Criar e gerenciar grupos de perfis de segurança

Nesta página, explicamos como criar e gerenciar grupos de perfis de segurança com um perfil de segurança personalizado usando a Google Cloud CLI.

Antes de começar

Papéis

Para receber as permissões necessárias de criação, visualização, atualização ou exclusão de grupos de perfis de segurança, solicite ao administrador que conceda a você os papéis do Identity and Access Management (IAM) necessários na sua organização ou projeto. Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.

Para verificar o progresso das operações listadas nesta página, confira se seu função do usuário tem as seguintes permissões de Usuário da rede do Compute (roles/compute.networkUser):

  • networksecurity.operations.get
  • networksecurity.operations.list

Criar um grupo de perfis de segurança com perfil personalizado

É possível criar grupos de perfis de segurança no nível da organização ou do projeto (prévia). Só é possível criar um grupo de perfis de segurança com um perfil do tipo CUSTOM_MIRRORING.

Console

  1. No console do Google Cloud , acesse a página Grupos de perfis de segurança.

    Acessar Grupos de perfis de segurança

  2. No seletor de projetos, selecione sua organização ou o projeto (Prévia).

  3. Na guia Grupos de perfis de segurança, clique em Criar grupo de perfis.

  4. Em Nome, insira o nome do grupo de perfis de segurança.

  5. Em Finalidade do grupo de perfis de segurança, selecione NSI fora da banda.

  6. Em Perfil de espelhamento personalizado, selecione o perfil de segurança personalizado para integração no canal.

  7. Clique em Criar.

gcloud

Para criar um grupo de perfis de segurança, use o comando gcloud network-security security-profile-groups create:

 gcloud network-security security-profile-groups \
     create SECURITY_PROFILE_GROUP_NAME \
     --custom-mirroring-profile CUSTOM_MIRRORING_PROFILE_NAME \
     --description DESCRIPTION \
     --organization ORGANIZATION_ID | --project PROJECT_ID \
     --location=global \
     [--billing-project QUOTA_PROJECT_ID]

Substitua:

  • SECURITY_PROFILE_GROUP_NAME: o nome do grupo de perfis de segurança.

    Se você não especificar o nome no formato de identificador de URL exclusivo, especifique a organização ou o nome do projeto e o local.

  • CUSTOM_MIRRORING_PROFILE_NAME: o nome do perfil de segurança de espelhamento personalizado.

  • DESCRIPTION: uma descrição opcional para o grupo de perfis de segurança.

  • ORGANIZATION_ID: o código da sua organização. Use esta flag para criar um grupo de perfis de segurança no nível da organização.

  • PROJECT_ID: o ID do projeto. Use esta flag para criar um grupo de perfis de segurança para envolvidos no projeto (Prévia).

    A flag --project está disponível na (prévia). Para usar essa flag, execute o comando gcloud beta network-security security-profile-groups create.

  • QUOTA_PROJECT_ID: o ID do projeto de cota. Use essa flag apenas para grupos de perfis de segurança no nível da organização.

Terraform

Para criar um grupo de perfis de segurança, use um recurso google_network_security_security_profile_group.

resource "google_network_security_security_profile_group" "default" {
  name                     = "security-profile-group"
  parent                   = "organizations/${data.google_organization.default.org_id}"
  location                 = "global"
  custom_mirroring_profile = google_network_security_security_profile.default.id
}

Para saber como aplicar ou remover uma configuração do Terraform, consulte Comandos básicos do Terraform.

Listar e conferir detalhes de um grupo de perfis de segurança

É possível listar grupos de perfis de segurança em uma organização ou um projeto (Prévia) e conferir os detalhes de um grupo, como o nome e o perfil de interceptação personalizado.

Console

  1. No console do Google Cloud , acesse a página Grupos de perfis de segurança.

    Acessar Grupos de perfis de segurança

  2. No seletor de projetos, selecione sua organização ou o projeto (Prévia). A guia lista todos os grupos de perfis de segurança.

  3. Na guia Grupos de perfis de segurança, clique no nome do grupo para ver os detalhes.

gcloud

Para listar grupos de perfis de segurança de espelhamento personalizados, use o comando gcloud network-security security-profile-groups list:

gcloud network-security security-profile-groups list \
    --organization ORGANIZATION_ID | --project PROJECT_ID \
    --location=global \
    --filter CUSTOM_MIRRORING_PROFILE \
    [--billing-project QUOTA_PROJECT_ID]

Para ver os detalhes de um grupo de perfis de segurança, use o comando gcloud network-security security-profile-groups describe:

 gcloud network-security security-profile-groups \
     describe SECURITY_PROFILE_GROUP_NAME \
     --organization ORGANIZATION_ID | --project PROJECT_ID \
     --location=global \
     [--billing-project QUOTA_PROJECT_ID]

Substitua:

  • SECURITY_PROFILE_GROUP_NAME: o nome do grupo de perfis de segurança.

    Se você não especificar o nome no formato de identificador de URL exclusivo, especifique a organização ou o nome do projeto e o local.

  • CUSTOM_MIRRORING_PROFILE: o perfil de segurança de espelhamento personalizado para filtrar.

  • ORGANIZATION_ID: o ID da organização em que o grupo de perfis de segurança existe.

  • PROJECT_ID: o ID do projeto em que o grupo de perfis de segurança existe.

    A flag --project está disponível na (prévia). Para usar essa flag, execute o comando gcloud beta network-security security-profile-groups describe.

  • QUOTA_PROJECT_ID: o ID do projeto de cota. Use essa flag apenas para grupos de perfis de segurança no nível da organização.

Atualizar um grupo de perfis de segurança

É possível atualizar a descrição e os rótulos do perfil de segurança referenciado em um grupo de perfis de segurança.

Console

  1. No console do Google Cloud , acesse a página Grupos de perfis de segurança.

    Acessar Grupos de perfis de segurança

  2. No seletor de projetos, selecione sua organização ou o projeto (Prévia).

  3. Clique no grupo de perfis de segurança.

  4. Clique em Editar.

  5. Depois de editar a regra, clique em Salvar.

gcloud

Para atualizar um grupo de perfis de segurança, use o comando gcloud network-security security-profile-groups update:

gcloud network-security security-profile-groups \
    update SECURITY_PROFILE_GROUP_NAME \
    --organization ORGANIZATION_ID | --project PROJECT_ID \
    --location=global \
    --description DESCRIPTION

Substitua:

  • SECURITY_PROFILE_GROUP_NAME: o nome do grupo de perfis de segurança que você quer atualizar.

    Se você não especificar o nome no formato de identificador de URL exclusivo, especifique a organização ou o nome do projeto e o local.

  • ORGANIZATION_ID: o ID da organização em que o grupo de perfis de segurança existe.

  • PROJECT_ID: o ID do projeto em que o grupo de perfis de segurança existe.

    A flag --project está disponível na (prévia). Para usar essa flag, execute o comando gcloud beta network-security security-profile-groups update.

  • DESCRIPTION: uma descrição opcional para o grupo de perfis de segurança.

Excluir um grupo de perfis de segurança

É possível excluir um grupo de perfis de segurança especificando o nome, o local e a organização dele. No entanto, se um perfil de segurança personalizado for referenciado por uma política de firewall de rede, esse grupo não poderá ser excluído.

Console

  1. No console do Google Cloud , acesse a página Grupos de perfis de segurança.

    Acessar Grupos de perfis de segurança

  2. No seletor de projetos, selecione sua organização ou o projeto (Prévia).

  3. Na guia Grupos de perfis de segurança, marque a caixa de seleção do grupo que você quer excluir e clique em Excluir.

  4. Clique em Excluir novamente para confirmar.

gcloud

Para excluir um grupo de perfis de segurança, use o comando gcloud network-security security-profile-groups delete:

gcloud network-security security-profile-groups \
    delete SECURITY_PROFILE_GROUP_NAME \
    --organization ORGANIZATION_ID | --project PROJECT_ID \
    --location=global \
    [--billing-project QUOTA_PROJECT_ID]

Substitua:

  • SECURITY_PROFILE_GROUP_NAME: o nome do grupo de perfis de segurança que você quer excluir.

    Se você não especificar o nome no formato de identificador de URL exclusivo, especifique a organização ou o nome do projeto e o local.

  • ORGANIZATION_ID: o ID da organização em que o grupo de perfis de segurança existe.

  • PROJECT_ID: o ID do projeto em que o grupo de perfis de segurança existe.

    A flag --project está disponível na (prévia). Para usar essa flag, execute o comando gcloud beta network-security security-profile-groups delete.

  • QUOTA_PROJECT_ID: o ID do projeto de cota. Use essa flag apenas para grupos de perfis de segurança no nível da organização.

A seguir