Los perfiles de seguridad te ayudan a definir la política de inspección de la capa 7 para tus recursos deGoogle Cloud . Son estructuras de políticas genéricas que usan los extremos de firewall para analizar el tráfico interceptado a fin de proporcionar servicios de capa de aplicación, como el servicio de filtrado de URLs y el servicio de detección y prevención de intrusiones.
En este documento, se proporciona una descripción general detallada de los perfiles de seguridad y sus capacidades.
Especificaciones
Un perfil de seguridad es un recurso a nivel de la organización.
El firewall de nueva generación de Cloud admite perfiles de seguridad de tipos
url-filteringythreat-prevention.Cada perfil de seguridad se identifica de manera inequívoca mediante una URL con los siguientes elementos:
- ID de la organización: ID de la organización.
- Ubicación: permiso del perfil de seguridad. La ubicación siempre está configurada como
global. - Nombre: Nombre del perfil de seguridad con el siguiente formato:
- Una string de 1 a 63 caracteres
- Solo incluye caracteres alfanuméricos o guiones (-)
- No debe comenzar con un número
A fin de crear un identificador de URL único para un perfil de seguridad, usa el siguiente formato:
organization/ORGANIZATION_ID/locations/LOCATION/securityProfiles/SECURITY_PROFILE_NAMEPor ejemplo, un perfil de seguridad
globalexample-security-profileen la organización2345678432tiene el siguiente identificador único:organization/2345678432/locations/global/securityProfiles/example-security-profileDespués de crear un perfil de seguridad, tienes la opción de adjuntarlo a un grupo de perfiles de seguridad o de vincularlo más adelante. La política de firewall de la red de nube privada virtual (VPC) en la que deseas aplicar la inspección de capa 7 hace referencia a este grupo de perfiles de seguridad.
Cada perfil de seguridad debe tener un ID del proyecto asociado. El proyecto asociado se usa para la facturación, las cuotas y las restricciones de acceso en los recursos del perfil de seguridad. Si autenticas la cuenta de servicio con el comando
gcloud auth activate-service-account, puedes asociarla con el perfil de seguridad. Si quieres obtener más información para crear un perfil de seguridad, consulta Crea un perfil de seguridad de prevención de amenazas y Crea un perfil de seguridad de filtrado de URL.
Perfil de seguridad de filtrado de URLs
Cloud NGFW usa un perfil de seguridad de filtrado de URLs para configurar el servicio de filtrado de URLs.
Un perfil de seguridad de filtrado de URLs es un tipo de perfil de seguridad que usa uno o más filtros de URL para definir políticas de seguridad para los extremos del firewall. Un filtro de URL es una lista de cadenas de comparador con una prioridad y una acción únicas. Las cadenas de comparador contienen nombres de dominio con los que Cloud NGFW compara el mensaje HTTP que se está evaluando. En el caso de los mensajes encriptados, Cloud NGFW verifica las cadenas de comparador con la SNI enviada durante la negociación de TLS. Si habilitas la inspección de TLS, Cloud NGFW desencripta el encabezado del mensaje y también evalúa el encabezado del host. Para el tráfico sin encriptar, Cloud NGFW siempre compara las cadenas de comparador con el encabezado host del mensaje HTTP.
La prioridad de un filtro de URL se determina por el valor único que especificas con el campo priority. El valor de prioridad de un filtro de URL puede variar de 0 a 2147483647. Cloud NGFW procesa primero el valor numérico más bajo (que representa la prioridad más alta) y, luego, el siguiente valor numérico más alto hasta que encuentra una coincidencia. Cloud NGFW no evalúa los dominios individuales dentro de una lista de filtrado de URLs en orden de prioridad.
Si quieres obtener más información para crear y administrar perfiles de seguridad de filtrado de URLs, consulta Crea y administra perfiles de seguridad de filtrado de URLs.
Para obtener más información sobre cómo configurar el filtrado de URLs, consulta Configura el servicio de filtrado de URLs.
Perfil de seguridad de prevención de amenazas
Cloud NGFW usa perfiles de seguridad de prevención de amenazas para proporcionar prevención y detección de intrusiones.
Cuando creas un perfil de seguridad de tipo threat-prevention, se agregan las siguientes firmas de amenazas predeterminadas con la gravedad predeterminada y las acciones asociadas al perfil:
- Firmas de detección de vulnerabilidades
- Firmas anti software espía
- Firmas antivirus
- Firmas DNS
Tienes la opción de agregar anulaciones de gravedad a tus perfiles de seguridad de prevención de amenazas. Cada firma predeterminada tiene un nivel de gravedad de amenaza. El nivel de gravedad indica el riesgo de las amenazas detectadas. Cada nivel de gravedad también tiene una acción predeterminada asociada. La acción predeterminada especifica las medidas que toma Cloud NGFW para controlar las amenazas con un nivel de gravedad específico. Puedes usar perfiles de seguridad de prevención de amenazas para anular la acción predeterminada de un nivel de gravedad.
Se admiten las siguientes acciones:
- Sin anulación: Realiza la acción predeterminada asociada con la amenaza.
- Denegar: Registra la amenaza y descarta el paquete.
- Alerta: Registra la amenaza y permite la sesión.
- Permitir: Ignora la amenaza si se detecta.
Cuando creas un perfil de seguridad de prevención de amenazas, la acción de anulación predeterminada para todos los niveles de gravedad se establece en No override.
También puedes agregar anulaciones de firma a tus perfiles de seguridad de prevención de amenazas. Cada firma de amenaza tiene una acción predeterminada asociada. Puedes usar perfiles de seguridad de prevención de amenazas para anular las acciones predeterminadas de las firmas de amenazas con las acciones anteriores. Las anulaciones de firma tienen prioridad sobre las anulaciones de gravedad.
Para obtener más información sobre cómo configurar la prevención de amenazas, consulta Configura el servicio de detección y prevención de intrusiones.
Funciones de Identity and Access Management
Los roles de Identity and Access Management (IAM) rigen las siguientes acciones de perfiles de seguridad:
- Crear un perfil de seguridad en una organización
- Modificar o borrar un perfil de seguridad
- Visualizar los detalles de un perfil de seguridad
- Visualizar una lista de los perfiles de seguridad de una organización
- Usar un perfil de seguridad en un grupo de perfiles de seguridad
En la siguiente tabla, se describen los roles necesarios para cada paso.
| Capacidad | Rol necesario |
|---|---|
| Crear un perfil de seguridad | Roles de Administrador de red de Compute (roles/compute.networkAdmin) y Administrador de perfiles de seguridad (roles/networksecurity.securityProfileAdmin) en la organización en la que se crea el perfil de seguridad. |
| Modificar un perfil de seguridad | Roles de Administrador de red de Compute (roles/compute.networkAdmin) y Administrador de perfiles de seguridad (roles/networksecurity.securityProfileAdmin) en la organización en la que se crea el perfil de seguridad. |
| Borra un perfil de seguridad | Rol de Administrador de red de Compute (roles/compute.networkAdmin) en la organización en la que se crea el perfil de seguridad. |
| Visualizar los detalles del perfil de seguridad de una organización | Cualquiera de los siguientes roles para la organización: Administrador de red de Compute ( roles/compute.networkAdmin)Usuario de red de Compute ( roles/compute.networkUser)Visualizador de red de Compute ( roles/compute.networkViewer)Administrador de perfiles de seguridad ( roles/networksecurity.securityProfileAdmin) |
| Visualizar todos los perfiles de seguridad de una organización | Cualquiera de los siguientes roles para la organización: Administrador de red de Compute ( roles/compute.networkAdmin)Usuario de red de Compute ( roles/compute.networkUser)Visualizador de red de Compute ( roles/compute.networkViewer)Administrador de perfiles de seguridad ( roles/networksecurity.securityProfileAdmin) |
| Usar un perfil de seguridad en un grupo de perfiles de seguridad | Cualquiera de los siguientes roles para la organización: Administrador de red de Compute ( roles/compute.networkAdmin)Usuario de red de Compute ( roles/compute.networkUser)Administrador de perfiles de seguridad ( roles/networksecurity.securityProfileAdmin) |
Cuotas
Para ver las cuotas asociadas con los perfiles de seguridad, consulta Cuotas y límites.
Precios
Los precios de los perfiles de seguridad se describen en los precios de Cloud NGFW.
¿Qué sigue?
- Configura el servicio de filtrado de URLs
- Configura el servicio de detección y prevención de intrusiones
- Crea y administra perfiles de seguridad de prevención de amenazas
- Crea y administra perfiles de seguridad de filtrado de URLs