En esta página, se explica cómo crear y administrar grupos de perfiles de seguridad con un perfil de seguridad personalizado mediante Google Cloud CLI.
Antes de comenzar
- Debes habilitar la API de Network Security en tu proyecto.
Instala la CLI de gcloud si deseas ejecutar los
gcloudejemplos de la línea de comandos de esta guía.Debes tener un perfil de seguridad de duplicación personalizado.
Funciones
Para obtener los permisos que necesitas para crear, ver, actualizar o borrar grupos de perfiles de seguridad, pídele a tu administrador que te otorgue los roles necesarios de Identity and Access Management (IAM) en tu organización o proyecto. Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.
Para verificar el progreso de las operaciones enumeradas en esta página, asegúrate de que
tu rol de usuario tenga los siguientes
Rol de usuario de la red de Compute
(roles/compute.networkUser) permisos:
networksecurity.operations.getnetworksecurity.operations.list
Crea un grupo de perfiles de seguridad con un perfil personalizado
Puedes crear grupos de perfiles de seguridad a nivel de la organización o del proyecto (vista previa). Solo puedes crear un grupo de perfiles de seguridad con un perfil de seguridad de tipo CUSTOM_MIRRORING.
Console
En la Google Cloud consola, ve a la página **Grupos de perfiles de seguridad**.
En el selector de proyectos, selecciona tu organización o el proyecto (vista previa).
En la pestaña Grupos de perfiles de seguridad, haz clic en Crear grupo de perfiles.
En Nombre, ingresa el nombre del grupo de perfiles de seguridad.
En Propósito del grupo de perfiles de seguridad, selecciona NSI fuera de banda.
En Perfil de duplicación personalizado, selecciona el perfil de seguridad personalizado para la integración en banda.
Haz clic en Crear.
gcloud
Para crear un grupo de perfiles de seguridad, usa el comando gcloud network-security security-profile-groups create:
gcloud network-security security-profile-groups \
create SECURITY_PROFILE_GROUP_NAME \
--custom-mirroring-profile CUSTOM_MIRRORING_PROFILE_NAME \
--description DESCRIPTION \
--organization ORGANIZATION_ID | --project PROJECT_ID \
--location=global \
[--billing-project QUOTA_PROJECT_ID]
Reemplaza lo siguiente:
SECURITY_PROFILE_GROUP_NAME: el nombre del grupo de perfiles de seguridad.Si no especificas el nombre en el formato de identificador de URL único , debes especificar la organización o el nombre del proyecto, y la ubicación.
CUSTOM_MIRRORING_PROFILE_NAME: el nombre del perfil de seguridad de duplicación personalizado.DESCRIPTION: es una descripción opcional para el grupo de perfiles de seguridad.ORGANIZATION_ID: Es el ID de tu organización. Usa esta marca para crear un grupo de perfiles de seguridad a nivel de la organización.PROJECT_ID: ID del proyecto Usa esta marca para crear un grupo de perfiles de seguridad a nivel del proyecto (vista previa).La marca
--projectestá disponible en (vista previa). Para usar esta marca, ejecuta elgcloud beta network-security security-profile-groups createcomando.QUOTA_PROJECT_ID: Es el ID de tu proyecto de cuota. Usa esta marca solo para grupos de perfiles de seguridad a nivel de la organización.
Terraform
Para crear un grupo de perfiles de seguridad, puedes usar un recurso google_network_security_security_profile_group.
Si deseas obtener más información para aplicar o quitar una configuración de Terraform, consulta los comandos básicos de Terraform.
Enumera y visualiza los detalles de un grupo de perfiles de seguridad
Puedes enumerar grupos de perfiles de seguridad en una organización o un proyecto (vista previa) y ver los detalles de un grupo, como su nombre y perfil de intercepción personalizado.
Console
En la Google Cloud consola, ve a la página Grupos de perfiles de seguridad.
En el selector de proyectos, selecciona tu organización o el proyecto (vista previa). En la pestaña, se enumeran todos los grupos de perfiles de seguridad.
En la pestaña Grupos de perfiles de seguridad, haz clic en el nombre del grupo de perfiles de seguridad para ver sus detalles.
gcloud
Para enumerar los grupos de perfiles de seguridad de duplicación personalizados, usa el
gcloud network-security security-profile-groups list comando:
gcloud network-security security-profile-groups list \
--organization ORGANIZATION_ID | --project PROJECT_ID \
--location=global \
--filter CUSTOM_MIRRORING_PROFILE \
[--billing-project QUOTA_PROJECT_ID]
Para ver los detalles de un grupo de perfiles de seguridad, usa el
gcloud network-security security-profile-groups describe comando:
gcloud network-security security-profile-groups \
describe SECURITY_PROFILE_GROUP_NAME \
--organization ORGANIZATION_ID | --project PROJECT_ID \
--location=global \
[--billing-project QUOTA_PROJECT_ID]
Reemplaza lo siguiente:
SECURITY_PROFILE_GROUP_NAME: el nombre del grupo de perfiles de seguridad.Si no especificas el nombre en el formato de identificador de URL único , debes especificar la organización o el nombre del proyecto, y la ubicación.
CUSTOM_MIRRORING_PROFILE: el perfil de seguridad de duplicación personalizado por el que se filtrará.ORGANIZATION_ID: Es el ID de tu organización en la que existe el grupo de perfiles de seguridad.PROJECT_ID: el ID del proyecto en el que existe el grupo de perfiles de seguridad.La marca
--projectestá disponible en (vista previa). Para usar esta marca, ejecuta elgcloud beta network-security security-profile-groups describecomando.QUOTA_PROJECT_ID: Es el ID de tu proyecto de cuota. Usa esta marca solo para grupos de perfiles de seguridad a nivel de la organización.
Actualiza un grupo de perfiles de seguridad
Puedes actualizar la descripción y las etiquetas del perfil de seguridad al que se hace referencia en un grupo de perfiles de seguridad.
Console
En la Google Cloud consola, ve a la página Grupos de perfiles de seguridad.
En el selector de proyectos, selecciona tu organización o el proyecto (vista previa).
Haz clic en tu grupo de perfiles de seguridad.
Haz clic en Editar.
Después de editar la regla, haz clic en Guardar.
gcloud
Para actualizar un grupo de perfiles de seguridad, usa el comando gcloud network-security security-profile-groups update:
gcloud network-security security-profile-groups \
update SECURITY_PROFILE_GROUP_NAME \
--organization ORGANIZATION_ID | --project PROJECT_ID \
--location=global \
--description DESCRIPTION
Reemplaza lo siguiente:
SECURITY_PROFILE_GROUP_NAME: el nombre del grupo de perfiles de seguridad que deseas actualizar.Si no especificas el nombre en el formato de identificador de URL único , debes especificar la organización o el nombre del proyecto, y la ubicación.
ORGANIZATION_ID: Es el ID de tu organización en la que existe el grupo de perfiles de seguridad.PROJECT_ID: el ID del proyecto en el que existe el grupo de perfiles de seguridad.La marca
--projectestá disponible en (vista previa). Para usar esta marca, ejecuta elgcloud beta network-security security-profile-groups updatecomando.DESCRIPTION: es una descripción opcional para el grupo de perfiles de seguridad.
Borra un grupo de perfiles de seguridad
Puedes borrar un grupo de perfiles de seguridad si especificas su nombre, ubicación y organización. Sin embargo, si una política de firewall de red hace referencia a un perfil de seguridad personalizado, ese grupo de perfiles de seguridad no se puede borrar.
Console
En la Google Cloud consola, ve a la página Grupos de perfiles de seguridad.
En el selector de proyectos, selecciona tu organización o el proyecto (vista previa).
En la pestaña Grupos de perfiles de seguridad , selecciona la casilla de verificación del grupo de perfiles de seguridad que deseas borrar y, luego, haz clic en Borrar.
Haga clic en Borrar nuevamente para confirmar.
gcloud
Para borrar un grupo de perfiles de seguridad, usa el comando gcloud network-security security-profile-groups delete:
gcloud network-security security-profile-groups \
delete SECURITY_PROFILE_GROUP_NAME \
--organization ORGANIZATION_ID | --project PROJECT_ID \
--location=global \
[--billing-project QUOTA_PROJECT_ID]
Reemplaza lo siguiente:
SECURITY_PROFILE_GROUP_NAME: el nombre del grupo de perfiles de seguridad que deseas borrar.Si no especificas el nombre en el formato de identificador de URL único , debes especificar la organización o el nombre del proyecto, y la ubicación.
ORGANIZATION_ID: Es el ID de tu organización en la que existe el grupo de perfiles de seguridad.PROJECT_ID: el ID del proyecto en el que existe el grupo de perfiles de seguridad.La marca
--projectestá disponible en (vista previa). Para usar esta marca, ejecuta elgcloud beta network-security security-profile-groups deletecomando.QUOTA_PROJECT_ID: Es el ID de tu proyecto de cuota. Usa esta marca solo para grupos de perfiles de seguridad a nivel de la organización.
¿Qué sigue?
- Crea y administra grupos de extremos de duplicación
- Descripción general del grupo de perfiles de seguridad
- Crea y administra perfiles de seguridad de duplicación personalizados