Un grupo de perfiles de seguridad es un contenedor de perfiles de seguridad de interceptación personalizados. Una regla de interceptación hace referencia a un grupo de perfiles de seguridad para habilitar el procesamiento del tráfico de red en la Integración de seguridad de red.
En esta página, se proporciona una descripción general detallada de los grupos de perfiles de seguridad y sus capacidades.
Especificaciones
Los grupos de perfiles de seguridad tienen las siguientes especificaciones:
Un grupo de perfiles de seguridad es un recurso global a nivel de la organización.
El nombre de un grupo de perfiles de seguridad se configura con el siguiente formato:
organizations/ORGANIZATION_ID/locations/global/securityProfileGroups/SECURITY_PROFILE_GROUP_IDPor ejemplo, el nombre del ID del grupo de perfiles de seguridad
example-security-profile-groupen la organizaciónexample-orgesorganizations/example-org/locations/global/securityProfileGroups/example-security-profile-group.Solo puedes agregar un perfil de seguridad a un grupo de perfiles de seguridad.
Una regla de firewall debe contener el nombre del grupo de perfil de seguridad que usarán los extremos de interceptación.
Los grupos de perfiles de seguridad se aplican a las políticas de firewall de integración dentro de la banda solo cuando agregas una regla de firewall con la acción
APPLY_SECURITY_PROFILE_GROUP. Puedes configurar grupos de perfiles de seguridad en reglas de políticas de firewall jerárquicas y reglas de políticas de firewall de red globales.Según la dirección de la marca de la regla de firewall, la regla puede afectar el tráfico entrante y saliente dentro de la red de nube privada virtual (VPC). Luego, el tráfico interceptado se envía al grupo de extremos de intercepción definido en el perfil de seguridad al que hace referencia el grupo de perfiles de seguridad configurado. Posteriormente, el grupo de extremos de interceptación redirecciona el tráfico interceptado al grupo de implementación del productor adjunto por las implementaciones de red.
Cada grupo de perfiles de seguridad debe tener un ID del proyecto asociado. El proyecto asociado se usa para las cuotas. Si autenticas tu cuenta de servicio con el comando
gcloud auth activate-service-account, puedes asociarla con el grupo de perfiles de seguridad. Si quieres obtener más información para crear un grupo de perfiles de seguridad, consulta Crea y administra grupos de perfiles de seguridad.
Roles de Identity and Access Management
En la siguiente tabla, se describen los roles de Identity and Access Management (IAM) necesarios para administrar los grupos de perfiles de seguridad:
| Capacidad | Rol necesario |
|---|---|
| Crear un grupo de perfil de seguridad | Rol de administrador de perfiles de seguridad (networksecurity.securityProfileAdmin)
en la organización en la que se crea el grupo de perfiles de seguridad |
| Modificar un grupo de perfiles de seguridad | Rol de administrador de perfiles de seguridad (networksecurity.securityProfileAdmin)
en la organización en la que se crea el grupo de perfiles de seguridad |
| Visualizar los detalles del grupo de perfiles de seguridad de una organización | Rol de administrador de perfiles de seguridad (networksecurity.securityProfileAdmin)
en la organización en la que se crea el grupo de perfiles de seguridad |
| Visualiza todos los grupos de perfiles de seguridad de una organización | Rol de administrador de perfiles de seguridad (networksecurity.securityProfileAdmin)
en la organización en la que se crea el grupo de perfiles de seguridad |
| Usar un grupo de perfiles de seguridad en una regla de política de integración dentro de la banda | Rol de administrador de perfiles de seguridad (networksecurity.securityProfileAdmin)
en la organización en la que se crea el grupo de perfiles de seguridad |
Si no tienes el rol de administrador de perfiles de seguridad (networksecurity.securityProfileAdmin), puedes crear grupos de perfiles de seguridad con los siguientes permisos:
networksecurity.securityProfileGroups.createnetworksecurity.securityProfileGroups.deletenetworksecurity.securityProfileGroups.getnetworksecurity.securityProfileGroups.listnetworksecurity.securityProfileGroups.updatenetworksecurity.securityProfileGroups.use
Para obtener más información sobre los permisos de IAM y los roles predefinidos, consulta la referencia de permisos de IAM.
Cuotas
Para ver las cuotas asociadas con los grupos de perfiles de seguridad, consulta Cuotas y límites.
¿Qué sigue?
- Crea y administra grupos de perfiles de seguridad
- Crea y administra perfiles de seguridad de interceptación personalizados