Un groupe de profils de sécurité est un conteneur pour les profils de sécurité personnalisés. Une règle de mise en miroir référence un groupe de profils de sécurité pour permettre le traitement du trafic réseau dans l'intégration de la sécurité réseau.
Ce document fournit une présentation détaillée des groupes de profils de sécurité et de leurs fonctionnalités.
Spécifications
Un groupe de profils de sécurité est une ressource au niveau de l'organisation.
Vous ne pouvez ajouter qu'un seul profil de sécurité de type
CUSTOM_MIRRORINGà un groupe de profils de sécurité.Chaque groupe de profils de sécurité est identifié de manière unique par une URL comprenant les éléments suivants :
- ID de l'organisation : ID de l'organisation.
- Emplacement : champ d'application du groupe de profils de sécurité. L'emplacement est toujours défini sur
global. - Nom : nom du groupe de profils de sécurité au format suivant :
- Chaîne de 1 à 63 caractères.
- N'inclut que des caractères alphanumériques en minuscules ou des traits d'union (-).
- Le nom doit commencer par une lettre
Pour créer un identifiant d'URL unique pour un groupe de profils de sécurité, utilisez le format suivant :
organization/ORGANIZATION_ID/locations/LOCATION/securityProfileGroups/SECURITY_PROFILE_GROUP_NAMERemplacez les éléments suivants :
ORGANIZATION_ID: ID de l'organisation.LOCATION: champ d'application du groupe de profils de sécurité. L'emplacement est toujours défini surglobal.SECURITY_PROFILE_GROUP_NAME: nom du groupe de profils de sécurité.
Par exemple, un groupe de profil de sécurité
example-security-profile-groupayant le niveau d'accèsglobaldans l'organisation2345678432possède l'identifiant unique suivant :organization/2345678432/locations/global/securityProfileGroups/example-security-profile-groupUne règle de mise en miroir doit contenir le nom du groupe de profils de sécurité qui sera utilisé par les points de terminaison de mise en miroir.
Les groupes de profils de sécurité ne s'appliquent aux règles de mise en miroir de paquets que lorsque vous ajoutez une règle de mise en miroir avec l'action
MIRROR. Vous pouvez configurer des groupes de profils de sécurité dans les règles de stratégies de pare-feu hiérarchiques et les règles de stratégies de pare-feu de réseau au niveau mondial.Selon le sens du signalement de la règle de mise en miroir, la règle affecte le trafic entrant et sortant du réseau cloud privé virtuel (VPC). Le trafic mis en miroir est ensuite envoyé au groupe de points de terminaison de mise en miroir défini dans le profil de sécurité référencé par le groupe de profils de sécurité configuré. Par la suite, le groupe de points de terminaison de mise en miroir redirige le trafic mis en miroir vers le groupe de déploiement du producteur associé par les déploiements tiers.
Chaque groupe de profils de sécurité doit être associé à un ID de projet. Le projet associé est utilisé pour les quotas et les restrictions d'accès aux ressources du groupe de profils de sécurité. Si vous authentifiez votre compte de service à l'aide de la commande
gcloud auth activate-service-account, vous pouvez associer votre compte de service au groupe de profils de sécurité. Pour savoir comment créer un groupe de profils de sécurité, consultez Créer et gérer des groupes de profils de sécurité.
Rôles de gestion de l'authentification et des accès (IAM)
Les rôles IAM (Identity and Access Management) régissent les actions du groupe de profils de sécurité suivantes :
- Créer un groupe de profils de sécurité dans une organisation
- Modifier ou supprimer un groupe de profils de sécurité
- Afficher les détails d'un groupe de profils de sécurité
- Afficher la liste des groupes de profils de sécurité dans une organisation
- Utiliser un groupe de profils de sécurité dans une règle de stratégie de mise en miroir des paquets
Le tableau suivant décrit les rôles nécessaires pour chaque étape.
| Aptitude | Rôle nécessaire |
|---|---|
| Créer un groupe de profils de sécurité | Rôle Administrateur de profils de sécurité (networksecurity.securityProfileAdmin) sur l'organisation où le groupe de profils de sécurité est créé. |
| Modifier un groupe de profils de sécurité | Rôle Administrateur de profils de sécurité (networksecurity.securityProfileAdmin) sur l'organisation où le groupe de profils de sécurité est créé. |
| Afficher les détails du groupe de profils de sécurité d'une organisation | L'un des rôles suivants pour l'organisation :
|
| Afficher tous les groupes de profils de sécurité d'une organisation | L'un des rôles suivants pour l'organisation :
|
| Utiliser un groupe de profils de sécurité dans une règle de stratégie de mise en miroir des paquets | L'un des rôles suivants pour l'organisation :
|
Si vous ne disposez pas du rôle Administrateur de profil de sécurité (roles/networksecurity.securityProfileAdmin), vous pouvez créer et gérer des groupes de profils de sécurité avec les autorisations suivantes :
networksecurity.securityProfileGroups.createnetworksecurity.securityProfileGroups.deletenetworksecurity.securityProfileGroups.getnetworksecurity.securityProfileGroups.listnetworksecurity.securityProfileGroups.updatenetworksecurity.securityProfileGroups.use
Pour en savoir plus sur les autorisations et les rôles prédéfinis IAM, consultez la documentation de référence sur les autorisations IAM.
Quotas
Pour afficher les quotas associés aux groupes de profils de sécurité, consultez Quotas et limites.
Étapes suivantes
- Créer et gérer des groupes de profils de sécurité
- Créer et gérer des profils de sécurité personnalisés