Un gruppo di profili di sicurezza è un contenitore per i profili di sicurezza personalizzati. Una regola di mirroring fa riferimento a un gruppo di profili di sicurezza per consentire l'elaborazione del traffico di rete all'interno dell'integrazione della sicurezza di rete.
Questo documento fornisce una panoramica dettagliata dei gruppi di profili di sicurezza e delle loro funzionalità.
Specifiche
Un gruppo di profili di sicurezza è una risorsa a livello di organizzazione.
Puoi aggiungere un solo profilo di sicurezza di tipo
CUSTOM_MIRRORINGa un gruppo di profili di sicurezza.Ogni gruppo di profili di sicurezza è identificato in modo univoco da un URL con i seguenti elementi:
- ID organizzazione: ID dell'organizzazione.
- Posizione: ambito del gruppo di profili di sicurezza. La posizione è sempre
impostata su
global. - Nome: il nome del gruppo di profili di sicurezza nel seguente formato:
- Una stringa di lunghezza compresa tra 1 e 63 caratteri
- Include solo caratteri alfanumerici minuscoli o trattini (-)
- Deve iniziare con una lettera
Per creare un identificatore URL univoco per un gruppo di profili di sicurezza, utilizza il seguente formato:
organization/ORGANIZATION_ID/locations/LOCATION/securityProfileGroups/SECURITY_PROFILE_GROUP_NAMESostituisci quanto segue:
ORGANIZATION_ID: l'ID dell'organizzazione.LOCATION: l'ambito del gruppo di profili di sicurezza. La posizione è sempre impostata suglobal.SECURITY_PROFILE_GROUP_NAME: il nome del gruppo di profili di sicurezza.
Ad esempio, un gruppo di profili di sicurezza
globalexample-security-profile-groupnell'organizzazione2345678432ha il seguente identificatore univoco:organization/2345678432/locations/global/securityProfileGroups/example-security-profile-groupUna regola di mirroring deve contenere il nome del gruppo di profili di sicurezza da utilizzare negli endpoint di mirroring.
I gruppi di profili di sicurezza si applicano alle policy di mirroring pacchetto solo quando aggiungi una regola di mirroring con l'azione
MIRROR. Puoi configurare i gruppi di profili di sicurezza nelle regole dei criteri firewall gerarchici e nelle regole dei criteri firewall di rete globali.A seconda della direzione del flag della regola di mirroring, la regola influisce sul traffico in entrata e in uscita all'interno della rete Virtual Private Cloud (VPC). Il traffico sottoposto a mirroring viene quindi inviato al gruppo di endpoint di mirroring definito nel profilo di sicurezza a cui fa riferimento il gruppo di profili di sicurezza configurato. Successivamente, il gruppo di endpoint di mirroring reindirizza il traffico sottoposto a mirroring al gruppo di deployment del producer collegato dai deployment di terze parti.
Ogni gruppo di profili di sicurezza deve avere un ID progetto associato. Il progetto associato viene utilizzato per le quote e le limitazioni di accesso alle risorse del gruppo di profili di sicurezza. Se autentichi il account di servizio utilizzando il comando
gcloud auth activate-service-account, puoi associare il account di servizio al gruppo di profili di sicurezza. Per scoprire di più su come creare un gruppo di profili di sicurezza, consulta Creare e gestire gruppi di profili di sicurezza.
Ruoli Identity and Access Management
I ruoli IAM (Identity and Access Management) regolano le seguenti azioni del gruppo di profili di sicurezza:
- Creazione di un gruppo di profili di sicurezza in un'organizzazione
- Modificare o eliminare un gruppo di profili di sicurezza
- Visualizzare i dettagli di un gruppo di profili di sicurezza
- Visualizzare un elenco di gruppi di profili di sicurezza in un'organizzazione
- Utilizzo di un gruppo di profili di sicurezza in una regola di policy di mirroring dei pacchetti
La tabella seguente descrive i ruoli necessari per ogni passaggio.
| Abilità | Ruolo necessario |
|---|---|
| Creare un gruppo di profili di sicurezza | Ruolo Amministratore del profilo di sicurezza (networksecurity.securityProfileAdmin)
nell'organizzazione in cui viene creato il gruppo di profili di sicurezza. |
| Modificare un gruppo di profili di sicurezza | Ruolo Amministratore del profilo di sicurezza (networksecurity.securityProfileAdmin)
nell'organizzazione in cui viene creato il gruppo di profili di sicurezza. |
| Visualizzare i dettagli del gruppo di profili di sicurezza in un'organizzazione | Uno dei seguenti ruoli per l'organizzazione:
|
| Visualizzare tutti i gruppi di profili di sicurezza in un'organizzazione | Uno dei seguenti ruoli per l'organizzazione:
|
| Utilizza un gruppo di profili di sicurezza in una regola della policy di mirroring pacchetto | Uno dei seguenti ruoli per l'organizzazione:
|
Se non disponi del
ruolo Amministratore profilo di sicurezza (roles/networksecurity.securityProfileAdmin),
puoi creare e gestire gruppi di profili di sicurezza con le seguenti autorizzazioni:
networksecurity.securityProfileGroups.createnetworksecurity.securityProfileGroups.deletenetworksecurity.securityProfileGroups.getnetworksecurity.securityProfileGroups.listnetworksecurity.securityProfileGroups.updatenetworksecurity.securityProfileGroups.use
Per saperne di più sulle autorizzazioni IAM e sui ruoli predefiniti, consulta Riferimento alle autorizzazioni IAM.
Quote
Per visualizzare le quote associate ai gruppi di profili di sicurezza, consulta Quote e limiti.
Passaggi successivi
- Creare e gestire gruppi di profili di sicurezza
- Creare e gestire profili di sicurezza personalizzati