Os perfis de segurança ajudam a definir a política de inspeção da camada 7 para os seus Google Cloud recursos. São estruturas de políticas genéricas que são usadas pelos pontos finais da firewall para analisar o tráfego intercetado de modo a fornecer serviços da camada de aplicação, como o serviço de filtragem de URLs e o serviço de deteção e prevenção de intrusões.
Este documento oferece uma vista geral detalhada dos perfis de segurança e das respetivas capacidades.
Especificações
Um perfil de segurança é um recurso ao nível da organização.
O Cloud Next Generation Firewall suporta perfis de segurança dos tipos
url-filteringethreat-prevention.Cada perfil de segurança é identificado de forma exclusiva por um URL com os seguintes elementos:
- ID da organização: ID da organização.
- Localização: âmbito do perfil de segurança. A localização está sempre
definida como
global. - Nome: nome do perfil de segurança no seguinte formato:
- Uma string com 1 a 63 carateres
- Inclui apenas carateres alfanuméricos ou hífenes (-)
- Não pode começar com um número
Para criar um identificador de URL exclusivo para um perfil de segurança, use o seguinte formato:
organization/ORGANIZATION_ID/locations/LOCATION/securityProfiles/SECURITY_PROFILE_NAMEPor exemplo, um
globalperfil de segurançaexample-security-profilena organização2345678432tem o seguinte identificador exclusivo:organization/2345678432/locations/global/securityProfiles/example-security-profileDepois de criar um perfil de segurança, tem a opção de o anexar a um grupo de perfis de segurança ou anexá-lo mais tarde. Este grupo de perfis de segurança é referenciado pela política de firewall da rede de nuvem virtual privada (VPC) onde quer aplicar a inspeção da camada 7.
Cada perfil de segurança tem de ter um ID do projeto associado. O projeto associado é usado para quotas e restrições de acesso em recursos do perfil de segurança. Se autenticar a sua conta de serviço através do comando
gcloud auth activate-service-account, pode associar a conta de serviço ao perfil de segurança. Para saber como criar um perfil de segurança, consulte os artigos Crie um perfil de segurança de prevenção de ameaças e Crie um perfil de segurança de filtragem de URLs.
Perfil de segurança de filtragem de URLs
O Cloud NGFW usa um perfil de segurança de filtragem de URLs para configurar o serviço de filtragem de URLs.
Um perfil de segurança de filtragem de URLs é um tipo de perfil de segurança que usa um ou mais filtros de URLs para definir políticas de segurança para os pontos finais da firewall. Um filtro de URL é uma lista de strings de correspondência com uma prioridade única e uma ação. As strings de correspondência contêm nomes de domínios com os quais o Cloud NGFW estabelece correspondência com a mensagem HTTP que está a ser avaliada. Para mensagens encriptadas, o NGFW da nuvem verifica as strings de correspondência em relação ao SNI enviado durante a negociação TLS. Se ativar a inspeção TLS, o Cloud NGFW desencripta o cabeçalho da mensagem e também avalia o cabeçalho do anfitrião. Para tráfego não encriptado, o Cloud NGFW compara sempre as strings de correspondência com o cabeçalho do anfitrião da mensagem HTTP.
A prioridade de um filtro de URL é determinada pelo valor único que especifica
através do campo priority. O valor de prioridade de um filtro de URL pode variar entre 0 e 2147483647. O NGFW da nuvem processa primeiro o valor numérico mais baixo (que representa a prioridade mais alta), seguido do valor numérico mais alto seguinte, até encontrar uma correspondência. O NGFW da nuvem não avalia os domínios individuais numa lista de filtragem de URLs por ordem de prioridade.
Para saber como criar e gerir perfis de segurança de filtragem de URLs, consulte o artigo Crie e faça a gestão de perfis de segurança de filtragem de URLs.
Para saber como configurar a filtragem de URLs, consulte o artigo Configure o serviço de filtragem de URLs.
Perfil de segurança de prevenção contra ameaças
O Cloud NGFW usa perfis de segurança de prevenção de ameaças para fornecer deteção e prevenção de intrusões.
Quando cria um perfil de segurança do tipo threat-prevention, as seguintes
assinaturas de ameaças predefinidas
com gravidade predefinida e ações associadas são adicionadas ao perfil:
- Assinaturas de deteção de vulnerabilidades
- Assinaturas de anti-spyware
- Assinaturas de antivírus
- Assinaturas DNS
Tem a opção de adicionar substituições de gravidade aos seus perfis de segurança de prevenção de ameaças. Cada assinatura predefinida tem um nível de gravidade da ameaça. O nível de gravidade indica o risco da ameaça detetada. Cada nível de gravidade também tem uma ação predefinida associada. A ação predefinida especifica as medidas que o Cloud NGFW toma para lidar com ameaças com um nível de gravidade específico. Pode usar perfis de segurança de prevenção contra ameaças para substituir a ação predefinida para um nível de gravidade.
As seguintes ações são suportadas:
- Sem substituição: executa a ação predefinida associada à ameaça.
- Recusar: regista a ameaça e rejeita o pacote.
- Alerta: regista a ameaça e permite a sessão.
- Permitir: ignora a ameaça, se for detetada.
Quando cria um perfil de segurança de prevenção de ameaças, a ação de substituição predefinida para todos os níveis de gravidade é definida como No override.
Também pode adicionar substituições de assinaturas aos perfis de segurança de prevenção de ameaças. Cada assinatura de ameaça tem uma ação predefinida associada. Pode usar perfis de segurança de prevenção de ameaças para substituir as ações predefinidas das assinaturas de ameaças através das ações anteriores. As substituições de assinatura têm precedência sobre as substituições de gravidade.
Para saber como configurar a prevenção contra ameaças, consulte o artigo Configure o serviço de deteção e prevenção de intrusões.
Funções de gestão de identidade e de acesso
As funções de gestão de identidade e de acesso (IAM) regem as seguintes ações dos perfis de segurança:
- Criar um perfil de segurança numa organização
- Modificar ou eliminar um perfil de segurança
- Ver detalhes de um perfil de segurança
- Visualizar uma lista de perfis de segurança numa organização
- Usar um perfil de segurança num grupo de perfis de segurança
A tabela seguinte descreve as funções necessárias para cada passo.
| Capacidade | Função necessária |
|---|---|
| Crie um perfil de segurança | Funções de administrador de rede de computação (roles/compute.networkAdmin) e administrador do perfil de segurança (roles/networksecurity.securityProfileAdmin) na organização onde o perfil de segurança é criado. |
| Modifique um perfil de segurança | Funções de administrador de rede de computação (roles/compute.networkAdmin) e administrador do perfil de segurança (roles/networksecurity.securityProfileAdmin) na organização onde o perfil de segurança é criado. |
| Elimine um perfil de segurança | Função Administrador de rede de computação (roles/compute.networkAdmin) na organização onde o perfil de segurança é criado. |
| Veja detalhes sobre o perfil de segurança numa organização | Qualquer uma das seguintes funções para a organização: Administrador da rede de computação ( roles/compute.networkAdmin)Utilizador da rede de computação ( roles/compute.networkUser)Visualizador da rede de computação ( roles/compute.networkViewer)Administrador do perfil de segurança ( roles/networksecurity.securityProfileAdmin) |
| Veja todos os perfis de segurança numa organização | Qualquer uma das seguintes funções para a organização: Administrador da rede de computação ( roles/compute.networkAdmin)Utilizador da rede de computação ( roles/compute.networkUser)Visualizador da rede de computação ( roles/compute.networkViewer)Administrador do perfil de segurança ( roles/networksecurity.securityProfileAdmin) |
| Use um perfil de segurança num grupo de perfis de segurança | Qualquer uma das seguintes funções para a organização: Administrador da rede de computação ( roles/compute.networkAdmin)Utilizador da rede de computação ( roles/compute.networkUser)Administrador do perfil de segurança ( roles/networksecurity.securityProfileAdmin) |
Quotas
Para ver as quotas associadas aos perfis de segurança, consulte o artigo Quotas e limites.
Preços
Os preços dos perfis de segurança estão descritos nos preços da NGFW na nuvem.
O que se segue?
- Configure o serviço de filtragem de URLs
- Configure o serviço de deteção e prevenção de intrusões
- Crie e faça a gestão de perfis de segurança de prevenção de ameaças
- Crie e faça a gestão de perfis de segurança de filtragem de URLs