Creare e gestire gruppi di profili di sicurezza

Questa pagina spiega come creare e gestire gruppi di profili di sicurezza con un profilo di sicurezza personalizzato utilizzando Google Cloud CLI.

Prima di iniziare

Ruoli

Per ottenere le autorizzazioni necessarie per creare, visualizzare, aggiornare o eliminare gruppi di profili di sicurezza, chiedi all'amministratore di concederti i ruoli IAM (Identity and Access Management) necessari per la tua organizzazione. Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.

Per controllare lo stato di avanzamento delle operazioni elencate in questa pagina, assicurati che il tuo ruolo utente disponga delle seguenti autorizzazioni del ruolo Utente di rete Compute (roles/compute.networkUser):

  • networksecurity.operations.get
  • networksecurity.operations.list

Crea un gruppo di profili di sicurezza con un profilo personalizzato

Puoi creare un gruppo di profili di sicurezza solo con un profilo di sicurezza di tipo CUSTOM_MIRRORING.

Quando crei un gruppo di profili di sicurezza, puoi specificare il nome del gruppo di profili di sicurezza come stringa o come identificatore URL univoco. L'URL univoco per un gruppo di profili di sicurezza con ambito a livello di organizzazione può essere creato nel seguente formato:

  organizations/ORGANIZATION_ID/locations/LOCATION/securityProfileGroups/SECURITY_PROFILE_GROUP_NAME

Sostituisci quanto segue:

  • ORGANIZATION_ID: l'ID dell'organizzazione.

  • LOCATION: l'ambito del gruppo di profili di sicurezza. La posizione è sempre impostata su global.

  • SECURITY_PROFILE_GROUP_NAME: il nome del gruppo di profili di sicurezza.

Se utilizzi un identificatore URL univoco per il nome del gruppo di profili di sicurezza, l'organizzazione e la posizione del gruppo sono già incluse nell'identificatore URL. Tuttavia, se utilizzi solo il nome del gruppo di profili di sicurezza, devi specificare separatamente l'organizzazione e la località. Per ulteriori informazioni sugli identificatori URL unici, consulta le specifiche.

Console

  1. Nella console Google Cloud , vai alla pagina Gruppi di profili di sicurezza.

    Vai a Gruppi di profili di sicurezza

  2. Nel selettore di progetti, seleziona la tua organizzazione.

  3. Nella scheda Gruppi di profili di sicurezza, fai clic su Crea gruppo di profili.

  4. In Nome, inserisci il nome del gruppo di profili di sicurezza.

  5. In Scopo del gruppo di profili di sicurezza, seleziona NSI out-of-band.

  6. Per il profilo di mirroring personalizzato, seleziona il profilo di sicurezza personalizzato per l'integrazione in banda.

  7. Fai clic su Crea.

gcloud

Per creare un gruppo di profili di sicurezza, utilizza il comando gcloud network-security security-profile-groups create:

 gcloud network-security security-profile-groups \
     create SECURITY_PROFILE_GROUP_NAME \
     --custom-mirroring-profile CUSTOM_MIRROING_PROFILE_NAME \
     --description DESCRIPTION \
     --organization ORGANIZATION_ID \
     --location=global \
     --billing-project PROJECT_ID

Sostituisci quanto segue:

  • SECURITY_PROFILE_GROUP_NAME: il nome del gruppo di profili di sicurezza; puoi specificare il nome come stringa o come identificatore URL univoco.

  • CUSTOM_MIRRORING_PROFILE_NAME: il nome del profilo di sicurezza di mirroring personalizzato.

  • DESCRIPTION: una descrizione facoltativa del gruppo di profili di sicurezza.

  • ORGANIZATION_ID: l'organizzazione in cui viene creato il gruppo di profili di sicurezza.

  • PROJECT_ID: l'ID progetto da utilizzare per le quote e le limitazioni di accesso al gruppo di profili di sicurezza.

Terraform

Per creare un gruppo di profili di sicurezza, puoi utilizzare una risorsa google_network_security_security_profile_group.

resource "google_network_security_security_profile_group" "default" {
  name                     = "security-profile-group"
  parent                   = "organizations/${data.google_organization.default.org_id}"
  location                 = "global"
  custom_mirroring_profile = google_network_security_security_profile.default.id
}

Per scoprire come applicare o rimuovere una configurazione Terraform, consulta Comandi Terraform di base.

Visualizza gruppo di profili di sicurezza

Puoi visualizzare i dettagli di un gruppo di profili di sicurezza specifico in un'organizzazione.

Console

  1. Nella console Google Cloud , vai alla pagina Gruppi di profili di sicurezza.

    Vai a Gruppi di profili di sicurezza

  2. Nel selettore di progetti, seleziona la tua organizzazione.

  3. Nella scheda Gruppi di profili di sicurezza, fai clic sul nome del gruppo di profili di sicurezza.

gcloud

Per visualizzare i dettagli di un gruppo di profili di sicurezza, utilizza il comando gcloud network-security security-profile-groups describe:

 gcloud network-security security-profile-groups \
     describe SECURITY_PROFILE_GROUP_NAME \
     --organization ORGANIZATION_ID \
     --location=global \
     --billing-project PROJECT_ID

Sostituisci quanto segue:

  • SECURITY_PROFILE_GROUP_NAME: il nome del gruppo di profili di sicurezza; puoi specificare il nome come stringa o come identificatore URL univoco.

  • ORGANIZATION_ID: l'organizzazione in cui viene creato il gruppo di profili di sicurezza.

  • PROJECT_ID: l'ID progetto da utilizzare per le quote e le limitazioni di accesso al gruppo di profili di sicurezza.

Elenca i gruppi di profili di sicurezza

Puoi elencare tutti i gruppi di profili di sicurezza di mirroring personalizzati in un'organizzazione.

Console

  1. Nella console Google Cloud , vai alla pagina Gruppi di profili di sicurezza.

    Vai a Gruppi di profili di sicurezza

  2. Nel selettore di progetti, seleziona la tua organizzazione.

  3. Nella scheda Gruppi di profili di sicurezza, puoi visualizzare l'elenco dei gruppi di profili di sicurezza.

gcloud

Per elencare i gruppi di profili di sicurezza di mirroring personalizzati, utilizza il comando gcloud network-security security-profile-groups list:

gcloud network-security security-profile-groups list \
    --organization ORGANIZATION_ID \
    --location=global \
    --filter CUSTOM_MIRRORING_PROFILE
    --billing-project PROJECT_ID

Sostituisci quanto segue:

  • ORGANIZATION_ID: l'organizzazione in cui viene creato il gruppo di profili di sicurezza.

  • CUSTOM_MIRRORING_PROFILE: nome dei gruppi di profili per cui è definito un custom_mirroring_profile.

  • PROJECT_ID: l'ID progetto da utilizzare per la fatturazione del gruppo di profili di sicurezza.

Aggiorna un gruppo di profili di sicurezza

Puoi aggiornare la descrizione e le etichette del profilo di sicurezza a cui viene fatto riferimento in un gruppo di profili di sicurezza.

Console

  1. Nella console Google Cloud , vai alla pagina Gruppi di profili di sicurezza.

    Vai a Gruppi di profili di sicurezza

  2. Nel selettore di progetti, seleziona la tua organizzazione.

  3. Fai clic sul gruppo di profili di sicurezza.

  4. Fai clic su Modifica.

  5. Dopo aver modificato la regola, fai clic su Salva.

gcloud

Per aggiornare un gruppo di profili di sicurezza, utilizza il comando gcloud network-security security-profile-groups update:

gcloud network-security security-profile-groups \
    update SECURITY_PROFILE_GROUP_NAME \
    --organization ORGANIZATION_ID \
    --location=global \
    --description DESCRIPTION

Sostituisci quanto segue:

  • SECURITY_PROFILE_GROUP_NAME: il nome del gruppo di profili di sicurezza che vuoi aggiornare; puoi specificare il nome come stringa o come identificatore URL univoco.

  • ORGANIZATION_ID: l'organizzazione in cui viene creato il gruppo di profili di sicurezza.

  • DESCRIPTION: una descrizione facoltativa del gruppo di profili di sicurezza.

Eliminare un gruppo di profili di sicurezza

Puoi eliminare un gruppo di profili di sicurezza specificandone nome, posizione e organizzazione. Tuttavia, se un profilo di sicurezza personalizzato fa riferimento a un criterio firewall di rete, il gruppo di profili di sicurezza non può essere eliminato.

Console

  1. Nella console Google Cloud , vai alla pagina Gruppi di profili di sicurezza.

    Vai a Gruppi di profili di sicurezza

  2. Nel selettore di progetti, seleziona la tua organizzazione.

  3. Nella scheda Gruppi di profili di sicurezza, seleziona la casella di controllo del gruppo di profili di sicurezza da eliminare, quindi fai clic su Elimina.

  4. Fai di nuovo clic su Elimina per confermare.

gcloud

Per eliminare un gruppo di profili di sicurezza, utilizza il comando gcloud network-security security-profile-groups delete:

gcloud network-security security-profile-groups \
    delete SECURITY_PROFILE_GROUP_NAME \
    --custom-profile CUSTOM_PROFILE_NAME \
    --organization ORGANIZATION_ID \
    --location-global \
    --billing-project PROJECT_ID

Sostituisci quanto segue:

  • SECURITY_PROFILE_GROUP_NAME: il nome del gruppo di profili di sicurezza che vuoi eliminare; puoi specificare il nome come stringa o come identificatore URL univoco.

  • CUSTOM_PROFILE_NAME: il nome del profilo di sicurezza personalizzato.

  • ORGANIZATION_ID: l'organizzazione in cui viene creato il gruppo di profili di sicurezza.

  • PROJECT_ID: l'ID progetto da utilizzare per le quote e le limitazioni di accesso al gruppo di profili di sicurezza.

Passaggi successivi