Descripción general de los grupos de perfiles de seguridad

Un grupo de perfiles de seguridad es un contenedor de perfiles de seguridad personalizados. Una regla de duplicación hace referencia a un grupo de perfiles de seguridad para habilitar el procesamiento del tráfico de red en la Integración de seguridad de red.

En este documento, se proporciona una descripción general detallada de los grupos de perfiles de seguridad y sus capacidades.

Especificaciones

• Un grupo de perfiles de seguridad es un recurso a nivel organizacional.

• Solo puedes agregar un perfil de seguridad de tipo CUSTOM_MIRRORING a un grupo de perfiles de seguridad.

• Cada grupo de perfiles de seguridad se identifica de forma única mediante una URL con los siguientes elementos:

  • ID de la organización: ID de la organización.
  • Ubicación: Es el alcance del grupo de perfiles de seguridad. La ubicación siempre está configurada como global.
  • Nombre: Nombre del grupo de perfiles de seguridad con el siguiente formato:
    • Una string de 1 a 63 caracteres
    • Solo incluye caracteres alfanuméricos en minúscula o guiones (-)
    • Debe comenzar con una letra

  A fin de crear un identificador de URL único para un grupo de perfiles de seguridad, usa el siguiente formato:

  organization/ORGANIZATION_ID/locations/LOCATION/securityProfileGroups/SECURITY_PROFILE_GROUP_NAME
  

  Reemplaza lo siguiente:

  • ORGANIZATION_ID: ID de la organización.

  • LOCATION: Es el alcance del grupo de perfiles de seguridad. La ubicación siempre está configurada como global.

  • SECURITY_PROFILE_GROUP_NAME: Es el nombre del grupo de perfiles de seguridad.

  Por ejemplo, un grupo de perfiles de seguridad global example-security-profile-group en la organización 2345678432 tiene el siguiente identificador único:

  organization/2345678432/locations/global/securityProfileGroups/example-security-profile-group
  

• Una regla de duplicación debe contener el nombre del grupo de perfiles de seguridad que usarán los extremos de duplicación.

• Los grupos de perfiles de seguridad se aplican a las políticas de duplicación de paquetes solo cuando agregas una regla de duplicación con la acción MIRROR. Puedes configurar grupos de perfiles de seguridad en reglas de políticas de firewall jerárquicas y reglas de políticas de firewall de red globales.

• Según la dirección de la marca de la regla de duplicación, la regla afecta el tráfico entrante y saliente dentro de la red de nube privada virtual (VPC). Luego, el tráfico duplicado se envía al grupo de extremos de duplicación definido en el perfil de seguridad al que hace referencia el grupo de perfiles de seguridad configurado. Posteriormente, el grupo de extremos de duplicación redirecciona el tráfico duplicado al grupo de implementación del productor adjunto por las implementaciones de terceros.

• Cada grupo de perfiles de seguridad debe tener un ID del proyecto asociado. El proyecto asociado se usa para las cuotas y las restricciones de acceso en los recursos del grupo de perfiles de seguridad. Si autenticas la cuenta de servicio con el comando gcloud auth activate-service-account, puedes asociarla con el grupo de perfiles de seguridad. Si quieres obtener más información para crear un grupo de perfiles de seguridad, consulta Crea y administra grupos de perfiles de seguridad.

Roles de Identity and Access Management

Los roles de Identity and Access Management (IAM) rigen las siguientes acciones de grupo de perfil de seguridad:

• Crear un grupo de perfiles de seguridad en una organización
• Modifica o borra un grupo de perfiles de seguridad
• Visualiza los detalles de un grupo de perfiles de seguridad
• Visualiza una lista de los grupos de perfiles de seguridad de una organización
• Usa un grupo de perfiles de seguridad en una regla de política de duplicación de paquetes

En la siguiente tabla, se describen los roles necesarios para cada paso.

Capacidad	Rol necesario
Crear un grupo de perfil de seguridad	Rol de administrador de perfiles de seguridad (networksecurity.securityProfileAdmin) en la organización en la que se crea el grupo de perfiles de seguridad
Modificar un grupo de perfiles de seguridad	Rol de administrador de perfiles de seguridad (networksecurity.securityProfileAdmin) en la organización en la que se crea el grupo de perfiles de seguridad
Visualizar los detalles del grupo de perfiles de seguridad de una organización	Cualquiera de los siguientes roles para la organización: Rol de administrador de perfiles de seguridad (networksecurity.securityProfileAdmin) Rol Compute Network User (compute.networkUser) Rol Compute Network Viewer (compute.networkViewer)
Visualiza todos los grupos de perfiles de seguridad de una organización	Cualquiera de los siguientes roles para la organización: Rol de administrador de perfiles de seguridad (networksecurity.securityProfileAdmin) Rol Compute Network User (compute.networkUser) Rol Compute Network Viewer (compute.networkViewer)
Usar un grupo de perfiles de seguridad en una regla de política de duplicación de paquetes	Cualquiera de los siguientes roles para la organización: Rol de administrador de perfiles de seguridad (networksecurity.securityProfileAdmin) Rol Compute Network User (compute.networkUser)

Si no tienes el rol de administrador de perfiles de seguridad (roles/networksecurity.securityProfileAdmin), puedes crear y administrar grupos de perfiles de seguridad con los siguientes permisos:

• networksecurity.securityProfileGroups.create
• networksecurity.securityProfileGroups.delete
• networksecurity.securityProfileGroups.get
• networksecurity.securityProfileGroups.list
• networksecurity.securityProfileGroups.update
• networksecurity.securityProfileGroups.use

Para obtener más información sobre los permisos de IAM y los roles predefinidos, consulta la referencia de permisos de IAM.

Cuotas

Para ver las cuotas asociadas con los grupos de perfiles de seguridad, consulta Cuotas y límites.

¿Qué sigue?

• Crea y administra grupos de perfiles de seguridad
• Crea y administra perfiles de seguridad personalizados