Crea y administra grupos de perfiles de seguridad

En esta página, se explica cómo crear y administrar grupos de perfiles de seguridad con un perfil de seguridad personalizado mediante Google Cloud CLI.

Antes de comenzar

Funciones

Para obtener los permisos que necesitas a fin de crear, ver, actualizar o borrar grupos de perfiles de seguridad, pídele a tu administrador que te otorgue los roles de Identity and Access Management (IAM) necesarios en tu organización. Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.

Para verificar el progreso de las operaciones enumeradas en esta página, asegúrate de que tu rol de usuario tenga los siguientes permisos de rol de usuario de la red de Compute (roles/compute.networkUser):

  • networksecurity.operations.get
  • networksecurity.operations.list

Crea un grupo de perfiles de seguridad con un perfil personalizado

Solo puedes crear un grupo de perfiles de seguridad con un perfil de seguridad de tipo CUSTOM_MIRRORING.

Cuando creas un grupo de perfil de seguridad, puedes especificar el nombre del grupo de perfiles de seguridad como una cadena o un identificador de URL único. La URL única para un grupo de perfiles de seguridad con alcance de organización se puede construir en el siguiente formato:

  organizations/ORGANIZATION_ID/locations/LOCATION/securityProfileGroups/SECURITY_PROFILE_GROUP_NAME

Reemplaza lo siguiente:

  • ORGANIZATION_ID: ID de la organización.

  • LOCATION: Es el alcance del grupo de perfiles de seguridad. La ubicación siempre está configurada como global.

  • SECURITY_PROFILE_GROUP_NAME: Es el nombre del grupo de perfiles de seguridad.

Si usas un identificador de URL único para el nombre del grupo de perfiles de seguridad, la organización y la ubicación del grupo de perfiles de seguridad ya están incluidas en el identificador de URL. Sin embargo, si usas solo el nombre del grupo de perfiles de seguridad, debes especificar la organización y la ubicación por separado. Para obtener más información sobre los identificadores de URL únicos, consulta Especificaciones.

Console

  1. En la consola de Google Cloud , ve a la página Grupos de perfiles de seguridad.

    Ir a Grupos de perfiles de seguridad

  2. En el selector de organización, selecciona tu organización.

  3. En la pestaña Grupos de perfiles de seguridad, haz clic en Crear grupo de perfiles.

  4. En Nombre, ingresa el nombre del grupo de perfiles de seguridad.

  5. En Propósito del grupo de perfiles de seguridad, selecciona NSI fuera de banda.

  6. En Perfil de duplicación personalizado, selecciona el perfil de seguridad personalizado para la integración dentro de la banda.

  7. Haz clic en Crear.

gcloud

Para crear un grupo de perfiles de seguridad, usa el comando gcloud network-security security-profile-groups create:

 gcloud network-security security-profile-groups \
     create SECURITY_PROFILE_GROUP_NAME \
     --custom-mirroring-profile CUSTOM_MIRROING_PROFILE_NAME \
     --description DESCRIPTION \
     --organization ORGANIZATION_ID \
     --location=global \
     --billing-project PROJECT_ID

Reemplaza lo siguiente:

  • SECURITY_PROFILE_GROUP_NAME: Es el nombre del grupo de perfiles de seguridad. Puedes especificar el nombre como una cadena o como un identificador de URL único.

  • CUSTOM_MIRRORING_PROFILE_NAME: Es el nombre del perfil de seguridad de duplicación personalizado.

  • DESCRIPTION: es una descripción opcional para el grupo de perfiles de seguridad.

  • ORGANIZATION_ID: es la organización en la que se crea el grupo de perfiles de seguridad.

  • PROJECT_ID: Es el ID del proyecto que se usará para las cuotas y las restricciones de acceso en el grupo de perfil de seguridad.

Terraform

Para crear un grupo de perfiles de seguridad, puedes usar un recurso google_network_security_security_profile_group.

resource "google_network_security_security_profile_group" "default" {
  name                     = "security-profile-group"
  parent                   = "organizations/${data.google_organization.default.org_id}"
  location                 = "global"
  custom_mirroring_profile = google_network_security_security_profile.default.id
}

Si deseas obtener más información para aplicar o quitar una configuración de Terraform, consulta los comandos básicos de Terraform.

Ver grupo de perfiles de seguridad

Puedes ver los detalles de un grupo de perfiles de seguridad específico en una organización.

Console

  1. En la consola de Google Cloud , ve a la página Grupos de perfiles de seguridad.

    Ir a Grupos de perfiles de seguridad

  2. En el selector de organización, selecciona tu organización.

  3. En la pestaña Grupos de perfiles de seguridad, haz clic en el nombre del grupo de perfiles de seguridad.

gcloud

Para ver los detalles de un grupo de perfiles de seguridad, usa el comando gcloud network-security security-profile-groups describe:

 gcloud network-security security-profile-groups \
     describe SECURITY_PROFILE_GROUP_NAME \
     --organization ORGANIZATION_ID \
     --location=global \
     --billing-project PROJECT_ID

Reemplaza lo siguiente:

  • SECURITY_PROFILE_GROUP_NAME: Es el nombre del grupo de perfiles de seguridad. Puedes especificar el nombre como una cadena o como un identificador de URL único.

  • ORGANIZATION_ID: es la organización en la que se crea el grupo de perfiles de seguridad.

  • PROJECT_ID: Es el ID del proyecto que se usará para las cuotas y las restricciones de acceso en el grupo de perfil de seguridad.

Enumera los grupos de perfiles de seguridad

Puedes enumerar todos los grupos de perfiles de seguridad de duplicación personalizados en una organización.

Console

  1. En la consola de Google Cloud , ve a la página Grupos de perfiles de seguridad.

    Ir a Grupos de perfiles de seguridad

  2. En el selector de organización, selecciona tu organización.

  3. En la pestaña Grupos de perfiles de seguridad, puedes ver la lista de grupos de perfiles de seguridad.

gcloud

Para enumerar los grupos de perfiles de seguridad de duplicación personalizados, usa el comando gcloud network-security security-profile-groups list:

gcloud network-security security-profile-groups list \
    --organization ORGANIZATION_ID \
    --location=global \
    --filter CUSTOM_MIRRORING_PROFILE
    --billing-project PROJECT_ID

Reemplaza lo siguiente:

  • ORGANIZATION_ID: es la organización en la que se crea el grupo de perfiles de seguridad.

  • CUSTOM_MIRRORING_PROFILE: Es el nombre de los grupos de perfiles que tienen un custom_mirroring_profile definido.

  • PROJECT_ID: Es el ID del proyecto que se usará para la facturación del grupo de perfil de seguridad.

Actualiza un grupo de perfiles de seguridad

Puedes actualizar la descripción y las etiquetas del perfil de seguridad al que se hace referencia en un grupo de perfiles de seguridad.

Console

  1. En la consola de Google Cloud , ve a la página Grupos de perfiles de seguridad.

    Ir a Grupos de perfiles de seguridad

  2. En el selector de organización, selecciona tu organización.

  3. Haz clic en tu grupo de perfiles de seguridad.

  4. Haz clic en Editar.

  5. Después de editar la regla, haz clic en Guardar.

gcloud

Para actualizar un grupo de perfiles de seguridad, usa el comando gcloud network-security security-profile-groups update:

gcloud network-security security-profile-groups \
    update SECURITY_PROFILE_GROUP_NAME \
    --organization ORGANIZATION_ID \
    --location=global \
    --description DESCRIPTION

Reemplaza lo siguiente:

  • SECURITY_PROFILE_GROUP_NAME: Es el nombre del grupo de perfiles de seguridad que deseas actualizar. Puedes especificar el nombre como una cadena o como un identificador de URL único.

  • ORGANIZATION_ID: es la organización en la que se crea el grupo de perfiles de seguridad.

  • DESCRIPTION: es una descripción opcional para el grupo de perfiles de seguridad.

Borra un grupo de perfiles de seguridad

Puedes borrar un grupo de perfiles de seguridad si especificas su nombre, ubicación y organización. Sin embargo, si una política de firewall de red hace referencia a un perfil de seguridad personalizado, ese grupo de perfiles de seguridad no se puede borrar.

Console

  1. En la consola de Google Cloud , ve a la página Grupos de perfiles de seguridad.

    Ir a Grupos de perfiles de seguridad

  2. En el selector de organización, selecciona tu organización.

  3. En la pestaña Grupos de perfiles de seguridad, selecciona la casilla de verificación del grupo de perfiles de seguridad que deseas borrar y, luego, haz clic en Borrar.

  4. Haga clic en Borrar nuevamente para confirmar.

gcloud

Para borrar un grupo de perfiles de seguridad, usa el comando gcloud network-security security-profile-groups delete:

gcloud network-security security-profile-groups \
    delete SECURITY_PROFILE_GROUP_NAME \
    --custom-profile CUSTOM_PROFILE_NAME \
    --organization ORGANIZATION_ID \
    --location-global \
    --billing-project PROJECT_ID

Reemplaza lo siguiente:

  • SECURITY_PROFILE_GROUP_NAME: Es el nombre del grupo de perfiles de seguridad que deseas borrar. Puedes especificar el nombre como una cadena o como un identificador de URL único.

  • CUSTOM_PROFILE_NAME: Es el nombre del perfil de seguridad personalizado.

  • ORGANIZATION_ID: es la organización en la que se crea el grupo de perfiles de seguridad.

  • PROJECT_ID: Es el ID del proyecto que se usará para las cuotas y las restricciones de acceso en el grupo de perfil de seguridad.

¿Qué sigue?