Vous ne pouvez créer un profil de sécurité de mise en miroir personnalisé que pour la mise en miroir de paquets. Un profil de sécurité de mise en miroir personnalisé est une configuration qui impose l'inspection du trafic réseau spécifié par une règle de stratégie de pare-feu réseau désignée. Le trafic correspondant aux règles de mise en miroir de la règle de stratégie de pare-feu réseau est mis en miroir dans le groupe de points de terminaison référencé par le profil de sécurité de cette règle de stratégie de pare-feu réseau.
Cette page explique comment créer et gérer des profils de sécurité personnalisés à l'aide de la Google Cloud CLI.
Avant de commencer
- Vous devez activer l'API Network Security dans votre projet.
- Installez gcloud CLI si vous souhaitez exécuter les exemples de ligne de commande
gcloudde ce guide.
Rôles
Pour obtenir les autorisations nécessaires pour créer, afficher, mettre à jour ou supprimer des profils de sécurité personnalisés, demandez à votre administrateur de vous accorder les rôles IAM nécessaires sur votre organisation. Pour en savoir plus sur l'attribution de rôles, consultez Gérer l'accès aux projets, aux dossiers et aux organisations.
Pour vérifier la progression des opérations listées sur cette page, assurez-vous que votre rôle utilisateur dispose des autorisations du rôle Utilisateur de réseau Compute (roles/compute.networkUser) :
networksecurity.operations.getnetworksecurity.operations.list
Créer un profil de sécurité personnalisé
Vous ne pouvez créer qu'un profil de sécurité de type CUSTOM_MIRRORING.
Lorsque vous créez un profil de sécurité personnalisé, vous pouvez spécifier son nom, son emplacement et le groupe de points de terminaison vers lequel le trafic est dirigé.
Dans cette section, créez un profil de sécurité personnalisé pour la mise en miroir des paquets.
Console
Dans la console Google Cloud , accédez à la page Profils de sécurité.
Dans le sélecteur de projets, sélectionnez votre organisation.
Dans l'onglet Profils de sécurité, cliquez sur Créer un profil.
Dans le champ Nom, saisissez un nom.
Pour Objectif du profil de sécurité, sélectionnez NSI hors bande.
Pour Projet, sélectionnez le projet qui héberge le groupe de points de terminaison de mise en miroir.
Pour Groupe de points de terminaison de mise en miroir, sélectionnez le groupe de points de terminaison de mise en miroir.
Cliquez sur Créer.
gcloud
Pour créer un profil de sécurité personnalisé pour la mise en miroir de paquets, utilisez la commande gcloud network-security security-profiles custom-mirroring create :
gcloud network-security security-profiles custom-mirroring \
create CUSTOM_MIRRORING_PROFILE_NAME \
--organization ORGANIZATION_ID \
--location=global \
--mirroring-endpoint-group ENDPOINT_GROUP \
--description DESCRIPTION \
--billing-project PROJECT_ID
Remplacez les éléments suivants :
CUSTOM_MIRRORING_PROFILE_NAME: nom du profil de sécurité personnalisé.ORGANIZATION_ID: organisation dans laquelle le profil de sécurité personnalisé est créé.ENDPOINT_GROUP: URL du groupe de points de terminaison de mise en miroir (par exemple,projects/12345678/locations/global/mirroringEndpointGroups/mirroringEPG).DESCRIPTION: description facultative du profil de mise en miroir personnalisé.PROJECT_ID: ID de projet à utiliser pour les quotas et les restrictions d'accès sur le profil de sécurité personnalisé.
Terraform
Pour créer un profil de sécurité, vous pouvez utiliser une ressource google_network_security_security_profile.
Pour savoir comment appliquer ou supprimer une configuration Terraform, consultez Commandes Terraform de base.
Lister les profils de sécurité personnalisés
Vous pouvez lister tous les profils de sécurité personnalisés dans une organisation.
Console
Dans la console Google Cloud , accédez à la page Profils de sécurité.
Dans le sélecteur de projets, sélectionnez votre organisation.
Dans l'onglet Profils de sécurité, affichez tous les profils de sécurité du projet.
gcloud
Pour répertorier tous les profils de sécurité de mise en miroir personnalisés, exécutez la commande gcloud network-security security-profiles custom-mirroring list :
gcloud network-security security-profiles custom-mirroring list \
--organization ORGANIZATION_ID \
--location=global \
--billing-project PROJECT_ID
Remplacez les éléments suivants :
ORGANIZATION_ID: organisation dans laquelle le profil de sécurité personnalisé est créé.PROJECT_ID: ID de projet à utiliser pour les quotas et les restrictions d'accès sur le profil de sécurité personnalisé.
Supprimer un profil de sécurité personnalisé
Vous pouvez supprimer un profil de sécurité de mise en miroir personnalisé en spécifiant son nom, son emplacement et son organisation. Toutefois, si un profil de sécurité personnalisé est référencé par un groupe de profils de sécurité, il ne peut pas être supprimé.
Console
Dans la console Google Cloud , accédez à la page Profils de sécurité.
Dans le sélecteur de projets, sélectionnez votre organisation.
Dans l'onglet Profils de sécurité, cochez la case du profil de sécurité, puis cliquez sur Supprimer.
Cliquez à nouveau sur Supprimer pour confirmer votre choix.
gcloud
Pour supprimer les profils de sécurité personnalisés de prévention des menaces, exécutez la commande gcloud network-security security-profiles custom-mirroring delete :
gcloud network-security security-profiles custom-mirroring \
delete CUSTOM_PROFILE_NAME \
--organization ORGANIZATION_ID \
--billing-project PROJECT_ID
--location=global
Remplacez les éléments suivants :
CUSTOM_PROFILE_NAME: nom du profil de sécurité personnalisé que vous souhaitez supprimer.ORGANIZATION_ID: organisation dans laquelle le profil de sécurité personnalisé est créé.PROJECT_ID: ID de projet à utiliser pour les quotas et les restrictions d'accès sur le profil de sécurité personnalisé.