Les profils de sécurité vous aident à définir la règle d'inspection de couche 7 pour vos ressourcesGoogle Cloud . Il s'agit de structures de règles génériques utilisées par les points de terminaison de pare-feu pour analyser le trafic intercepté afin de fournir des services de couche d'application, tels que le service de filtrage d'URL et le service de détection et de prévention des intrusions.
Ce document fournit une présentation détaillée des profils de sécurité et de leurs fonctionnalités.
Spécifications
Un profil de sécurité est une ressource au niveau de l'organisation.
Cloud Next Generation Firewall est compatible avec les profils de sécurité de type
url-filteringetthreat-prevention.Chaque profil de sécurité est identifié de manière unique par une URL comprenant les éléments suivants :
- ID de l'organisation : ID de l'organisation.
- Emplacement : champ d'application du profil de sécurité. L'emplacement est toujours défini sur
global. - Nom : nom du profil de sécurité au format suivant :
- Chaîne de 1 à 63 caractères.
- N'inclut que des caractères alphanumériques ou des traits d'union (-).
- Ne doit pas commencer par un chiffre.
Pour créer un identifiant d'URL unique pour un profil de sécurité, utilisez le format suivant :
organization/ORGANIZATION_ID/locations/LOCATION/securityProfiles/SECURITY_PROFILE_NAMEPar exemple, un profil de sécurité
example-security-profileayant le niveau d'accèsglobaldans l'organisation2345678432possède l'identifiant unique suivant :organization/2345678432/locations/global/securityProfiles/example-security-profileAprès avoir créé un profil de sécurité, vous avez la possibilité de l'associer de suite à un groupe de profils de sécurité ou de l'associer ultérieurement. Ce groupe de profils de sécurité est référencé par la stratégie de pare-feu du réseau cloud privé virtuel (VPC) dans lequel vous souhaitez appliquer l'inspection de couche 7.
Chaque profil de sécurité doit être associé à un ID de projet. Le projet associé est utilisé pour les quotas et les restrictions d'accès sur les ressources des profils de sécurité. Si vous authentifiez votre compte de service à l'aide de la commande
gcloud auth activate-service-account, vous pouvez associer votre compte de service au profil de sécurité. Pour savoir comment créer un profil de sécurité, consultez Créer un profil de sécurité de prévention des menaces et Créer un profil de sécurité de filtrage d'URL.
Profil de sécurité de filtrage des URL
Cloud NGFW utilise un profil de sécurité de filtrage des URL pour configurer le service de filtrage des URL.
Un profil de sécurité de filtrage des URL est un type de profil de sécurité qui utilise un ou plusieurs filtres d'URL pour définir des stratégies de sécurité pour les points de terminaison du pare-feu. Un filtre d'URL est une liste de chaînes de correspondance avec une priorité et une action uniques. Les chaînes de correspondance contiennent des noms de domaine que Cloud NGFW compare au message HTTP en cours d'évaluation. Pour les messages chiffrés, Cloud NGFW compare les chaînes de correspondance au SNI envoyé lors de la négociation TLS. Si vous activez l'inspection TLS, Cloud NGFW déchiffre l'en-tête du message et évalue également l'en-tête de l'hôte. Pour le trafic non chiffré, Cloud NGFW compare toujours les chaînes de correspondance à l'en-tête d'hôte du message HTTP.
La priorité d'un filtre d'URL est déterminée par la valeur unique que vous spécifiez à l'aide du champ priority. La valeur de priorité d'un filtre d'URL peut être comprise entre 0 et 2147483647. Cloud NGFW traite d'abord la valeur numérique la plus basse (qui représente la priorité la plus élevée), puis la valeur numérique immédiatement supérieure, et ainsi de suite jusqu'à ce qu'il trouve une correspondance. Cloud NGFW n'évalue pas les domaines individuels d'une liste de filtrage d'URL par ordre de priorité.
Pour en savoir plus sur la création et la gestion de profils de sécurité de filtrage des URL, consultez Créer et gérer des profils de sécurité de filtrage des URL.
Pour en savoir plus sur la configuration du filtrage des URL, consultez Configurer le service de filtrage des URL.
Profil de sécurité de prévention des menaces
Cloud NGFW utilise des profils de sécurité de prévention des menaces pour fournir un service de détection et de prévention des intrusions.
Lorsque vous créez un profil de sécurité de type threat-prevention, les signatures de menaces par défaut suivantes avec un niveau de gravité par défaut et les actions associées sont ajoutées au profil :
- Signatures de détection des failles
- Signatures anti-espions
- Signatures antivirus
- Signatures DNS
Vous avez la possibilité d'ajouter des remplacements de niveau de gravité à vos profils de sécurité de prévention des menaces. Chaque signature par défaut comporte un niveau de gravité de menace. Le niveau de gravité indique le risque de la menace détectée. Chaque niveau de gravité est également associé à une action par défaut. L'action par défaut spécifie les mesures prises par Cloud NGFW pour traiter les menaces d'un niveau de gravité spécifique. Vous pouvez utiliser des profils de sécurité de prévention des menaces pour remplacer l'action par défaut associée à un niveau de gravité.
Les actions suivantes sont acceptées :
- Aucun remplacement : effectue l'action par défaut associée à la menace.
- Refuser : consigne la menace et supprime le paquet.
- Alerte : consigne la menace et autorise la session.
- Autoriser : ignore la menace si elle est détectée.
Lorsque vous créez un profil de sécurité de prévention des menaces, l'action de remplacement par défaut pour tous les niveaux de gravité est définie sur No override.
Vous pouvez également ajouter des remplacements de signature à vos profils de sécurité de prévention des menaces. Chaque signature de menace est associée à une action par défaut. Vous pouvez utiliser des profils de sécurité de prévention des menaces pour remplacer les actions par défaut des signatures de menaces en utilisant les actions précédentes. Les remplacements de signatures prévalent sur les remplacements de niveau de gravité.
Pour en savoir plus sur la configuration de la prévention des menaces, consultez Configurer le service de détection et de prévention des intrusions.
Rôles de gestion de l'authentification et des accès (IAM)
Les rôles Identity and Access Management (IAM) régissent les actions des profils de sécurité suivantes :
- Créer un profil de sécurité dans une organisation
- Modifier ou supprimer un profil de sécurité
- Afficher les détails d'un profil de sécurité
- Afficher la liste des profils de sécurité dans une organisation
- Utiliser un profil de sécurité dans un groupe de profils de sécurité
Le tableau suivant décrit les rôles nécessaires pour chaque étape.
| Aptitude | Rôle nécessaire |
|---|---|
| Créer un profil de sécurité | Rôles Administrateur de réseaux Compute (roles/compute.networkAdmin) et Administrateur de profils de sécurité (roles/networksecurity.securityProfileAdmin) sur l'organisation où le profil de sécurité est créé. |
| Modifier un profil de sécurité | Rôles Administrateur de réseaux Compute (roles/compute.networkAdmin) et Administrateur de profils de sécurité (roles/networksecurity.securityProfileAdmin) sur l'organisation où le profil de sécurité est créé. |
| Supprimer un profil de sécurité | Rôle Administrateur de réseaux Compute (roles/compute.networkAdmin) sur l'organisation où le profil de sécurité est créé. |
| Afficher les détails du profil de sécurité d'une organisation | L'un des rôles suivants pour l'organisation : Administrateur de réseaux Compute ( roles/compute.networkAdmin)Utilisateur de réseaux Compute ( roles/compute.networkUser)Lecteur de réseaux Compute ( roles/compute.networkViewer)Administrateur de profils de sécurité ( roles/networksecurity.securityProfileAdmin) |
| Afficher tous les profils de sécurité d'une organisation | L'un des rôles suivants pour l'organisation : Administrateur de réseaux Compute ( roles/compute.networkAdmin)Utilisateur de réseaux Compute ( roles/compute.networkUser)Lecteur de réseaux Compute ( roles/compute.networkViewer)Administrateur de profils de sécurité ( roles/networksecurity.securityProfileAdmin) |
| Utiliser un profil de sécurité dans un groupe de profils de sécurité | L'un des rôles suivants pour l'organisation : Administrateur de réseaux Compute ( roles/compute.networkAdmin)Utilisateur de réseaux Compute ( roles/compute.networkUser)Administrateur de profils de sécurité ( roles/networksecurity.securityProfileAdmin) |
Quotas
Pour afficher les quotas associés aux profils de sécurité, consultez la section Quotas et limites.
Tarifs
La tarification des profils de sécurité est décrite dans la section Tarifs de Cloud NGFW.
Étapes suivantes
- Configurer le service de filtrage d'URL
- Configurer le service de détection et de prévention des intrusions
- Créer et gérer des profils de sécurité de prévention des menaces
- Créer et gérer des profils de sécurité de filtrage des URL