Criar e gerenciar grupos de perfis de segurança

Nesta página, explicamos como criar e gerenciar grupos de perfis de segurança com um perfil de segurança personalizado usando a Google Cloud CLI.

Antes de começar

Papéis

Para receber as permissões necessárias de criação, visualização, atualização ou exclusão de grupos de perfis de segurança, solicite ao administrador que conceda a você os papéis do Identity and Access Management (IAM) necessários na sua organização. Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.

Para verificar o progresso das operações listadas nesta página, confira se seu função do usuário tem as seguintes permissões do papel Usuário da rede do Compute (roles/compute.networkUser):

  • networksecurity.operations.get
  • networksecurity.operations.list

Criar um grupo de perfis de segurança com perfil personalizado

Só é possível criar um grupo de perfis de segurança com um perfil de segurança do tipo CUSTOM_MIRRORING.

Ao criar um grupo de perfis de segurança, é possível especificar o nome dele como uma string ou um identificador de URL exclusivo. O URL exclusivo de um grupo de perfis de segurança com escopo da organização pode ser criado no seguinte formato:

  organizations/ORGANIZATION_ID/locations/LOCATION/securityProfileGroups/SECURITY_PROFILE_GROUP_NAME

Substitua:

  • ORGANIZATION_ID: ID da organização.

  • LOCATION: escopo do grupo de perfis de segurança. O local está sempre definido como global.

  • SECURITY_PROFILE_GROUP_NAME: o nome do grupo de perfis de segurança.

Se você usar um identificador de URL exclusivo para o nome do grupo de perfis de segurança, a organização e o local do grupo já estarão incluídos no identificador de URL. No entanto, se você usar apenas o nome do grupo de perfis de segurança, será necessário especificar a organização e o local separadamente. Para mais informações sobre identificadores de URL exclusivos, consulte Especificações.

Console

  1. No console do Google Cloud , acesse a página Grupos de perfis de segurança.

    Acessar Grupos de perfis de segurança

  2. No seletor de organização, selecione sua organização.

  3. Na guia Grupos de perfis de segurança, clique em Criar grupo de perfis.

  4. Em Nome, insira o nome do grupo de perfis de segurança.

  5. Em Finalidade do grupo de perfis de segurança, selecione NSI fora da banda.

  6. Em Perfil de espelhamento personalizado, selecione o perfil de segurança personalizado para integração no canal.

  7. Clique em Criar.

gcloud

Para criar um grupo de perfis de segurança, use o comando gcloud network-security security-profile-groups create:

 gcloud network-security security-profile-groups \
     create SECURITY_PROFILE_GROUP_NAME \
     --custom-mirroring-profile CUSTOM_MIRROING_PROFILE_NAME \
     --description DESCRIPTION \
     --organization ORGANIZATION_ID \
     --location=global \
     --billing-project PROJECT_ID

Substitua:

  • SECURITY_PROFILE_GROUP_NAME: o nome do grupo de perfis de segurança. É possível especificar o nome como uma string ou um identificador de URL exclusivo.

  • CUSTOM_MIRRORING_PROFILE_NAME: o nome do perfil de segurança de espelhamento personalizado.

  • DESCRIPTION: uma descrição opcional para o grupo de perfis de segurança.

  • ORGANIZATION_ID: a organização em que o grupo de perfis de segurança foi criado.

  • PROJECT_ID: o ID do projeto a ser usado para cotas e restrições de acesso no grupo de perfis de segurança.

Terraform

Para criar um grupo de perfis de segurança, use um recurso google_network_security_security_profile_group.

resource "google_network_security_security_profile_group" "default" {
  name                     = "security-profile-group"
  parent                   = "organizations/${data.google_organization.default.org_id}"
  location                 = "global"
  custom_mirroring_profile = google_network_security_security_profile.default.id
}

Para saber como aplicar ou remover uma configuração do Terraform, consulte Comandos básicos do Terraform.

Visualizar grupo do perfil de segurança

É possível visualizar os detalhes de um grupo de perfis de segurança específico em uma organização.

Console

  1. No console do Google Cloud , acesse a página Grupos de perfis de segurança.

    Acessar Grupos de perfis de segurança

  2. No seletor de organização, selecione sua organização.

  3. Na guia Grupos de perfis de segurança, clique no nome do grupo de perfis de segurança.

gcloud

Para ver os detalhes de um grupo de perfis de segurança, use o comando gcloud network-security security-profile-groups describe:

 gcloud network-security security-profile-groups \
     describe SECURITY_PROFILE_GROUP_NAME \
     --organization ORGANIZATION_ID \
     --location=global \
     --billing-project PROJECT_ID

Substitua:

  • SECURITY_PROFILE_GROUP_NAME: o nome do grupo de perfis de segurança. É possível especificar o nome como uma string ou um identificador de URL exclusivo.

  • ORGANIZATION_ID: a organização em que o grupo de perfis de segurança foi criado.

  • PROJECT_ID: o ID do projeto a ser usado para cotas e restrições de acesso no grupo de perfis de segurança.

Listar grupos de perfis de segurança

É possível listar todos os grupos de perfis de segurança de espelhamento personalizados em uma organização.

Console

  1. No console do Google Cloud , acesse a página Grupos de perfis de segurança.

    Acessar Grupos de perfis de segurança

  2. No seletor de organização, selecione sua organização.

  3. Na guia Grupos de perfis de segurança, você encontra a lista de grupos de perfis de segurança.

gcloud

Para listar grupos de perfis de segurança de espelhamento personalizados, use o comando gcloud network-security security-profile-groups list:

gcloud network-security security-profile-groups list \
    --organization ORGANIZATION_ID \
    --location=global \
    --filter CUSTOM_MIRRORING_PROFILE
    --billing-project PROJECT_ID

Substitua:

  • ORGANIZATION_ID: a organização em que o grupo de perfis de segurança foi criado.

  • CUSTOM_MIRRORING_PROFILE: nome dos grupos de perfis que têm um custom_mirroring_profile definido.

  • PROJECT_ID: o ID do projeto a ser usado para o faturamento do grupo de perfis de segurança.

Atualizar um grupo de perfis de segurança

É possível atualizar a descrição e os rótulos do perfil de segurança referenciado em um grupo de perfis de segurança.

Console

  1. No console do Google Cloud , acesse a página Grupos de perfis de segurança.

    Acessar Grupos de perfis de segurança

  2. No seletor de organização, selecione sua organização.

  3. Clique no grupo de perfis de segurança.

  4. Clique em Editar.

  5. Depois de editar a regra, clique em Salvar.

gcloud

Para atualizar um grupo de perfis de segurança, use o comando gcloud network-security security-profile-groups update:

gcloud network-security security-profile-groups \
    update SECURITY_PROFILE_GROUP_NAME \
    --organization ORGANIZATION_ID \
    --location=global \
    --description DESCRIPTION

Substitua:

  • SECURITY_PROFILE_GROUP_NAME: o nome do grupo de perfis de segurança que você quer atualizar. É possível especificar o nome como uma string ou um identificador de URL exclusivo.

  • ORGANIZATION_ID: a organização em que o grupo de perfis de segurança foi criado.

  • DESCRIPTION: uma descrição opcional para o grupo de perfis de segurança.

Excluir um grupo de perfis de segurança

É possível excluir um grupo de perfis de segurança especificando o nome, o local e a organização dele. No entanto, se um perfil de segurança personalizado for referenciado por uma política de firewall de rede, esse grupo não poderá ser excluído.

Console

  1. No console do Google Cloud , acesse a página Grupos de perfis de segurança.

    Acessar Grupos de perfis de segurança

  2. No seletor de projetos, selecione sua organização.

  3. Na guia Grupos de perfis de segurança, marque a caixa de seleção do grupo que você quer excluir e clique em Excluir.

  4. Clique em Excluir novamente para confirmar.

gcloud

Para excluir um grupo de perfis de segurança, use o comando gcloud network-security security-profile-groups delete:

gcloud network-security security-profile-groups \
    delete SECURITY_PROFILE_GROUP_NAME \
    --custom-profile CUSTOM_PROFILE_NAME \
    --organization ORGANIZATION_ID \
    --location-global \
    --billing-project PROJECT_ID

Substitua:

  • SECURITY_PROFILE_GROUP_NAME: o nome do grupo de perfis de segurança que você quer excluir. É possível especificar o nome como uma string ou um identificador de URL exclusivo.

  • CUSTOM_PROFILE_NAME: o nome do perfil de segurança personalizado.

  • ORGANIZATION_ID: a organização em que o grupo de perfis de segurança foi criado.

  • PROJECT_ID: o ID do projeto a ser usado para cotas e restrições de acesso no grupo de perfis de segurança.

A seguir