Créer des groupes de profils de sécurité

Les groupes de profils de sécurité sont des conteneurs pour les profils de sécurité. Ils vous permettent de regrouper des types de profils de sécurité pour faciliter la gestion et l'application aux règles de pare-feu. Vous pouvez créer ces groupes au niveau de l'organisation ou du projet.

Chaque groupe de profils de sécurité peut contenir au maximum un profil de sécurité de chacun des types suivants :

  • THREAT_PREVENTION
  • URL_FILTERING

Pour appliquer des règles de sécurité réseau cohérentes dans votre environnement Google Cloud, vous pouvez utiliser des groupes de profils de sécurité afin de combiner et d'appliquer des profils de prévention des menaces et de filtrage des URL. En regroupant ces profils, vous pouvez appliquer plusieurs contrôles de sécurité tels que la prévention des menaces et le filtrage des URL sur le trafic réseau à l'aide d'une seule règle de stratégie de pare-feu. Vous assurez ainsi une application cohérente des règles et une gestion simplifiée. Ce document explique comment créer et configurer des groupes de profils de sécurité au niveau de l'organisation et du projet à l'aide de la console Google Cloud ou de la Google Cloud CLI.

Ce document est destiné aux administrateurs réseau et aux ingénieurs en sécurité qui configurent la sécurité du réseau et les règles de pare-feu.

Avant de commencer, consultez les concepts de la Présentation des groupes de profils de sécurité.

Avant de commencer

  • Vous devez activer l'API Network Security dans votre projet.
  • Installez gcloud CLI si vous souhaitez exécuter les exemples de ligne de commande gcloud de ce guide.
  • Créez les profils de sécurité que vous devez ajouter au groupe de profils de sécurité.

Rôles

Pour obtenir les autorisations nécessaires pour créer des groupes de profils de sécurité, demandez à votre administrateur de vous accorder les rôles IAM (Identity and Access Management) nécessaires sur votre organisation ou votre projet. Pour en savoir plus sur l'attribution de rôles, consultez la section Gérer les accès.

Créer un groupe de profils de sécurité

Créez un groupe de profils de sécurité pour regrouper un ou plusieurs profils de sécurité dans une seule ressource. Vous pourrez ainsi les gérer et les appliquer plus facilement aux règles de pare-feu.

Chaque groupe de profils de sécurité peut contenir au maximum un profil de sécurité de chacun des types suivants :

  • URL_FILTERING
  • THREAT_PREVENTION

Console

  1. Dans la console Google Cloud , accédez à la page Profils de sécurité.

    Accéder à la page "Profils de sécurité"

  2. Dans le menu de sélection du projet, sélectionnez votre organisation ou le projet.

  3. Sélectionnez l'onglet Groupes de profils de sécurité.

  4. Cliquez sur Créer un groupe de profils.

  5. Saisissez un nom dans le champ Nom.

  6. Facultatif : saisissez une description dans le champ Description.

  7. Pour créer un groupe de profils de sécurité pour Cloud Next Generation Firewall Enterprise, dans la section Usage, sélectionnez Cloud NGFW Enterprise.

  8. Ajoutez un ou plusieurs profils de sécurité au groupe :

    • Pour ajouter un profil de prévention des menaces, sélectionnez Profil de prévention des menaces.
    • Pour ajouter un profil de filtrage des URL, sélectionnez Profil de filtrage des URL.
  9. Cliquez sur Créer.

gcloud

Pour créer un groupe de profils de sécurité, exécutez la commande gcloud network-security security-profile-groups create :

gcloud network-security security-profile-groups create NAME \
    --organization ORGANIZATION_ID | --project PROJECT_ID \
    [--billing-project QUOTA_PROJECT_ID] \
    --threat-prevention-profile THREAT_SECURITY_PROFILE_URL \
    --url-filtering-profile URL_SECURITY_PROFILE_URL \
    --location global

Remplacez les éléments suivants :

  • NAME : nom du groupe de profils de sécurité.

    Si vous ne spécifiez pas le nom au format d'identifiant d'URL unique, vous devez spécifier l'organisation ou le nom du projet, ainsi que l'emplacement.

  • ORGANIZATION_ID : ID de l'organisation. Utilisez cet indicateur pour un groupe de profils de sécurité au niveau de l'organisation.

  • PROJECT_ID : ID du projet. Utilisez cet indicateur pour un groupe de profils de sécurité au niveau du projet.

  • QUOTA_PROJECT_ID : ID du projet de quota. N'utilisez cet indicateur que pour les groupes de profils de sécurité au niveau de l'organisation.

  • THREAT_SECURITY_PROFILE_URL : identifiant d'URL unique pour un profil de sécurité de type THREAT_PREVENTION.

  • URL_SECURITY_PROFILE_URL : identifiant d'URL unique pour un profil de sécurité de type URL_FILTERING.

Étapes suivantes