Quotas et limites.

Étape suivante