Creare e gestire profili di sicurezza di intercettazione personalizzati

Questa pagina descrive come creare e gestire i profili di sicurezza di intercettazione personalizzati.

Prima di iniziare

Ruoli

Per ottenere le autorizzazioni necessarie per creare, visualizzare, aggiornare o eliminare i profili di sicurezza di intercettazione personalizzati, chiedi all'amministratore di concederti i ruoli IAM necessari nella tua organizzazione. Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.

Per controllare lo stato di avanzamento delle operazioni elencate in questa pagina, assicurati che il tuo ruolo utente disponga delle seguenti autorizzazioni del ruolo Utente rete Compute (roles/compute.networkUser):

  • networksecurity.operations.get
  • networksecurity.operations.list

Creare un profilo di sicurezza di intercettazione personalizzato

Per l'integrazione in banda, puoi creare solo un profilo di sicurezza di tipo custom-intercept. Puoi creare profili di sicurezza a livello di organizzazione o di progetto (anteprima).

Console

  1. Nella Google Cloud console, vai alla pagina Profili di sicurezza.

    Vai a Profili di sicurezza

  2. Nel selettore di progetti, seleziona la tua organizzazione o il progetto (anteprima).

  3. Nella scheda Profili di sicurezza, fai clic su Crea profilo.

  4. In Nome, inserisci un nome.

  5. In Scopo del profilo di sicurezza, seleziona NSI in banda.

  6. In Progetto, seleziona il progetto che ospita il gruppo di endpoint di intercettazione.

  7. In Gruppo di endpoint di intercettazione, seleziona il gruppo di endpoint di intercettazione.

  8. Fai clic su Crea.

gcloud

Per creare un profilo di sicurezza di intercettazione personalizzato per l'integrazione in banda, utilizza il gcloud network-security security-profiles custom-intercept create comando:

gcloud network-security security-profiles custom-intercept create CUSTOM_INTERCEPT_PROFILE_NAME \
    --organization ORGANIZATION_ID | --project PROJECT_ID \
    --location global \
    [--billing-project QUOTA_PROJECT_ID] \
    --intercept-endpoint-group \
        projects/ENDPOINT_GROUP_PROJECT_ID/locations/global/interceptEndpointGroups/ENDPOINT_GROUP_ID

Sostituisci quanto segue:

  • CUSTOM_INTERCEPT_PROFILE_NAME: il nome del profilo di sicurezza.

    Se non specifichi il nome nel formato dell'identificatore URL univoco, devi specificare l'organizzazione o il nome del progetto e la località.

  • ORGANIZATION_ID: l'ID organizzazione. Utilizza questo flag per creare un profilo di sicurezza a livello di organizzazione.

  • PROJECT_ID: l'ID progetto. Utilizza questo flag per creare un profilo di sicurezza a livello di progetto (anteprima).

    Il flag --project è disponibile in (anteprima). Per utilizzare questo flag, esegui il gcloud beta network-security security-profiles custom-intercept create comando.

  • QUOTA_PROJECT_ID: l'ID progetto quota. Utilizza questo flag solo per il profilo di sicurezza a livello di organizzazione.

  • ENDPOINT_GROUP_PROJECT_ID: l'ID progetto in cui hai creato il gruppo di endpoint di intercettazione.

  • ENDPOINT_GROUP_ID: l'ID del gruppo di endpoint.

Terraform

Per creare un profilo di sicurezza, puoi utilizzare una google_network_security_security_profile risorsa.

resource "google_network_security_security_profile" "default" {
  name     = "security-profile"
  type     = "CUSTOM_INTERCEPT"
  parent   = "organizations/${data.google_organization.default.org_id}"
  location = "global"

  custom_intercept_profile {
    intercept_endpoint_group = google_network_security_intercept_endpoint_group.default.id
  }
}

Per scoprire come applicare o rimuovere una configurazione Terraform, consulta Comandi Terraform di base.

Elencare e visualizzare i dettagli di un profilo di sicurezza di intercettazione personalizzato

Puoi elencare i profili di sicurezza in un'organizzazione o in un progetto (anteprima) e visualizzare i dettagli di un profilo, come il nome e l'ID del gruppo di endpoint.

Console

  1. Nella Google Cloud console, vai alla pagina Profili di sicurezza.

    Vai a Profili di sicurezza

  2. Nel selettore di progetti, seleziona la tua organizzazione o il progetto (anteprima). La scheda elenca tutti i profili di sicurezza.

  3. Nella scheda Profili di sicurezza, fai clic sul nome del profilo di sicurezza.

gcloud

Per elencare tutti i profili di sicurezza di intercettazione personalizzati, utilizza il gcloud network-security security-profiles custom-intercept list comando:

gcloud network-security security-profiles custom-intercept list \
    --organization ORGANIZATION_ID | --project PROJECT_ID \
    --location global \
    [--billing-project QUOTA_PROJECT_ID]

Per visualizzare i dettagli di un profilo di sicurezza di intercettazione personalizzato, utilizza il gcloud network-security security-profiles custom-intercept describe comando:

gcloud network-security security-profiles custom-intercept describe CUSTOM_INTERCEPT_PROFILE_NAME \
    --organization ORGANIZATION_ID | --project PROJECT_ID \
    [--billing-project QUOTA_PROJECT_ID] \
    --location global

Sostituisci quanto segue:

  • CUSTOM_INTERCEPT_PROFILE_NAME: il nome del profilo di sicurezza.

    Se non specifichi il nome nel formato dell'identificatore URL univoco, devi specificare l'organizzazione o il nome del progetto e la località.

  • ORGANIZATION_ID: l'ID organizzazione in cui esiste il profilo di sicurezza.

  • PROJECT_ID: l'ID progetto in cui esiste il profilo di sicurezza.

    Il flag --project è disponibile in (anteprima). Per utilizzare questo flag, esegui il gcloud beta network-security security-profiles custom-intercept describe comando.

  • QUOTA_PROJECT_ID: l'ID progetto quota. Utilizza questo flag solo per i profili di sicurezza a livello di organizzazione.

L'output è simile al seguente:

  • Profili di sicurezza a livello di organizzazione: organizations/ORGANIZATION_ID/locations/global/securityProfiles/CUSTOM_INTERCEPT_PROFILE_NAME
  • Profili di sicurezza a livello di progetto (anteprima): projects/PROJECT_ID/locations/global/securityProfiles/CUSTOM_INTERCEPT_PROFILE_NAME

Eliminare un profilo di sicurezza di intercettazione personalizzato

Puoi eliminare un profilo di sicurezza di intercettazione personalizzato specificandone il nome, la località e l'organizzazione o il progetto. Prima di eliminare il profilo di sicurezza, assicurati che non venga utilizzato da un gruppo di profili di sicurezza.

Console

  1. Nella Google Cloud console, vai alla pagina Profili di sicurezza.

    Vai a Profili di sicurezza

  2. Nel selettore di progetti, seleziona la tua organizzazione o il progetto (anteprima).

  3. Nella scheda Profili di sicurezza , seleziona la casella di controllo del profilo di sicurezza e fai clic su Elimina.

  4. Fai di nuovo clic su Elimina per confermare.

gcloud

Per eliminare un profilo di sicurezza di intercettazione personalizzato, utilizza il comando gcloud network-security security-profiles custom-intercept delete:

gcloud network-security security-profiles custom-intercept delete CUSTOM_INTERCEPT_PROFILE_NAME \
    --organization ORGANIZATION_ID | --project PROJECT_ID \
    [--billing-project QUOTA_PROJECT_ID] \
    --location global

Sostituisci quanto segue:

  • CUSTOM_INTERCEPT_PROFILE_NAME: il nome del profilo di sicurezza di intercettazione personalizzato che vuoi eliminare.

    Se non specifichi il nome nel formato dell'identificatore URL univoco, devi specificare l'organizzazione o il nome del progetto e la località.

  • ORGANIZATION_ID: l'ID organizzazione in cui esiste il profilo di sicurezza.

  • PROJECT_ID: l'ID progetto in cui esiste il profilo di sicurezza.

    Il flag --project è disponibile in (anteprima). Per utilizzare questo flag, esegui il gcloud beta network-security security-profiles custom-intercept delete comando.

  • QUOTA_PROJECT_ID: l'ID progetto quota. Utilizza questo flag solo per i profili di sicurezza a livello di organizzazione.

Passaggi successivi