Un gruppo di profili di sicurezza è un contenitore per profili di sicurezza di intercettazione personalizzati. Una regola di intercettazione fa riferimento a un gruppo di profili di sicurezza per consentire l'elaborazione del traffico di rete all'interno dell'integrazione della sicurezza di rete.
Questa pagina fornisce una panoramica dettagliata dei gruppi di profili di sicurezza e delle loro funzionalità.
Specifiche
I gruppi di profili di sicurezza hanno le seguenti specifiche:
Un gruppo di profili di sicurezza è una risorsa globale a livello di organizzazione.
Il nome di un gruppo di profili di sicurezza è configurato nel seguente formato:
organizations/ORGANIZATION_ID/locations/global/securityProfileGroups/SECURITY_PROFILE_GROUP_IDAd esempio, il nome dell'ID gruppo di profili di sicurezza
example-security-profile-groupnell'organizzazioneexample-orgèorganizations/example-org/locations/global/securityProfileGroups/example-security-profile-group.Puoi aggiungere un solo profilo di sicurezza a un gruppo di profili di sicurezza.
Una regola firewall deve contenere il nome del gruppo di profili di sicurezza da utilizzare negli endpoint di intercettazione.
I gruppi di profili di sicurezza si applicano solo alle policy firewall di integrazione in banda quando aggiungi una regola firewall con l'azione
APPLY_SECURITY_PROFILE_GROUP. Puoi configurare i gruppi di profili di sicurezza nelle regole dei criteri firewall gerarchici e nelle regole dei criteri firewall di rete globali.A seconda della direzione del flag della regola firewall, la regola può influire sia sul traffico in entrata che in uscita all'interno della rete Virtual Private Cloud (VPC). Il traffico intercettato viene quindi inviato al gruppo di endpoint di intercettazione definito nel profilo di sicurezza a cui fa riferimento il gruppo di profili di sicurezza configurato. Successivamente, il gruppo di endpoint di intercettazione reindirizza il traffico intercettato al gruppo di deployment del produttore collegato dai deployment di rete.
Ogni gruppo di profili di sicurezza deve avere un ID progetto associato. Il progetto associato viene utilizzato per le quote. Se autentichi il service account utilizzando il comando
gcloud auth activate-service-account, puoi associare il account di servizio al gruppo di profili di sicurezza. Per scoprire di più su come creare un gruppo di profili di sicurezza, consulta Creare e gestire gruppi di profili di sicurezza.
Ruoli Identity and Access Management
La seguente tabella descrive i ruoli Identity and Access Management (IAM) necessari per gestire i gruppi di profili di sicurezza:
| Abilità | Ruolo necessario |
|---|---|
| Creare un gruppo di profili di sicurezza | Ruolo Amministratore del profilo di sicurezza (networksecurity.securityProfileAdmin)
nell'organizzazione in cui viene creato il gruppo di profili di sicurezza. |
| Modificare un gruppo di profili di sicurezza | Ruolo Amministratore del profilo di sicurezza (networksecurity.securityProfileAdmin)
nell'organizzazione in cui viene creato il gruppo di profili di sicurezza. |
| Visualizzare i dettagli del gruppo di profili di sicurezza in un'organizzazione | Ruolo Amministratore del profilo di sicurezza (networksecurity.securityProfileAdmin)
nell'organizzazione in cui viene creato il gruppo di profili di sicurezza. |
| Visualizzare tutti i gruppi di profili di sicurezza in un'organizzazione | Ruolo Amministratore del profilo di sicurezza (networksecurity.securityProfileAdmin)
nell'organizzazione in cui viene creato il gruppo di profili di sicurezza. |
| Utilizza un gruppo di profili di sicurezza in una regola di policy di integrazione in banda | Ruolo Amministratore del profilo di sicurezza (networksecurity.securityProfileAdmin)
nell'organizzazione in cui viene creato il gruppo di profili di sicurezza. |
Se non disponi del ruolo Amministratore profili di sicurezza
(networksecurity.securityProfileAdmin), puoi creare gruppi di profili di sicurezza con le seguenti autorizzazioni:
networksecurity.securityProfileGroups.createnetworksecurity.securityProfileGroups.deletenetworksecurity.securityProfileGroups.getnetworksecurity.securityProfileGroups.listnetworksecurity.securityProfileGroups.updatenetworksecurity.securityProfileGroups.use
Per saperne di più sulle autorizzazioni IAM e sui ruoli predefiniti, consulta Riferimento alle autorizzazioni IAM.
Quote
Per visualizzare le quote associate ai gruppi di profili di sicurezza, consulta Quote e limiti.
Passaggi successivi
- Creare e gestire gruppi di profili di sicurezza
- Creare e gestire profili di sicurezza di intercettazione personalizzati