Criar e gerenciar perfis de segurança de espelhamento personalizados

É possível criar um perfil de segurança de espelhamento personalizado apenas para o espelhamento de pacotes. Um perfil de segurança de espelhamento personalizado é uma configuração que exige a inspeção do tráfego de rede especificado por uma regra de política de firewall de rede designada. O tráfego que corresponde às regras de espelhamento na regra da política de firewall de rede é espelhado para o grupo de endpoints referenciado pelo perfil de segurança dessa regra.

Nesta página, explicamos como criar e gerenciar perfis de segurança personalizados usando a Google Cloud CLI.

Antes de começar

Papéis

Para receber as permissões necessárias de criação, visualização, atualização ou exclusão de perfis de segurança personalizados, solicite ao administrador que conceda a você os papéis do IAM necessários na sua organização. Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.

Para verificar o progresso das operações listadas nesta página, confira se seu função do usuário tem as seguintes permissões do papel Usuário da rede do Compute (roles/compute.networkUser):

  • networksecurity.operations.get
  • networksecurity.operations.list

Criar um perfil de segurança personalizado

Só é possível criar um perfil de segurança do tipo CUSTOM_MIRRORING.

Ao criar um perfil de segurança personalizado, é possível especificar o nome, o local e o grupo de endpoints para onde o tráfego é direcionado.

Nesta seção, crie um perfil de segurança personalizado para a duplicação de pacotes.

Console

  1. No console do Google Cloud , acesse a página Perfis de segurança.

    Acessar Perfis de segurança

  2. No seletor de organização, selecione sua organização.

  3. Na guia Perfis de segurança, clique em Criar perfil.

  4. Em Nome, insira um nome.

  5. Em Finalidade do perfil de segurança, selecione NSI fora da banda.

  6. Em Projeto, selecione o projeto que hospeda o grupo de endpoints de espelhamento.

  7. Em Grupo de endpoints de espelhamento, selecione o grupo de endpoints de espelhamento.

  8. Clique em Criar.

gcloud

Para criar um perfil de segurança personalizado para espelhamento de pacotes, use o comando gcloud network-security security-profiles custom-mirroring create:

gcloud network-security security-profiles custom-mirroring \
    create CUSTOM_MIRRORING_PROFILE_NAME \
    --organization ORGANIZATION_ID \
    --location=global \
    --mirroring-endpoint-group ENDPOINT_GROUP \
    --description DESCRIPTION \
    --billing-project PROJECT_ID

Substitua:

  • CUSTOM_MIRRORING_PROFILE_NAME: o nome do perfil de segurança personalizado.

  • ORGANIZATION_ID: a organização em que o perfil de segurança personalizado é criado.

  • ENDPOINT_GROUP: o URL do grupo de endpoints de espelhamento, por exemplo, projects/12345678/locations/global/mirroringEndpointGroups/mirroringEPG.

  • DESCRIPTION: uma descrição opcional para o perfil de espelhamento personalizado.

  • PROJECT_ID: o ID do projeto a ser usado para cotas e restrições de acesso no perfil de segurança personalizado.

Terraform

Para criar um perfil de segurança, use um recurso google_network_security_security_profile.

resource "google_network_security_security_profile" "default" {
  name     = "security-profile"
  type     = "CUSTOM_MIRRORING"
  parent   = "organizations/${data.google_organization.default.org_id}"
  location = "global"

  custom_mirroring_profile {
    mirroring_endpoint_group = google_network_security_mirroring_endpoint_group.default.id
  }
}

Para saber como aplicar ou remover uma configuração do Terraform, consulte Comandos básicos do Terraform.

Listar perfis de segurança personalizados

É possível listar todos os perfis de segurança personalizados em uma organização.

Console

  1. No console do Google Cloud , acesse a página Perfis de segurança.

    Acessar Perfis de segurança

  2. No seletor de organização, selecione sua organização.

  3. Na guia Perfis de segurança, confira todos os perfis de segurança do projeto.

gcloud

Para listar todos os perfis de segurança de espelhamento personalizados, use o comando gcloud network-security security-profiles custom-mirroring list:

gcloud network-security security-profiles custom-mirroring list \
    --organization ORGANIZATION_ID \
    --location=global \
    --billing-project PROJECT_ID

Substitua:

  • ORGANIZATION_ID: a organização em que o perfil de segurança personalizado é criado.
  • PROJECT_ID: o ID do projeto a ser usado para cotas e restrições de acesso no perfil de segurança personalizado.

Excluir um perfil de segurança personalizado

É possível excluir um perfil de segurança de espelhamento personalizado especificando o nome, o local e a organização dele. No entanto, se um perfil de segurança personalizado for referenciado por um grupo de perfis de segurança, ele não poderá ser excluído.

Console

  1. No console do Google Cloud , acesse a página Perfis de segurança.

    Acessar Perfis de segurança

  2. No seletor de organização, selecione sua organização.

  3. Na guia Perfis de segurança, marque a caixa de seleção do perfil e clique em Excluir.

  4. Clique em Excluir novamente para confirmar.

gcloud

Para excluir os perfis de segurança personalizados de prevenção de ameaças, use o comando gcloud network-security security-profiles custom-mirroring delete:

gcloud network-security security-profiles custom-mirroring \
    delete CUSTOM_PROFILE_NAME \
    --organization ORGANIZATION_ID \
    --billing-project PROJECT_ID
    --location=global

Substitua:

  • CUSTOM_PROFILE_NAME: o nome do perfil de segurança personalizado que você quer excluir.
  • ORGANIZATION_ID: a organização em que o perfil de segurança personalizado é criado.
  • PROJECT_ID: o ID do projeto a ser usado para cotas e restrições de acesso no perfil de segurança personalizado.

A seguir