Créer et gérer des groupes de profils de sécurité

Cette page explique comment créer et gérer des groupes de profils de sécurité avec un profil de sécurité personnalisé à l'aide de la Google Cloud CLI.

Avant de commencer

Rôles

Pour obtenir les autorisations nécessaires pour créer, afficher, mettre à jour ou supprimer des groupes de profils de sécurité, demandez à votre administrateur de vous accorder les rôles IAM (Identity and Access Management) nécessaires sur votre organisation. Pour en savoir plus sur l'attribution de rôles, consultez Gérer l'accès aux projets, aux dossiers et aux organisations.

Pour vérifier la progression des opérations listées sur cette page, assurez-vous que votre rôle utilisateur dispose des autorisations du rôle Utilisateur de réseau Compute (roles/compute.networkUser) :

  • networksecurity.operations.get
  • networksecurity.operations.list

Créer un groupe de profils de sécurité avec un profil personnalisé

Vous ne pouvez créer un groupe de profils de sécurité qu'avec un profil de sécurité de type CUSTOM_MIRRORING.

Lorsque vous créez un groupe de profils de sécurité, vous pouvez spécifier le nom du groupe de profils de sécurité sous forme de chaîne ou d'identifiant d'URL unique. L'URL unique d'un groupe de profils de sécurité à l'échelle de l'organisation peut présenter le format suivant :

  organizations/ORGANIZATION_ID/locations/LOCATION/securityProfileGroups/SECURITY_PROFILE_GROUP_NAME

Remplacez les éléments suivants :

  • ORGANIZATION_ID : ID de l'organisation.

  • LOCATION : champ d'application du groupe de profils de sécurité. L'emplacement est toujours défini sur global.

  • SECURITY_PROFILE_GROUP_NAME : nom du groupe de profils de sécurité.

Si vous utilisez un identifiant d'URL unique pour le nom du groupe de profils de sécurité, l'organisation et l'emplacement du groupe de profils de sécurité sont déjà inclus dans l'identifiant d'URL. Toutefois, si vous n'utilisez que le nom du groupe de profils de sécurité, vous devez spécifier l'organisation et l'emplacement séparément. Pour en savoir plus sur les identifiants d'URL uniques, consultez les spécifications.

Console

  1. Dans la console Google Cloud , accédez à la page Groupes de profils de sécurité.

    Accéder à la page "Groupes de profils de sécurité"

  2. Dans le sélecteur de projets, sélectionnez votre organisation.

  3. Dans l'onglet Groupes de profils de sécurité, cliquez sur Créer un groupe de profils.

  4. Dans le champ Nom, saisissez le nom du groupe de profils de sécurité.

  5. Dans le champ Objectif du groupe de profils de sécurité, sélectionnez NSI hors bande.

  6. Pour Profil de mise en miroir personnalisé, sélectionnez le profil de sécurité personnalisé pour l'intégration dans la bande.

  7. Cliquez sur Créer.

gcloud

Pour créer un groupe de profils de sécurité, exécutez la commande gcloud network-security security-profile-groups create :

 gcloud network-security security-profile-groups \
     create SECURITY_PROFILE_GROUP_NAME \
     --custom-mirroring-profile CUSTOM_MIRROING_PROFILE_NAME \
     --description DESCRIPTION \
     --organization ORGANIZATION_ID \
     --location=global \
     --billing-project PROJECT_ID

Remplacez les éléments suivants :

  • SECURITY_PROFILE_GROUP_NAME : nom du groupe de profils de sécurité. Vous pouvez spécifier le nom sous forme de chaîne ou d'identifiant d'URL unique.

  • CUSTOM_MIRRORING_PROFILE_NAME : nom du profil de sécurité de mise en miroir personnalisé.

  • DESCRIPTION : description facultative pour le groupe de profils de sécurité.

  • ORGANIZATION_ID : organisation dans laquelle le groupe de profils de sécurité est créé.

  • PROJECT_ID : ID de projet à utiliser pour les quotas et les restrictions d'accès sur le groupe de profils de sécurité.

Terraform

Pour créer un groupe de profils de sécurité, vous pouvez utiliser une ressource google_network_security_security_profile_group.

resource "google_network_security_security_profile_group" "default" {
  name                     = "security-profile-group"
  parent                   = "organizations/${data.google_organization.default.org_id}"
  location                 = "global"
  custom_mirroring_profile = google_network_security_security_profile.default.id
}

Pour savoir comment appliquer ou supprimer une configuration Terraform, consultez Commandes Terraform de base.

Afficher le groupe de profils de sécurité

Vous pouvez afficher les détails d'un groupe de profils de sécurité spécifique dans une organisation.

Console

  1. Dans la console Google Cloud , accédez à la page Groupes de profils de sécurité.

    Accéder à la page "Groupes de profils de sécurité"

  2. Dans le sélecteur de projets, sélectionnez votre organisation.

  3. Dans l'onglet Groupes de profils de sécurité, cliquez sur le nom du groupe de profils de sécurité.

gcloud

Pour afficher les détails d'un groupe de profils de sécurité, exécutez la commande gcloud network-security security-profile-groups describe :

 gcloud network-security security-profile-groups \
     describe SECURITY_PROFILE_GROUP_NAME \
     --organization ORGANIZATION_ID \
     --location=global \
     --billing-project PROJECT_ID

Remplacez les éléments suivants :

  • SECURITY_PROFILE_GROUP_NAME : nom du groupe de profils de sécurité. Vous pouvez spécifier le nom sous forme de chaîne ou d'identifiant d'URL unique.

  • ORGANIZATION_ID : organisation dans laquelle le groupe de profils de sécurité est créé.

  • PROJECT_ID : ID de projet à utiliser pour les quotas et les restrictions d'accès sur le groupe de profils de sécurité.

Lister les groupes de profils de sécurité

Vous pouvez lister tous les groupes de profils de sécurité de mise en miroir personnalisés dans une organisation.

Console

  1. Dans la console Google Cloud , accédez à la page Groupes de profils de sécurité.

    Accéder à la page "Groupes de profils de sécurité"

  2. Dans le sélecteur de projets, sélectionnez votre organisation.

  3. L'onglet Groupes de profils de sécurité affiche la liste des groupes de profils de sécurité.

gcloud

Pour répertorier les groupes de profils de sécurité de mise en miroir personnalisés, exécutez la commande gcloud network-security security-profile-groups list :

gcloud network-security security-profile-groups list \
    --organization ORGANIZATION_ID \
    --location=global \
    --filter CUSTOM_MIRRORING_PROFILE
    --billing-project PROJECT_ID

Remplacez les éléments suivants :

  • ORGANIZATION_ID : organisation dans laquelle le groupe de profils de sécurité est créé.

  • CUSTOM_MIRRORING_PROFILE : nom des groupes de profils pour lesquels une custom_mirroring_profile est définie.

  • PROJECT_ID : ID de projet à utiliser pour la facturation du groupe de profils de sécurité.

Mettre à jour un groupe de profils de sécurité

Vous pouvez modifier la description et les libellés du profil de sécurité référencé dans un groupe de profils de sécurité.

Console

  1. Dans la console Google Cloud , accédez à la page Groupes de profils de sécurité.

    Accéder à la page "Groupes de profils de sécurité"

  2. Dans le sélecteur de projets, sélectionnez votre organisation.

  3. Cliquez sur votre groupe de profils de sécurité.

  4. Cliquez sur Modifier.

  5. Une fois la règle modifiée, cliquez sur Enregistrer.

gcloud

Pour mettre à jour un groupe de profils de sécurité, exécutez la commande gcloud network-security security-profile-groups update :

gcloud network-security security-profile-groups \
    update SECURITY_PROFILE_GROUP_NAME \
    --organization ORGANIZATION_ID \
    --location=global \
    --description DESCRIPTION

Remplacez les éléments suivants :

  • SECURITY_PROFILE_GROUP_NAME : nom du groupe de profils de sécurité que vous souhaitez mettre à jour. Vous pouvez spécifier le nom sous forme de chaîne ou d'identifiant d'URL unique.

  • ORGANIZATION_ID : organisation dans laquelle le groupe de profils de sécurité est créé.

  • DESCRIPTION : description facultative pour le groupe de profils de sécurité.

Supprimer un groupe de profils de sécurité

Vous pouvez supprimer un groupe de profils de sécurité en spécifiant son nom, son emplacement et son organisation. Toutefois, si un profil de sécurité personnalisé est référencé par une stratégie de pare-feu réseau, il ne peut pas être supprimé.

Console

  1. Dans la console Google Cloud , accédez à la page Groupes de profils de sécurité.

    Accéder à la page "Groupes de profils de sécurité"

  2. Dans le sélecteur de projets, sélectionnez votre organisation.

  3. Dans l'onglet Groupes de profils de sécurité, cochez la case du groupe de profils de sécurité que vous souhaitez supprimer, puis cliquez sur Supprimer.

  4. Cliquez à nouveau sur Supprimer pour confirmer votre choix.

gcloud

Pour supprimer un groupe de profils de sécurité, exécutez la commande gcloud network-security security-profile-groups delete :

gcloud network-security security-profile-groups \
    delete SECURITY_PROFILE_GROUP_NAME \
    --custom-profile CUSTOM_PROFILE_NAME \
    --organization ORGANIZATION_ID \
    --location-global \
    --billing-project PROJECT_ID

Remplacez les éléments suivants :

  • SECURITY_PROFILE_GROUP_NAME : nom du groupe de profils de sécurité que vous souhaitez supprimer. Vous pouvez spécifier le nom sous forme de chaîne ou d'identifiant d'URL unique.

  • CUSTOM_PROFILE_NAME : nom du profil de sécurité personnalisé.

  • ORGANIZATION_ID : organisation dans laquelle le groupe de profils de sécurité est créé.

  • PROJECT_ID : ID de projet à utiliser pour les quotas et les restrictions d'accès sur le groupe de profils de sécurité.

Étapes suivantes