Un groupe de profils de sécurité est un conteneur pour les profils de sécurité d'interception personnalisés. Une règle d'interception référence un groupe de profils de sécurité pour permettre le traitement du trafic réseau dans l'intégration de la sécurité réseau.
Cette page fournit une présentation détaillée des groupes de profils de sécurité et de leurs fonctionnalités.
Spécifications
Les groupes de profils de sécurité sont soumis aux spécifications suivantes :
Un groupe de profils de sécurité est une ressource globale au niveau de l'organisation.
Le nom d'un groupe de profils de sécurité est configuré au format suivant :
organizations/ORGANIZATION_ID/locations/global/securityProfileGroups/SECURITY_PROFILE_GROUP_IDPar exemple, le nom de l'ID de groupe de profils de sécurité
example-security-profile-groupdans l'organisationexample-orgestorganizations/example-org/locations/global/securityProfileGroups/example-security-profile-group.Vous ne pouvez ajouter qu'un seul profil de sécurité à un groupe de profils de sécurité.
Une règle de pare-feu doit contenir le nom du groupe de profils de sécurité qui sera utilisé par les points de terminaison d'interception.
Les groupes de profils de sécurité ne s'appliquent aux stratégies de pare-feu d'intégration intrabande que lorsque vous ajoutez une règle de pare-feu avec l'action
APPLY_SECURITY_PROFILE_GROUP. Vous pouvez configurer des groupes de profils de sécurité dans les règles de stratégies de pare-feu hiérarchiques et les règles de stratégies de pare-feu de réseau au niveau mondial.Selon le sens du signalement de la règle de pare-feu, celle-ci peut affecter le trafic entrant et sortant au sein du réseau VPC (Virtual Private Cloud). Le trafic intercepté est ensuite envoyé au groupe de points de terminaison d'interception défini dans le profil de sécurité référencé par le groupe de profils de sécurité configuré. Par la suite, le groupe de points de terminaison d'interception redirige le trafic intercepté vers le groupe de déploiement du producteur associé par les déploiements réseau.
Chaque groupe de profils de sécurité doit être associé à un ID de projet. Le projet associé est utilisé pour les quotas. Si vous authentifiez votre compte de service à l'aide de la commande
gcloud auth activate-service-account, vous pouvez associer votre compte de service au groupe de profils de sécurité. Pour savoir comment créer un groupe de profils de sécurité, consultez Créer et gérer des groupes de profils de sécurité.
Rôles de gestion de l'authentification et des accès (IAM)
Le tableau suivant décrit les rôles IAM (Identity and Access Management) requis pour gérer les groupes de profils de sécurité :
| Aptitude | Rôle nécessaire |
|---|---|
| Créer un groupe de profils de sécurité | Rôle Administrateur de profils de sécurité (networksecurity.securityProfileAdmin) sur l'organisation où le groupe de profils de sécurité est créé. |
| Modifier un groupe de profils de sécurité | Rôle Administrateur de profils de sécurité (networksecurity.securityProfileAdmin) sur l'organisation où le groupe de profils de sécurité est créé. |
| Afficher les détails du groupe de profils de sécurité d'une organisation | Rôle Administrateur de profils de sécurité (networksecurity.securityProfileAdmin) sur l'organisation où le groupe de profils de sécurité est créé. |
| Afficher tous les groupes de profils de sécurité d'une organisation | Rôle Administrateur de profils de sécurité (networksecurity.securityProfileAdmin) sur l'organisation où le groupe de profils de sécurité est créé. |
| Utiliser un groupe de profils de sécurité dans une règle de stratégie d'intégration dans la bande | Rôle Administrateur de profils de sécurité (networksecurity.securityProfileAdmin) sur l'organisation où le groupe de profils de sécurité est créé. |
Si vous ne disposez pas du rôle Administrateur de profil de sécurité (networksecurity.securityProfileAdmin), vous pouvez créer des groupes de profils de sécurité avec les autorisations suivantes :
networksecurity.securityProfileGroups.createnetworksecurity.securityProfileGroups.deletenetworksecurity.securityProfileGroups.getnetworksecurity.securityProfileGroups.listnetworksecurity.securityProfileGroups.updatenetworksecurity.securityProfileGroups.use
Pour en savoir plus sur les autorisations et les rôles prédéfinis IAM, consultez la documentation de référence sur les autorisations IAM.
Quotas
Pour afficher les quotas associés aux groupes de profils de sécurité, consultez Quotas et limites.
Étapes suivantes
- Créer et gérer des groupes de profils de sécurité
- Créer et gérer des profils de sécurité d'interception personnalisés