Visão geral dos grupos de perfis de segurança

Um grupo de perfis de segurança é um contêiner para perfis de segurança personalizados. Uma regra de espelhamento faz referência a um grupo de perfis de segurança para ativar o processamento do tráfego de rede na integração da segurança de rede.

Neste documento, você encontra informações gerais detalhadas dos grupos de perfis de segurança e dos respectivos recursos.

Especificações

• Um grupo de perfis de segurança é um recurso no nível da organização.

• É possível adicionar apenas um perfil de segurança do tipo CUSTOM_MIRRORING a um grupo de perfis de segurança.

• Cada grupo de perfis de segurança é identificado exclusivamente por um URL com os seguintes elementos:

  • ID da organização: ID da organização.
  • Local: escopo do grupo de perfis de segurança. A localização está sempre definida como global.
  • Nome: nome do grupo de perfis de segurança no seguinte formato:
    • Uma string com 1 a 63 caracteres
    • Inclui apenas caracteres alfanuméricos minúsculos ou hifens (-)
    • Precisa começar com uma letra

  Para criar um identificador de URL exclusivo para um grupo de perfis de segurança, use o seguinte formato:

  organization/ORGANIZATION_ID/locations/LOCATION/securityProfileGroups/SECURITY_PROFILE_GROUP_NAME
  

  Substitua:

  • ORGANIZATION_ID: ID da organização.

  • LOCATION: escopo do grupo de perfis de segurança. O local está sempre definido como global.

  • SECURITY_PROFILE_GROUP_NAME: o nome do grupo de perfis de segurança.

  Por exemplo, um grupo de perfil de segurança global example-security-profile-group na organização 2345678432 tem o seguinte identificador exclusivo:

  organization/2345678432/locations/global/securityProfileGroups/example-security-profile-group
  

• Uma regra de espelhamento precisa conter o nome do grupo de perfis de segurança a ser usado pelos endpoints de espelhamento.

• Os grupos de perfis de segurança se aplicam às políticas de espelhamento de pacotes somente quando você adiciona uma regra de espelhamento com a ação MIRROR. É possível configurar grupos de perfis de segurança em regras de política hierárquica de firewall e regras de política de firewall da rede global.

• Dependendo da direção da flag da regra de espelhamento, ela afeta o tráfego de entrada e saída na rede de nuvem privada virtual (VPC). Em seguida, o tráfego espelhado é enviado ao grupo de endpoints de espelhamento definido no perfil de segurança referenciado pelo grupo de perfis de segurança configurado. Em seguida, o grupo de endpoints de espelhamento redireciona o tráfego espelhado para o grupo de implantação do produtor anexado por implantações de terceiros.

• Cada grupo de perfis de segurança precisa ter um ID de projeto associado. O projeto associado é usado para faturamento, cotas e restrições de acesso a recursos de grupo de perfil de segurança. Se você autenticar sua conta de serviço usando o comando gcloud auth activate-service-account, será possível associar sua conta de serviço ao grupo de perfis de segurança. Para saber mais sobre como criar um grupo de perfis de segurança, consulte Criar e gerenciar grupos de perfis de segurança.

Papéis do Identity and Access Management

Os papéis do Identity and Access Management (IAM) controlam as seguintes ações do grupo de perfis de segurança:

• Como criar um grupo de perfis de segurança em uma organização
• Como modificar ou excluir um grupo de perfis de segurança
• Como visualizar detalhes de um grupo de perfis de segurança
• Como visualizar uma lista de grupos de perfis de segurança em uma organização
• Como usar um grupo de perfis de segurança em uma regra de política de espelhamento de pacotes

Veja na tabela a seguir os papéis necessários para cada etapa.

Habilidade	Papel necessário
Criar um grupo de perfis de segurança	Função de administrador de perfil de segurança (networksecurity.securityProfileAdmin) na organização em que o grupo de perfis de segurança foi criado.
Modificar um grupo de perfis de segurança	Função de administrador de perfil de segurança (networksecurity.securityProfileAdmin) na organização em que o grupo de perfis de segurança foi criado.
Visualizar detalhes sobre o grupo de perfis de segurança em uma organização	Qualquer um dos seguintes papéis na organização: Papel administrador de perfil de segurança (networksecurity.securityProfileAdmin) Papel Usuário de rede do Compute (compute.networkUser) Papel Visualizador de rede do Compute (compute.networkViewer)
Visualizar todos os grupos de perfis de segurança em uma organização	Qualquer um dos seguintes papéis na organização: Papel administrador de perfil de segurança (networksecurity.securityProfileAdmin) Papel Usuário de rede do Compute (compute.networkUser) Papel Visualizador de rede do Compute (compute.networkViewer)
Usar um grupo de perfis de segurança em uma regra de política de espelhamento de pacotes	Qualquer um dos seguintes papéis na organização: Papel administrador de perfil de segurança (networksecurity.securityProfileAdmin) Papel Usuário de rede do Compute (compute.networkUser)

Se você não tiver o papel de Administrador de perfil de segurança (roles/networksecurity.securityProfileAdmin), poderá criar e gerenciar grupos de perfis de segurança com as seguintes permissões:

• networksecurity.securityProfileGroups.create
• networksecurity.securityProfileGroups.delete
• networksecurity.securityProfileGroups.get
• networksecurity.securityProfileGroups.list
• networksecurity.securityProfileGroups.update
• networksecurity.securityProfileGroups.use

Para mais informações sobre permissões e papéis predefinidos do IAM, consulte a referência de permissões do IAM.

Cotas

Para conferir as cotas associadas aos grupos de perfis de segurança, consulte Cotas e limites.

A seguir

• Criar e gerenciar grupos de perfis de segurança
• Criar e gerenciar perfis de segurança personalizados