Puoi creare un profilo di sicurezza di mirroring personalizzato solo per Mirroring pacchettog. Un profilo di sicurezza di mirroring personalizzato è una configurazione che impone l'ispezione del traffico di rete specificato da una regola dei criteri firewall di rete designata. Il traffico che corrisponde alle regole di mirroring nella regola del criterio firewall di rete viene sottoposto a mirroring nel gruppo di endpoint a cui fa riferimento il profilo di sicurezza di quella regola del criterio firewall di rete.
Questa pagina spiega come creare e gestire profili di sicurezza personalizzati utilizzando Google Cloud CLI.
Prima di iniziare
- Devi abilitare l'API Network Security nel tuo progetto.
- Installa gcloud CLI se vuoi eseguire gli esempi di riga di comando
gcloudin questa guida.
Ruoli
Per ottenere le autorizzazioni necessarie per creare, visualizzare, aggiornare o eliminare profili di sicurezza personalizzati, chiedi all'amministratore di concederti i ruoli IAM necessari nella tua organizzazione. Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.
Per controllare l'avanzamento delle operazioni elencate in questa pagina, assicurati che il tuo ruolo utente disponga delle seguenti autorizzazioni del ruolo Utente di rete Compute (roles/compute.networkUser):
networksecurity.operations.getnetworksecurity.operations.list
Creare un profilo di sicurezza personalizzato
Puoi creare solo un profilo di sicurezza di tipo CUSTOM_MIRRORING.
Quando crei un profilo di sicurezza personalizzato, puoi specificare il nome del profilo, la posizione e il gruppo di endpoint a cui viene indirizzato il traffico.
In questa sezione, crea un profilo di sicurezza personalizzato per il mirroring dei pacchetti.
Console
Nella console Google Cloud , vai alla pagina Profili di sicurezza.
Nel selettore di progetti, seleziona la tua organizzazione.
Nella scheda Profili di sicurezza, fai clic su Crea profilo.
In Nome, inserisci un nome.
In Scopo del profilo di sicurezza, seleziona NSI fuori banda.
Per Progetto, seleziona il progetto che ospita il gruppo di endpoint di mirroring.
Per Gruppo di endpoint di mirroring, seleziona il gruppo di endpoint di mirroring.
Fai clic su Crea.
gcloud
Per creare un profilo di sicurezza personalizzato per il mirroring pacchetto, utilizza il
comando gcloud network-security security-profiles custom-mirroring create:
gcloud network-security security-profiles custom-mirroring \
create CUSTOM_MIRRORING_PROFILE_NAME \
--organization ORGANIZATION_ID \
--location=global \
--mirroring-endpoint-group ENDPOINT_GROUP \
--description DESCRIPTION \
--billing-project PROJECT_ID
Sostituisci quanto segue:
CUSTOM_MIRRORING_PROFILE_NAME: il nome del profilo di sicurezza personalizzato.ORGANIZATION_ID: l'organizzazione in cui viene creato il profilo di sicurezza personalizzato.ENDPOINT_GROUP: l'URL del gruppo di endpoint di mirroring, ad esempioprojects/12345678/locations/global/mirroringEndpointGroups/mirroringEPG.DESCRIPTION: una descrizione facoltativa per il profilo di mirroring personalizzato.PROJECT_ID: l'ID progetto da utilizzare per le quote e le limitazioni di accesso al profilo di sicurezza personalizzato.
Terraform
Per creare un profilo di sicurezza, puoi utilizzare una risorsa google_network_security_security_profile.
Per scoprire come applicare o rimuovere una configurazione Terraform, consulta Comandi Terraform di base.
Elenca profili di sicurezza personalizzati
Puoi elencare tutti i profili di sicurezza personalizzati in un'organizzazione.
Console
Nella console Google Cloud , vai alla pagina Profili di sicurezza.
Nel selettore di progetti, seleziona la tua organizzazione.
Nella scheda Profili di sicurezza, visualizza tutti i profili di sicurezza del progetto.
gcloud
Per elencare tutti i profili di sicurezza di mirroring personalizzati, utilizza il comando gcloud network-security security-profiles custom-mirroring list:
gcloud network-security security-profiles custom-mirroring list \
--organization ORGANIZATION_ID \
--location=global \
--billing-project PROJECT_ID
Sostituisci quanto segue:
ORGANIZATION_ID: l'organizzazione in cui viene creato il profilo di sicurezza personalizzato.PROJECT_ID: l'ID progetto da utilizzare per le quote e le limitazioni di accesso al profilo di sicurezza personalizzato.
Eliminare un profilo di sicurezza personalizzato
Puoi eliminare un profilo di sicurezza personalizzato per il mirroring specificandone nome, posizione e organizzazione. Tuttavia, se un profilo di sicurezza personalizzato viene a cui fa riferimento un gruppo di profili di sicurezza, non può essere eliminato.
Console
Nella console Google Cloud , vai alla pagina Profili di sicurezza.
Nel selettore di progetti, seleziona la tua organizzazione.
Nella scheda Profili di sicurezza, seleziona la casella di controllo del profilo di sicurezza e poi fai clic su Elimina.
Fai di nuovo clic su Elimina per confermare.
gcloud
Per eliminare i profili di sicurezza personalizzati per la prevenzione delle minacce, utilizza il
comando gcloud network-security security-profiles custom-mirroring delete:
gcloud network-security security-profiles custom-mirroring \
delete CUSTOM_PROFILE_NAME \
--organization ORGANIZATION_ID \
--billing-project PROJECT_ID
--location=global
Sostituisci quanto segue:
CUSTOM_PROFILE_NAME: il nome del profilo di sicurezza personalizzato che vuoi eliminare.ORGANIZATION_ID: l'organizzazione in cui viene creato il profilo di sicurezza personalizzato.PROJECT_ID: l'ID progetto da utilizzare per le quote e le limitazioni di accesso al profilo di sicurezza personalizzato.