Créer et gérer des groupes de profils de sécurité

Cette page explique comment créer et gérer des groupes de profils de sécurité avec un profil de sécurité personnalisé à l'aide de la Google Cloud CLI.

Avant de commencer

Rôles

Pour obtenir les autorisations nécessaires pour créer, afficher, mettre à jour ou supprimer des groupes de profils de sécurité, demandez à votre administrateur de vous accorder les rôles IAM (Identity and Access Management) requis sur votre organisation ou votre projet. Pour en savoir plus sur l'attribution de rôles, consultez Gérer l'accès aux projets, aux dossiers et aux organisations.

Pour vérifier la progression des opérations listées sur cette page, assurez-vous que votre rôle utilisateur dispose des autorisations Utilisateur de réseau Compute (roles/compute.networkUser) suivantes :

  • networksecurity.operations.get
  • networksecurity.operations.list

Créer un groupe de profils de sécurité avec un profil personnalisé

Vous pouvez créer des groupes de profils de sécurité au niveau de l'organisation ou du projet (aperçu). Vous ne pouvez créer un groupe de profils de sécurité qu'avec un profil de sécurité de type CUSTOM_MIRRORING.

Console

  1. Dans la console Google Cloud , accédez à la page Groupes de profils de sécurité.

    Accéder à la page "Groupes de profils de sécurité"

  2. Dans le sélecteur de projet, sélectionnez votre organisation ou le projet (Aperçu).

  3. Dans l'onglet Groupes de profils de sécurité, cliquez sur Créer un groupe de profils.

  4. Dans le champ Nom, saisissez le nom du groupe de profils de sécurité.

  5. Dans Objectif du groupe de profils de sécurité, sélectionnez NSI hors bande.

  6. Pour Profil de mise en miroir personnalisé, sélectionnez le profil de sécurité personnalisé pour l'intégration dans la bande.

  7. Cliquez sur Créer.

gcloud

Pour créer un groupe de profils de sécurité, exécutez la commande gcloud network-security security-profile-groups create :

 gcloud network-security security-profile-groups \
     create SECURITY_PROFILE_GROUP_NAME \
     --custom-mirroring-profile CUSTOM_MIRRORING_PROFILE_NAME \
     --description DESCRIPTION \
     --organization ORGANIZATION_ID | --project PROJECT_ID \
     --location=global \
     [--billing-project QUOTA_PROJECT_ID]

Remplacez les éléments suivants :

  • SECURITY_PROFILE_GROUP_NAME : nom du groupe de profils de sécurité.

    Si vous ne spécifiez pas le nom au format d'identifiant d'URL unique, vous devez spécifier l'organisation ou le nom du projet, ainsi que l'emplacement.

  • CUSTOM_MIRRORING_PROFILE_NAME : nom du profil de sécurité de duplication personnalisé.

  • DESCRIPTION : description facultative pour le groupe de profils de sécurité.

  • ORGANIZATION_ID : votre ID d'organisation. Utilisez cet indicateur pour créer un groupe de profils de sécurité au niveau de l'organisation.

  • PROJECT_ID : ID de votre projet. Utilisez cet indicateur pour créer un groupe de profils de sécurité au niveau du projet (preview).

    L'indicateur --project est disponible en version preview. Pour utiliser cette option, exécutez la commande gcloud beta network-security security-profile-groups create.

  • QUOTA_PROJECT_ID : ID de votre projet de quota. N'utilisez cet indicateur que pour les groupes de profils de sécurité au niveau de l'organisation.

Terraform

Pour créer un groupe de profils de sécurité, vous pouvez utiliser une ressource google_network_security_security_profile_group.

resource "google_network_security_security_profile_group" "default" {
  name                     = "security-profile-group"
  parent                   = "organizations/${data.google_organization.default.org_id}"
  location                 = "global"
  custom_mirroring_profile = google_network_security_security_profile.default.id
}

Pour savoir comment appliquer ou supprimer une configuration Terraform, consultez Commandes Terraform de base.

Lister et afficher les détails d'un groupe de profils de sécurité

Vous pouvez lister les groupes de profils de sécurité dans une organisation ou un projet (aperçu), et afficher les détails d'un groupe, comme son nom et son profil d'interception personnalisé.

Console

  1. Dans la console Google Cloud , accédez à la page Groupes de profils de sécurité.

    Accéder à la page "Groupes de profils de sécurité"

  2. Dans le sélecteur de projet, sélectionnez votre organisation ou le projet (Aperçu). L'onglet liste tous les groupes de profils de sécurité.

  3. Dans l'onglet Groupes de profils de sécurité, cliquez sur le nom du groupe de profils de sécurité pour afficher ses détails.

gcloud

Pour répertorier les groupes de profils de sécurité de mise en miroir personnalisés, exécutez la commande gcloud network-security security-profile-groups list :

gcloud network-security security-profile-groups list \
    --organization ORGANIZATION_ID | --project PROJECT_ID \
    --location=global \
    --filter CUSTOM_MIRRORING_PROFILE \
    [--billing-project QUOTA_PROJECT_ID]

Pour afficher les détails d'un groupe de profils de sécurité, exécutez la commande gcloud network-security security-profile-groups describe :

 gcloud network-security security-profile-groups \
     describe SECURITY_PROFILE_GROUP_NAME \
     --organization ORGANIZATION_ID | --project PROJECT_ID \
     --location=global \
     [--billing-project QUOTA_PROJECT_ID]

Remplacez les éléments suivants :

  • SECURITY_PROFILE_GROUP_NAME : nom du groupe de profils de sécurité.

    Si vous ne spécifiez pas le nom au format d'identifiant d'URL unique, vous devez spécifier l'organisation ou le nom du projet, ainsi que l'emplacement.

  • CUSTOM_MIRRORING_PROFILE : profil de sécurité de mise en miroir personnalisé à utiliser pour le filtrage.

  • ORGANIZATION_ID : ID de votre organisation dans laquelle le groupe de profils de sécurité existe.

  • PROJECT_ID : ID du projet dans lequel se trouve le groupe de profils de sécurité.

    L'indicateur --project est disponible en version preview. Pour utiliser cette option, exécutez la commande gcloud beta network-security security-profile-groups describe.

  • QUOTA_PROJECT_ID : ID de votre projet de quota. N'utilisez cet indicateur que pour les groupes de profils de sécurité au niveau de l'organisation.

Mettre à jour un groupe de profils de sécurité

Vous pouvez modifier la description et les libellés du profil de sécurité référencé dans un groupe de profils de sécurité.

Console

  1. Dans la console Google Cloud , accédez à la page Groupes de profils de sécurité.

    Accéder à la page "Groupes de profils de sécurité"

  2. Dans le sélecteur de projet, sélectionnez votre organisation ou le projet (Aperçu).

  3. Cliquez sur votre groupe de profils de sécurité.

  4. Cliquez sur Modifier.

  5. Une fois la règle modifiée, cliquez sur Enregistrer.

gcloud

Pour mettre à jour un groupe de profils de sécurité, exécutez la commande gcloud network-security security-profile-groups update :

gcloud network-security security-profile-groups \
    update SECURITY_PROFILE_GROUP_NAME \
    --organization ORGANIZATION_ID | --project PROJECT_ID \
    --location=global \
    --description DESCRIPTION

Remplacez les éléments suivants :

  • SECURITY_PROFILE_GROUP_NAME : nom du groupe de profils de sécurité que vous souhaitez mettre à jour.

    Si vous ne spécifiez pas le nom au format d'identifiant d'URL unique, vous devez spécifier l'organisation ou le nom du projet, ainsi que l'emplacement.

  • ORGANIZATION_ID : ID de votre organisation dans laquelle le groupe de profils de sécurité existe.

  • PROJECT_ID : ID du projet dans lequel se trouve le groupe de profils de sécurité.

    L'indicateur --project est disponible en version preview. Pour utiliser cette option, exécutez la commande gcloud beta network-security security-profile-groups update.

  • DESCRIPTION : description facultative pour le groupe de profils de sécurité.

Supprimer un groupe de profils de sécurité

Vous pouvez supprimer un groupe de profils de sécurité en spécifiant son nom, son emplacement et son organisation. Toutefois, si un profil de sécurité personnalisé est référencé par une stratégie de pare-feu de réseau, ce groupe de profils de sécurité ne peut pas être supprimé.

Console

  1. Dans la console Google Cloud , accédez à la page Groupes de profils de sécurité.

    Accéder à la page "Groupes de profils de sécurité"

  2. Dans le sélecteur de projet, sélectionnez votre organisation ou le projet (Aperçu).

  3. Dans l'onglet Groupes de profils de sécurité, cochez la case du groupe de profils de sécurité que vous souhaitez supprimer, puis cliquez sur Supprimer.

  4. Cliquez à nouveau sur Supprimer pour confirmer votre choix.

gcloud

Pour supprimer un groupe de profils de sécurité, exécutez la commande gcloud network-security security-profile-groups delete :

gcloud network-security security-profile-groups \
    delete SECURITY_PROFILE_GROUP_NAME \
    --organization ORGANIZATION_ID | --project PROJECT_ID \
    --location=global \
    [--billing-project QUOTA_PROJECT_ID]

Remplacez les éléments suivants :

  • SECURITY_PROFILE_GROUP_NAME : nom du groupe de profils de sécurité que vous souhaitez supprimer.

    Si vous ne spécifiez pas le nom au format d'identifiant d'URL unique, vous devez spécifier l'organisation ou le nom du projet, ainsi que l'emplacement.

  • ORGANIZATION_ID : ID de votre organisation dans laquelle le groupe de profils de sécurité existe.

  • PROJECT_ID : ID du projet dans lequel se trouve le groupe de profils de sécurité.

    L'indicateur --project est disponible en version preview. Pour utiliser cette option, exécutez la commande gcloud beta network-security security-profile-groups delete.

  • QUOTA_PROJECT_ID : ID de votre projet de quota. N'utilisez cet indicateur que pour les groupes de profils de sécurité au niveau de l'organisation.

Étapes suivantes