Creare e gestire gruppi di profili di sicurezza

Questa pagina spiega come creare e gestire gruppi di profili di sicurezza con un profilo di sicurezza personalizzato utilizzando Google Cloud CLI.

Prima di iniziare

Ruoli

Per ottenere le autorizzazioni necessarie per creare, visualizzare, aggiornare o eliminare gruppi di profili di sicurezza, chiedi all'amministratore di concederti i ruoli IAM (Identity and Access Management) richiesti nella tua organizzazione o nel tuo progetto. Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.

Per controllare l'avanzamento delle operazioni elencate in questa pagina, assicurati che il tuo ruolo utente disponga delle seguenti autorizzazioni Utente di rete Compute (roles/compute.networkUser):

  • networksecurity.operations.get
  • networksecurity.operations.list

Crea un gruppo di profili di sicurezza con un profilo personalizzato

Puoi creare gruppi di profili di sicurezza a livello di organizzazione o progetto (anteprima). Puoi creare un gruppo di profili di sicurezza solo con un profilo di sicurezza di tipo CUSTOM_MIRRORING.

Console

  1. Nella console Google Cloud , vai alla pagina Gruppi di profili di sicurezza.

    Vai a Gruppi di profili di sicurezza

  2. Nel selettore di progetti, seleziona la tua organizzazione o il progetto (Anteprima).

  3. Nella scheda Gruppi di profili di sicurezza, fai clic su Crea gruppo di profili.

  4. In Nome, inserisci il nome del gruppo di profili di sicurezza.

  5. In Scopo del gruppo di profili di sicurezza, seleziona NSI out-of-band.

  6. Per il profilo di mirroring personalizzato, seleziona il profilo di sicurezza personalizzato per l'integrazione in banda.

  7. Fai clic su Crea.

gcloud

Per creare un gruppo di profili di sicurezza, utilizza il comando gcloud network-security security-profile-groups create:

 gcloud network-security security-profile-groups \
     create SECURITY_PROFILE_GROUP_NAME \
     --custom-mirroring-profile CUSTOM_MIRRORING_PROFILE_NAME \
     --description DESCRIPTION \
     --organization ORGANIZATION_ID | --project PROJECT_ID \
     --location=global \
     [--billing-project QUOTA_PROJECT_ID]

Sostituisci quanto segue:

  • SECURITY_PROFILE_GROUP_NAME: il nome del gruppo di profili di sicurezza.

    Se non specifichi il nome nel formato dell'identificatore URL univoco, devi specificare l'organizzazione o il nome del progetto e la località.

  • CUSTOM_MIRRORING_PROFILE_NAME: il nome del profilo di sicurezza di mirroring personalizzato.

  • DESCRIPTION: una descrizione facoltativa del gruppo di profili di sicurezza.

  • ORGANIZATION_ID: l'ID organizzazione. Utilizza questo flag per creare un gruppo di profili di sicurezza a livello di organizzazione.

  • PROJECT_ID: il tuo ID progetto. Utilizza questo flag per creare un gruppo di profili di sicurezza a livello di progetto (anteprima).

    Il flag --project è disponibile in (anteprima). Per utilizzare questo flag, esegui il comando gcloud beta network-security security-profile-groups create.

  • QUOTA_PROJECT_ID: il tuo ID progetto quota. Utilizza questo flag solo per i gruppi di profili di sicurezza a livello di organizzazione.

Terraform

Per creare un gruppo di profili di sicurezza, puoi utilizzare una risorsa google_network_security_security_profile_group.

resource "google_network_security_security_profile_group" "default" {
  name                     = "security-profile-group"
  parent                   = "organizations/${data.google_organization.default.org_id}"
  location                 = "global"
  custom_mirroring_profile = google_network_security_security_profile.default.id
}

Per scoprire come applicare o rimuovere una configurazione Terraform, consulta Comandi Terraform di base.

Elenca e visualizza i dettagli di un gruppo di profili di sicurezza

Puoi elencare i gruppi di profili di sicurezza in un'organizzazione o in un progetto (anteprima) e visualizzare i dettagli di un gruppo, ad esempio il nome e il profilo di intercettazione personalizzato.

Console

  1. Nella console Google Cloud , vai alla pagina Gruppi di profili di sicurezza.

    Vai a Gruppi di profili di sicurezza

  2. Nel selettore di progetti, seleziona la tua organizzazione o il progetto (Anteprima). La scheda elenca tutti i gruppi di profili di sicurezza.

  3. Nella scheda Gruppi di profili di sicurezza, fai clic sul nome del gruppo di profili di sicurezza per visualizzarne i dettagli.

gcloud

Per elencare i gruppi di profili di sicurezza di mirroring personalizzati, utilizza il comando gcloud network-security security-profile-groups list:

gcloud network-security security-profile-groups list \
    --organization ORGANIZATION_ID | --project PROJECT_ID \
    --location=global \
    --filter CUSTOM_MIRRORING_PROFILE \
    [--billing-project QUOTA_PROJECT_ID]

Per visualizzare i dettagli di un gruppo di profili di sicurezza, utilizza il comando gcloud network-security security-profile-groups describe:

 gcloud network-security security-profile-groups \
     describe SECURITY_PROFILE_GROUP_NAME \
     --organization ORGANIZATION_ID | --project PROJECT_ID \
     --location=global \
     [--billing-project QUOTA_PROJECT_ID]

Sostituisci quanto segue:

  • SECURITY_PROFILE_GROUP_NAME: il nome del gruppo di profili di sicurezza.

    Se non specifichi il nome nel formato dell'identificatore URL univoco, devi specificare l'organizzazione o il nome del progetto e la località.

  • CUSTOM_MIRRORING_PROFILE: il profilo di sicurezza di mirroring personalizzato in base al quale filtrare.

  • ORGANIZATION_ID: l'ID organizzazione in cui esiste il gruppo di profili di sicurezza.

  • PROJECT_ID: l'ID progetto in cui esiste il gruppo di profili di sicurezza.

    Il flag --project è disponibile in (anteprima). Per utilizzare questo flag, esegui il comando gcloud beta network-security security-profile-groups describe.

  • QUOTA_PROJECT_ID: il tuo ID progetto quota. Utilizza questo flag solo per i gruppi di profili di sicurezza a livello di organizzazione.

Aggiorna un gruppo di profili di sicurezza

Puoi aggiornare la descrizione e le etichette del profilo di sicurezza a cui viene fatto riferimento in un gruppo di profili di sicurezza.

Console

  1. Nella console Google Cloud , vai alla pagina Gruppi di profili di sicurezza.

    Vai a Gruppi di profili di sicurezza

  2. Nel selettore di progetti, seleziona la tua organizzazione o il progetto (Anteprima).

  3. Fai clic sul gruppo di profili di sicurezza.

  4. Fai clic su Modifica.

  5. Dopo aver modificato la regola, fai clic su Salva.

gcloud

Per aggiornare un gruppo di profili di sicurezza, utilizza il comando gcloud network-security security-profile-groups update:

gcloud network-security security-profile-groups \
    update SECURITY_PROFILE_GROUP_NAME \
    --organization ORGANIZATION_ID | --project PROJECT_ID \
    --location=global \
    --description DESCRIPTION

Sostituisci quanto segue:

  • SECURITY_PROFILE_GROUP_NAME: il nome del gruppo di profili di sicurezza che vuoi aggiornare.

    Se non specifichi il nome nel formato dell'identificatore URL univoco, devi specificare l'organizzazione o il nome del progetto e la località.

  • ORGANIZATION_ID: l'ID organizzazione in cui esiste il gruppo di profili di sicurezza.

  • PROJECT_ID: l'ID progetto in cui esiste il gruppo di profili di sicurezza.

    Il flag --project è disponibile in (anteprima). Per utilizzare questo flag, esegui il comando gcloud beta network-security security-profile-groups update.

  • DESCRIPTION: una descrizione facoltativa del gruppo di profili di sicurezza.

Eliminare un gruppo di profili di sicurezza

Puoi eliminare un gruppo di profili di sicurezza specificandone nome, posizione e organizzazione. Tuttavia, se un profilo di sicurezza personalizzato fa riferimento a una policy del firewall di rete, il gruppo di profili di sicurezza non può essere eliminato.

Console

  1. Nella console Google Cloud , vai alla pagina Gruppi di profili di sicurezza.

    Vai a Gruppi di profili di sicurezza

  2. Nel selettore di progetti, seleziona la tua organizzazione o il progetto (Anteprima).

  3. Nella scheda Gruppi di profili di sicurezza, seleziona la casella di controllo del gruppo di profili di sicurezza che vuoi eliminare, quindi fai clic su Elimina.

  4. Fai di nuovo clic su Elimina per confermare.

gcloud

Per eliminare un gruppo di profili di sicurezza, utilizza il comando gcloud network-security security-profile-groups delete:

gcloud network-security security-profile-groups \
    delete SECURITY_PROFILE_GROUP_NAME \
    --organization ORGANIZATION_ID | --project PROJECT_ID \
    --location=global \
    [--billing-project QUOTA_PROJECT_ID]

Sostituisci quanto segue:

  • SECURITY_PROFILE_GROUP_NAME: il nome del gruppo di profili di sicurezza che vuoi eliminare.

    Se non specifichi il nome nel formato dell'identificatore URL univoco, devi specificare l'organizzazione o il nome del progetto e la località.

  • ORGANIZATION_ID: l'ID organizzazione in cui esiste il gruppo di profili di sicurezza.

  • PROJECT_ID: l'ID progetto in cui esiste il gruppo di profili di sicurezza.

    Il flag --project è disponibile in (anteprima). Per utilizzare questo flag, esegui il comando gcloud beta network-security security-profile-groups delete.

  • QUOTA_PROJECT_ID: il tuo ID progetto quota. Utilizza questo flag solo per i gruppi di profili di sicurezza a livello di organizzazione.

Passaggi successivi