Crear y gestionar grupos de perfiles de seguridad

En esta página se explica cómo crear y gestionar grupos de perfiles de seguridad mediante la consola de Google Cloud o la interfaz de línea de comandos de Google Cloud.

Antes de empezar

Roles

Para obtener los permisos que necesitas para crear, ver, actualizar o eliminar grupos de perfiles de seguridad, pide a tu administrador que te conceda los roles de gestión de identidades y accesos necesarios en tu organización. Para obtener más información sobre cómo conceder roles, consulta el artículo sobre cómo gestionar el acceso.

Crear un grupo de perfiles de seguridad

Cada grupo de perfiles de seguridad puede contener hasta un perfil de seguridad de cada uno de los siguientes tipos:

  • url-filtering
  • threat-prevention

Cuando creas un grupo de perfiles de seguridad, puedes especificar su nombre como una cadena o como un identificador de URL único. La URL única de un grupo de perfiles de seguridad de ámbito de organización se puede crear con el siguiente formato:

organization/ORGANIZATION_ID/locations/LOCATION/securityProfileGroups/SECURITY_PROFILE_GROUP_NAME

Si usas un identificador de URL único para el nombre del grupo de perfiles de seguridad, la organización y la ubicación del grupo de perfiles de seguridad ya se incluyen en el identificador de URL. Sin embargo, si solo usas el nombre del grupo de perfiles de seguridad, debes especificar la organización y la ubicación por separado. Para obtener más información sobre los identificadores únicos de URL, consulta las especificaciones de los grupos de perfiles de seguridad.

Consola

  1. En la Google Cloud consola, ve a la página Perfiles de seguridad.

    Ve a Perfiles de seguridad.

  2. En el menú de selección de proyectos, selecciona tu organización.

  3. Selecciona la pestaña Grupos de perfiles de seguridad.

Configura un grupo de perfiles de seguridad:

  1. Haz clic en Crear grupo de perfiles.
  2. Escribe un nombre en el campo Nombre.
  3. Opcional: Escribe una descripción en el campo Descripción.
  4. En la lista Perfil de prevención de amenazas o en la lista Perfil de filtrado de URLs, selecciona el perfil de seguridad que quieras añadir a este grupo de perfiles de seguridad.
  5. Haz clic en Crear.

gcloud

Para crear un grupo de perfiles de seguridad, usa el gcloud network-security security-profile-groups create comando:

gcloud network-security security-profile-groups create NAME \
    --organization ORGANIZATION_ID \
    --location LOCATION \
    --project PROJECT_ID \
    --url-filtering-profile SECURITY_PROFILE_URL \
    --threat-prevention-profile SECURITY_PROFILE_URL \
    --description DESCRIPTION

Haz los cambios siguientes:

  • NAME: nombre del grupo de perfiles de seguridad. Puede especificar el nombre como una cadena o como un identificador de URL único.

  • ORGANIZATION_ID: la organización en la que se crea el grupo de perfiles de seguridad. Si usas un identificador de URL único para la marca name, puedes omitir la marca organization.

  • LOCATION: la ubicación del grupo de perfiles de seguridad.

    La ubicación siempre está definida como global. Si usa un identificador de URL único para la marca name, puede omitir la marca location.

  • PROJECT_ID: ID de proyecto opcional que se usará para las cuotas y las restricciones de acceso del grupo de perfiles de seguridad.

  • SECURITY_PROFILE_URL: identificador de URL único de un perfil de seguridad de tipo url-filtering o threat-prevention. Debes añadir al menos uno de estos perfiles de seguridad.

  • DESCRIPTION: una descripción opcional del grupo de perfiles de seguridad.

Ver el grupo de perfiles de seguridad

Puedes ver los detalles de un grupo de perfiles de seguridad específico de una organización.

Consola

  1. En la Google Cloud consola, ve a la página Perfiles de seguridad.

    Ve a Perfiles de seguridad.

  2. Selecciona la pestaña Grupos de perfiles de seguridad. En la pestaña se muestra una lista de grupos de perfiles de seguridad configurados.

  3. Selecciona el grupo de perfiles de seguridad para ver sus detalles.

gcloud

Para ver los detalles de un grupo de perfiles de seguridad, usa el comando gcloud network-security security-profile-groups describe:

gcloud network-security security-profile-groups describe NAME \
    --organization ORGANIZATION_ID \
    --location LOCATION \
    --project PROJECT_ID

Haz los cambios siguientes:

  • NAME: nombre del grupo de perfiles de seguridad. Puede especificar el nombre como una cadena o como un identificador de URL único.

  • ORGANIZATION_ID: la organización en la que se crea el grupo de perfiles de seguridad. Si usas un identificador de URL único para la marca name, puedes omitir la marca organization.

  • LOCATION: la ubicación del grupo de perfiles de seguridad.

    La ubicación siempre está definida como global. Si usa un identificador de URL único para la marca name, puede omitir la marca location.

  • PROJECT_ID: ID de proyecto opcional que se usará para las cuotas y las restricciones de acceso del grupo de perfiles de seguridad.

Mostrar grupos de perfiles de seguridad

Puedes enumerar todos los grupos de perfiles de seguridad de una organización.

Consola

  1. En la Google Cloud consola, ve a la página Perfiles de seguridad.

    Ve a Perfiles de seguridad.

  2. Selecciona la pestaña Grupos de perfiles de seguridad. En la pestaña se muestra una lista de grupos de perfiles de seguridad configurados.

gcloud

Para enumerar los grupos de perfiles de seguridad, usa el gcloud network-security security-profile-groups list comando:

gcloud network-security security-profile-groups list \
    --organization ORGANIZATION_ID \
    --location LOCATION \
    --billing-project PROJECT_ID

Haz los cambios siguientes:

  • ORGANIZATION_ID: la organización en la que se crea el grupo de perfiles de seguridad. Si usas un identificador de URL único para la marca name, puedes omitir la marca organization.

  • LOCATION: la ubicación del grupo de perfiles de seguridad.

    La ubicación siempre está definida como global. Si usa un identificador de URL único para la marca name, puede omitir la marca location.

  • PROJECT_ID: ID de proyecto opcional que se usará para facturar el grupo de perfiles de seguridad.

Actualizar un grupo de perfiles de seguridad

Puedes actualizar el nombre del perfil de seguridad al que se hace referencia en un grupo de perfiles de seguridad.

Consola

  1. En la Google Cloud consola, ve a la página Perfiles de seguridad.

    Ve a Perfiles de seguridad.

  2. Selecciona la pestaña Grupos de perfiles de seguridad. En la pestaña se muestra una lista de grupos de perfiles de seguridad configurados.

  3. Selecciona el grupo de perfiles de seguridad y, a continuación, haz clic en Editar.

  4. Actualice los campos obligatorios y, a continuación, haga clic en Guardar.

gcloud

Para actualizar un grupo de perfiles de seguridad, usa el gcloud network-security security-profile-groups update comando:

gcloud network-security security-profile-groups update NAME \
    --organization ORGANIZATION_ID \
    --location LOCATION \
    --clear-threat-prevention-profile | --threat-prevention-profile SECURITY_PROFILE_URL \
    --clear-url-filtering-profile | --url-filtering-profile SECURITY_PROFILE_URL \
    --project PROJECT_ID \
    --description DESCRIPTION

Haz los cambios siguientes:

  • NAME: el nombre del grupo de perfiles de seguridad que quieres actualizar. Puedes especificar el nombre como una cadena o como un identificador de URL único.

  • ORGANIZATION_ID: la organización en la que se crea el grupo de perfiles de seguridad. Si usas un identificador de URL único para la marca name, puedes omitir la marca organization.

  • LOCATION: la ubicación del grupo de perfiles de seguridad.

    La ubicación siempre está definida como global. Si usa un identificador de URL único para la marca name, puede omitir la marca location.

  • SECURITY_PROFILE_URL: identificador de URL único del perfil de seguridad de tipo url-filtering o threat-prevention.

    Especifica como máximo una de estas marcas:

    • clear-threat-prevention-profile: borra el campo threat-prevention-profile.
    • threat-prevention-profile: actualiza el campo threat-prevention-profile con el identificador único de la URL del perfil de seguridad de tipo threat-prevention.

    Del mismo modo, especifica como máximo una de estas marcas:

    • clear-url-filtering-profile: borra el campo url-filtering-profile.
    • url-filtering-profile: actualiza el campo url-filtering-profile con el identificador único de la URL del perfil de seguridad de tipo url-filtering.

  • PROJECT_ID: ID de proyecto opcional que se usará para las cuotas y las restricciones de acceso del grupo de perfiles de seguridad.

  • DESCRIPTION: una descripción opcional del grupo de perfiles de seguridad.

Eliminar un grupo de perfiles de seguridad

Puedes eliminar un grupo de perfiles de seguridad especificando su nombre, ubicación y organización. Sin embargo, si una política de firewall hace referencia a un perfil de seguridad, no se podrá eliminar ese grupo de perfiles de seguridad.

Consola

  1. En la Google Cloud consola, ve a la página Perfiles de seguridad.

    Ve a Perfiles de seguridad.

  2. Selecciona la pestaña Grupos de perfiles de seguridad. En la pestaña se muestra una lista de grupos de perfiles de seguridad configurados.

  3. Selecciona el grupo de perfiles de seguridad y, a continuación, haz clic en Eliminar.

  4. Haz clic en Eliminar de nuevo para confirmar la acción.

gcloud

Para eliminar un grupo de perfiles de seguridad, usa el gcloud network-security security-profile-groups delete comando:

gcloud network-security security-profile-groups delete NAME \
    --organization ORGANIZATION_ID \
    --location LOCATION \
    --billing-project PROJECT_ID

Haz los cambios siguientes:

  • NAME: el nombre del grupo de perfiles de seguridad que quieres eliminar. Puedes especificar el nombre como una cadena o como un identificador de URL único.

  • ORGANIZATION_ID: la organización en la que se crea el grupo de perfiles de seguridad. Si usas un identificador de URL único para la marca name, puedes omitir la marca organization.

  • LOCATION: la ubicación del grupo de perfiles de seguridad.

    La ubicación siempre está definida como global. Si usa un identificador de URL único para la marca name, puede omitir la marca location.

  • PROJECT_ID: ID de proyecto opcional que se usará para las cuotas y las restricciones de acceso del grupo de perfiles de seguridad.

Siguientes pasos