Présentation des groupes de profils de sécurité

Un groupe de profils de sécurité est un conteneur pour les profils de sécurité personnalisés. Une règle de mise en miroir référence un groupe de profils de sécurité pour permettre le traitement du trafic réseau dans Network Security Integration.

Ce document fournit une présentation détaillée des groupes de profils de sécurité et de leurs fonctionnalités.

Spécifications

  • Un groupe de profils de sécurité est une ressource globale au niveau de l'organisation ou au niveau du projet (bêta).

  • Le nom d'un groupe de profils de sécurité est configuré au format d'identifiant d'URL suivant :

    • Au niveau de l'organisation : organizations/ORGANIZATION_ID/locations/global/securityProfileGroups/NAME

    • Au niveau du projet (bêta) : projects/PROJECT_ID/locations/global/securityProfileGroups/NAME

    Le NAME du groupe de profils de sécurité doit répondre aux exigences suivantes :

    • Chaîne de 1 à 63 caractères.
    • Ne contient que des caractères alphanumériques minuscules ou des traits d'union (-).
    • Commence par une lettre.

    Exemples :

    • Groupe de profils de sécurité au niveau de l'organisation : organizations/2345678432/locations/global/securityProfileGroups/example-security-profile-group.
    • Groupe de profils de sécurité au niveau du projet (bêta) : projects/my-project-123/locations/global/securityProfileGroups/example-security-profile-group.

    Si vous utilisez l'identifiant d'URL unique pour le nom du groupe de profils de sécurité, l'URL inclut déjà l'organisation ou le projet, ainsi que l'emplacement. Si vous ne spécifiez que le nom court, vous devez fournir l'ID d'organisation ou l'ID du projet et l'emplacement séparément lorsque vous utilisez des commandes gcloud.

  • Vous ne pouvez ajouter qu'un seul profil de sécurité de type CUSTOM_MIRRORING à un groupe de profils de sécurité.

  • Une règle de mise en miroir doit contenir le nom du groupe de profils de sécurité qui sera utilisé par les points de terminaison de mise en miroir.

  • Les groupes de profils de sécurité ne s'appliquent aux stratégies de mise en miroir de paquets que lorsque vous ajoutez une règle de mise en miroir avec l'action MIRROR. Vous pouvez configurer des groupes de profils de sécurité dans les règles de stratégies de pare-feu hiérarchiques et les règles de stratégies de pare-feu de réseau au niveau mondial.

  • En fonction du sens de l'indicateur de la règle de mise en miroir, la règle affecte le trafic entrant et sortant au sein du réseau cloud privé virtuel (VPC). Le trafic mis en miroir est ensuite envoyé au groupe de points de terminaison de mise en miroir défini dans le profil de sécurité référencé par le groupe de profils de sécurité configuré. Par la suite, le groupe de points de terminaison de mise en miroir redirige le trafic mis en miroir vers le groupe de déploiement du producteur associé par des déploiements tiers.

  • Chaque groupe de profils de sécurité doit être associé à un ID de projet. Le projet associé est utilisé pour les quotas et les restrictions d'accès aux ressources du groupe de profils de sécurité. Si vous authentifiez votre compte de service à l' aide de la gcloud auth activate-service-account commande, vous pouvez associer votre compte de service au groupe de profils de sécurité. Pour en savoir plus sur la création d'un groupe de profils de sécurité, consultez la page Créer et gérer des groupes de profils de sécurité.

  • Lorsque vous ajoutez des profils de sécurité à un groupe de profils de sécurité, les contraintes suivantes s'appliquent :

    • Un groupe de profils de sécurité au niveau de l'organisation ne peut référencer que des profils de sécurité au niveau de l'organisation.
    • Un groupe de profils de sécurité au niveau du projet (bêta) ne peut référencer que des profils de sécurité au niveau du projet (bêta) dans le même projet.

Rôles de Identity and Access Management

Le tableau suivant décrit les rôles nécessaires pour chaque étape.

Aptitude Rôle nécessaire
Créer un groupe de profils de sécurité Rôle Administrateur de profils de sécurité (networksecurity.securityProfileAdmin) sur l'organisation ou le projet dans lequel vous souhaitez créer un groupe de profils de sécurité.
Modifier un groupe de profils de sécurité Rôle Administrateur de profils de sécurité (networksecurity.securityProfileAdmin) sur l'organisation ou le projet dans lequel le groupe de profils de sécurité existe.
Afficher les détails du groupe de profils de sécurité dans une organisation ou un projet L'un des rôles suivants sur l'organisation ou le projet dans lequel le groupe de profils de sécurité existe :
Afficher tous les groupes de profils de sécurité d'une organisation ou d'un projet L'un des rôles suivants sur l'organisation ou le projet dans lequel le groupe de profils de sécurité existe :
Utiliser un groupe de profils de sécurité dans une règle de stratégie de mise en miroir de paquets dans une organisation ou un projet L'un des rôles suivants sur l'organisation ou le projet dans lequel le groupe de profils de sécurité existe :

Si vous ne disposez pas du rôle Administrateur de profils de sécurité (roles/networksecurity.securityProfileAdmin), vous pouvez créer et gérer des groupes de profils de sécurité avec les autorisations suivantes :

  • networksecurity.securityProfileGroups.create
  • networksecurity.securityProfileGroups.delete
  • networksecurity.securityProfileGroups.get
  • networksecurity.securityProfileGroups.list
  • networksecurity.securityProfileGroups.update
  • networksecurity.securityProfileGroups.use

Pour en savoir plus sur les autorisations IAM et les rôles prédéfinis, consultez la documentation de référence sur les autorisations IAM.

Quotas

Pour afficher les quotas associés aux groupes de profils de sécurité, consultez la section Quotas et limites.

Étape suivante