Questa pagina spiega come creare e gestire gruppi di profili di sicurezza utilizzando la console Google Cloud o Google Cloud CLI.
Prima di iniziare
- Devi abilitare l'API Network Security nel tuo progetto.
Installa gcloud CLI se vuoi eseguire gli esempi di riga di comando
gcloudin questa guida.Devi disporre di un profilo di sicurezza per la prevenzione delle minacce o di un profilo di sicurezza con filtro degli URL.
Ruoli
Per ottenere le autorizzazioni necessarie per creare, visualizzare, aggiornare o eliminare gruppi di profili di sicurezza, chiedi all'amministratore di concederti i ruoli IAM necessari nella tua organizzazione o nel tuo progetto. Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso.
Creare un gruppo di profili di sicurezza
Ogni gruppo di profili di sicurezza può contenere fino a un profilo di sicurezza di ciascuno dei seguenti tipi:
url-filteringthreat-prevention
Gruppi di profili di sicurezza a livello di organizzazione
Per creare un gruppo di profili di sicurezza a livello di organizzazione, utilizza la consoleGoogle Cloud o gcloud CLI.
Quando crei un gruppo di profili di sicurezza, puoi specificare il nome del gruppo di profili di sicurezza come stringa o come identificatore URL univoco. Per creare l'URL univoco per un gruppo di profili di sicurezza, utilizza il seguente formato:
organizations/ORGANIZATION_ID/locations/global/securityProfileGroups/NAME
Se utilizzi un identificatore URL univoco per il nome del gruppo di profili di sicurezza, l'organizzazione e la posizione del gruppo di profili di sicurezza sono già inclusi nell'identificatore URL. Tuttavia, se utilizzi solo il nome del gruppo di profili di sicurezza, devi specificare separatamente l'organizzazione e la località. Per ulteriori informazioni sugli identificatori URL unici, consulta le specifiche dei gruppi di profili di sicurezza.
Console
Nella console Google Cloud , vai alla pagina Profili di sicurezza.
Nel menu del selettore dei progetti, seleziona la tua organizzazione.
Seleziona la scheda Gruppi di profili di sicurezza.
Configura un gruppo di profili di sicurezza:
- Fai clic su Crea gruppo di profili.
- Inserisci un nome nel campo Nome.
- (Facoltativo) Inserisci una descrizione nel campo Descrizione.
- Per creare un gruppo di profili di sicurezza per Cloud Next Generation Firewall Enterprise, nella sezione Scopo, seleziona Cloud NGFW Enterprise.
- Nell'elenco Profilo di prevenzione delle minacce o nell'elenco Profilo di filtro URL, seleziona il profilo di sicurezza che vuoi aggiungere a questo gruppo di profili di sicurezza.
- Fai clic su Crea.
gcloud
Per creare un gruppo di profili di sicurezza, utilizza il comando
gcloud network-security
security-profile-groups create:
gcloud network-security security-profile-groups create NAME \
--organization ORGANIZATION_ID \
--location LOCATION \
--billing-project QUOTA_PROJECT_ID \
--url-filtering-profile SECURITY_PROFILE_URL \
--threat-prevention-profile SECURITY_PROFILE_URL \
--description DESCRIPTION
Sostituisci quanto segue:
NAME: il nome del gruppo di profili di sicurezza; puoi specificare il nome come stringa o come identificatore URL univoco.ORGANIZATION_ID: l'organizzazione in cui viene creato il gruppo di profili di sicurezza. Se utilizzi un identificatore URL univoco per la variabileNAME, puoi omettere il flag--organization.LOCATION: la posizione del gruppo di profili di sicurezza.La posizione è sempre impostata su
global. Se utilizzi un identificatore URL univoco per la variabileNAME, puoi omettere il flag--location.QUOTA_PROJECT_ID: un ID progetto facoltativo da utilizzare per le quote e le limitazioni di accesso al gruppo di profili di sicurezza.SECURITY_PROFILE_URL: un identificatore URL univoco per un profilo di sicurezza di tipourl-filteringothreat-prevention. Devi aggiungere almeno uno di questi profili di sicurezza.DESCRIPTION: una descrizione facoltativa del gruppo di profili di sicurezza.
Gruppi di profili di sicurezza a livello di progetto
Per creare un gruppo di profili di sicurezza a livello di progetto, utilizza gcloud CLI.
Quando crei un gruppo di profili di sicurezza, puoi specificare il nome del gruppo di profili di sicurezza come stringa o come identificatore URL univoco. Per creare l'URL univoco per un gruppo di profili di sicurezza , utilizza il seguente formato:
projects/PROJECT_ID/locations/global/securityProfileGroups/NAME
Se utilizzi un identificatore URL univoco per il nome del gruppo di profili di sicurezza, il progetto e la posizione del gruppo di profili di sicurezza sono già inclusi nell'identificatore URL. Tuttavia, se utilizzi solo il nome del gruppo di profili di sicurezza, devi specificare separatamente il progetto e la località. Per ulteriori informazioni sugli identificatori URL unici, consulta le specifiche dei gruppi di profili di sicurezza.
gcloud
Per creare un gruppo di profili di sicurezza, utilizza il comando
gcloud network-security
security-profile-groups create:
gcloud beta network-security security-profile-groups create NAME \
--project PROJECT_ID \
--location LOCATION \
--url-filtering-profile SECURITY_PROFILE_URL \
--threat-prevention-profile SECURITY_PROFILE_URL \
--description DESCRIPTION
Sostituisci quanto segue:
NAME: il nome del gruppo di profili di sicurezza; puoi specificare il nome come stringa o come identificatore URL univoco.PROJECT_ID: il progetto in cui viene creato il gruppo di profili di sicurezza. Se utilizzi un identificatore URL univoco per la variabileNAME, puoi omettere il flag--project.LOCATION: la posizione del gruppo di profili di sicurezza.La posizione è sempre impostata su
global. Se utilizzi un identificatore URL univoco per la variabileNAME, puoi omettere il flag--location.SECURITY_PROFILE_URL: un identificatore URL univoco per un profilo di sicurezza di tipourl-filteringothreat-prevention. Devi aggiungere almeno uno di questi profili di sicurezza.DESCRIPTION: una descrizione facoltativa del gruppo di profili di sicurezza.
Visualizzare un gruppo di profili di sicurezza
Puoi visualizzare i dettagli di un gruppo di profili di sicurezza specifico in un'organizzazione o un progetto.
Gruppi di profili di sicurezza a livello di organizzazione
Per visualizzare un gruppo di profili di sicurezza a livello di organizzazione, utilizza la consoleGoogle Cloud o gcloud CLI.
Console
Nella console Google Cloud , vai alla pagina Profili di sicurezza.
Seleziona la scheda Gruppi di profili di sicurezza. La scheda mostra un elenco di gruppi di profili di sicurezza configurati.
Seleziona il gruppo di profili di sicurezza per visualizzarne i dettagli.
gcloud
Per visualizzare i dettagli di un gruppo di profili di sicurezza, utilizza il comando gcloud
network-security security-profile-groups describe:
gcloud network-security security-profile-groups describe NAME \
--organization ORGANIZATION_ID \
--location LOCATION \
--billing-project QUOTA_PROJECT_ID
Sostituisci quanto segue:
NAME: il nome del gruppo di profili di sicurezza; puoi specificare il nome come stringa o come identificatore URL univoco.ORGANIZATION_ID: l'organizzazione in cui esiste il gruppo di profili di sicurezza. Se utilizzi un identificatore URL univoco per la variabileNAME, puoi omettere il flag--organization.LOCATION: la posizione del gruppo di profili di sicurezza.La posizione è sempre impostata su
global. Se utilizzi un identificatore URL univoco per la variabileNAME, puoi omettere il flag--location.QUOTA_PROJECT_ID: un ID progetto facoltativo da utilizzare per le quote e le limitazioni di accesso al gruppo di profili di sicurezza.
Gruppi di profili di sicurezza a livello di progetto
Per visualizzare un gruppo di profili di sicurezza a livello di progetto, utilizza gcloud CLI.
gcloud
Per visualizzare i dettagli di un gruppo di profili di sicurezza, utilizza il comando gcloud
beta network-security security-profile-groups describe:
gcloud beta network-security security-profile-groups describe NAME \
--project PROJECT_ID \
--location LOCATION
Sostituisci quanto segue:
NAME: il nome del gruppo di profili di sicurezza; puoi specificare il nome come stringa o come identificatore URL univoco.PROJECT_ID: il progetto in cui esiste il gruppo di profili di sicurezza. Se utilizzi un identificatore URL univoco per il flagNAME, puoi omettere il flag--project.LOCATION: la posizione del gruppo di profili di sicurezza.La posizione è sempre impostata su
global. Se utilizzi un identificatore URL univoco per il flagNAME, puoi omettere il flag--location.
Elenca i gruppi di profili di sicurezza
Puoi elencare tutti i gruppi di profili di sicurezza in un'organizzazione o in un progetto.
Gruppi di profili di sicurezza a livello di organizzazione
Per elencare tutti i gruppi di profili di sicurezza a livello di organizzazione, utilizza la consoleGoogle Cloud o gcloud CLI.
Console
Nella console Google Cloud , vai alla pagina Profili di sicurezza.
Seleziona la scheda Gruppi di profili di sicurezza. La scheda mostra un elenco di gruppi di profili di sicurezza configurati.
gcloud
Per elencare i gruppi di profili di sicurezza, utilizza il comando
gcloud network-security
security-profile-groups list:
gcloud network-security security-profile-groups list \
--organization ORGANIZATION_ID \
--location LOCATION \
--billing-project BILLING_PROJECT_ID
Sostituisci quanto segue:
ORGANIZATION_ID: l'organizzazione in cui esiste il gruppo di profili di sicurezza. Se utilizzi un identificatore URL univoco per la variabileNAME, puoi omettere il flag--organization.LOCATION: la posizione del gruppo di profili di sicurezza.La posizione è sempre impostata su
global. Se utilizzi un identificatore URL univoco per la variabileNAME, puoi omettere il flag--location.BILLING_PROJECT_ID: un ID progetto facoltativo da utilizzare per la fatturazione del gruppo di profili di sicurezza.
Gruppi di profili di sicurezza a livello di progetto
Per elencare tutti i gruppi di profili di sicurezza a livello di progetto, utilizza gcloud CLI.
gcloud
Per elencare i gruppi di profili di sicurezza, utilizza il comando
gcloud network-security
security-profile-groups list:
gcloud network-security security-profile-groups list \
--project PROJECT_ID \
--location LOCATION
Sostituisci quanto segue:
PROJECT_ID: il progetto in cui esiste il gruppo di profili di sicurezza.LOCATION: la posizione del gruppo di profili di sicurezza.La posizione è sempre impostata su
global.
Aggiorna un gruppo di profili di sicurezza
Puoi aggiornare il nome del profilo di sicurezza a cui viene fatto riferimento in un gruppo di profili di sicurezza.
Gruppi di profili di sicurezza a livello di organizzazione
Per aggiornare un gruppo di profili di sicurezza a livello di organizzazione, utilizza la consoleGoogle Cloud o gcloud CLI.
Console
Nella console Google Cloud , vai alla pagina Profili di sicurezza.
Seleziona la scheda Gruppi di profili di sicurezza. La scheda mostra un elenco di gruppi di profili di sicurezza configurati.
Seleziona il gruppo di profili di sicurezza e poi fai clic su Modifica.
Aggiorna i campi obbligatori e fai clic su Salva.
gcloud
Per aggiornare un gruppo di profili di sicurezza, utilizza il comando gcloud network-security
security-profile-groups update:
gcloud network-security security-profile-groups update NAME \
--organization ORGANIZATION_ID \
--location LOCATION \
--clear-threat-prevention-profile | --threat-prevention-profile SECURITY_PROFILE_URL \
--clear-url-filtering-profile | --url-filtering-profile SECURITY_PROFILE_URL \
--billing-project QUOTA_PROJECT_ID \
--description DESCRIPTION
Sostituisci quanto segue:
NAME: il nome del gruppo di profili di sicurezza che vuoi aggiornare; puoi specificare il nome come stringa o come identificatore URL univoco.ORGANIZATION_ID: l'organizzazione in cui esiste il gruppo di profili di sicurezza. Se utilizzi un identificatore URL univoco per la variabileNAME, puoi omettere il flag--organization.LOCATION: la posizione del gruppo di profili di sicurezza.La posizione è sempre impostata su
global. Se utilizzi un identificatore URL univoco per la variabileNAME, puoi omettere il flag--location.SECURITY_PROFILE_URL: un identificatore URL univoco del profilo di sicurezza di tipourl-filteringothreat-prevention.Specifica al massimo uno di questi flag:
clear-threat-prevention-profile: deseleziona il campo threat-prevention-profile.threat-prevention-profile: aggiorna il campo threat-prevention-profile con l'identificatore URL univoco del profilo di sicurezza di tipothreat-prevention.
Allo stesso modo, specifica al massimo uno di questi flag:
clear-url-filtering-profile: cancella il campo url-filtering-profile.url-filtering-profile: aggiorna il campo url-filtering-profile con l'identificatore URL univoco del profilo di sicurezza di tipourl-filtering.
QUOTA_PROJECT_ID: un ID progetto facoltativo da utilizzare per le quote e le limitazioni di accesso al gruppo di profili di sicurezza.DESCRIPTION: una descrizione facoltativa del gruppo di profili di sicurezza.
Gruppi di profili di sicurezza a livello di progetto
Per aggiornare un gruppo di profili di sicurezza a livello di progetto, utilizza gcloud CLI.
gcloud
Per aggiornare un gruppo di profili di sicurezza, utilizza il comando gcloud beta network-security
security-profile-groups update:
gcloud beta network-security security-profile-groups update NAME \
--project PROJECT_ID \
--location LOCATION \
--clear-threat-prevention-profile | --threat-prevention-profile SECURITY_PROFILE_URL \
--clear-url-filtering-profile | --url-filtering-profile SECURITY_PROFILE_URL \
--description DESCRIPTION
Sostituisci quanto segue:
NAME: il nome del gruppo di profili di sicurezza che vuoi aggiornare; puoi specificare il nome come stringa o come identificatore URL univoco.PROJECT_ID: il progetto in cui esiste il gruppo di profili di sicurezza. Se utilizzi un identificatore URL univoco per il flagNAME, puoi omettere il flag--project.LOCATION: la posizione del gruppo di profili di sicurezza.La posizione è sempre impostata su
global. Se utilizzi un identificatore URL univoco per la variabileNAME, puoi omettere il flag--location.SECURITY_PROFILE_URL: un identificatore URL univoco del profilo di sicurezza di tipourl-filteringothreat-prevention.Specifica al massimo uno di questi flag:
clear-threat-prevention-profile: deseleziona il campo threat-prevention-profile.threat-prevention-profile: aggiorna il campo threat-prevention-profile con l'identificatore URL univoco del profilo di sicurezza di tipothreat-prevention.
Allo stesso modo, specifica al massimo uno di questi flag:
clear-url-filtering-profile: cancella il campo url-filtering-profile.url-filtering-profile: aggiorna il campo url-filtering-profile con l'identificatore URL univoco del profilo di sicurezza di tipourl-filtering.
DESCRIPTION: una descrizione facoltativa del gruppo di profili di sicurezza.
Eliminare un gruppo di profili di sicurezza
Puoi eliminare un gruppo di profili di sicurezza specificandone il nome, la posizione e l'organizzazione o il progetto. Tuttavia, se un profilo di sicurezza viene a cui fa riferimento una policy del firewall, il gruppo di profili di sicurezza non può essere eliminato.
Gruppi di profili di sicurezza a livello di organizzazione
Per eliminare un gruppo di profili di sicurezza a livello di organizzazione, utilizza la consoleGoogle Cloud o gcloud CLI.
Console
Nella console Google Cloud , vai alla pagina Profili di sicurezza.
Seleziona la scheda Gruppi di profili di sicurezza. La scheda mostra un elenco di gruppi di profili di sicurezza configurati.
Seleziona il gruppo di profili di sicurezza, quindi fai clic su Elimina.
Fai di nuovo clic su Elimina per confermare.
gcloud
Per eliminare un gruppo di profili di sicurezza, utilizza il comando gcloud network-security
security-profile-groups delete:
gcloud network-security security-profile-groups delete NAME \
--organization ORGANIZATION_ID \
--location LOCATION \
--billing-project QUOTA_PROJECT_ID
Sostituisci quanto segue:
NAME: il nome del gruppo di profili di sicurezza che vuoi eliminare; puoi specificare il nome come stringa o come identificatore URL univoco.ORGANIZATION_ID: l'organizzazione in cui esiste il gruppo di profili di sicurezza. Se utilizzi un identificatore URL univoco per la variabileNAME, puoi omettere il flag--organization.LOCATION: la posizione del gruppo di profili di sicurezza.La posizione è sempre impostata su
global. Se utilizzi un identificatore URL univoco per la variabileNAME, puoi omettere il flag--location.QUOTA_PROJECT_ID: un ID progetto facoltativo da utilizzare per le quote e le limitazioni di accesso al gruppo di profili di sicurezza.
Gruppi di profili di sicurezza a livello di progetto
Per eliminare un gruppo di profili di sicurezza a livello di progetto, utilizza gcloud CLI.
gcloud
Per eliminare un gruppo di profili di sicurezza, utilizza il comando gcloud beta network-security
security-profile-groups delete:
gcloud beta network-security security-profile-groups delete NAME \
--project PROJECT_ID \
--location LOCATION
Sostituisci quanto segue:
NAME: il nome del gruppo di profili di sicurezza che vuoi eliminare; puoi specificare il nome come stringa o come identificatore URL univoco.PROJECT_ID: il progetto in cui esiste il gruppo di profili di sicurezza. Se utilizzi un identificatore URL univoco per la variabileNAME, puoi omettere il flag--project.LOCATION: la posizione del gruppo di profili di sicurezza.La posizione è sempre impostata su
global. Se utilizzi un identificatore URL univoco per la variabileNAME, puoi omettere il flag--location.