Panoramica dei gruppi di profili di sicurezza

Un gruppo di profili di sicurezza è un container per i profili di sicurezza personalizzati. Una regola di mirroring fa riferimento a un gruppo di profili di sicurezza per consentire l'elaborazione del traffico di rete all'interno di Network Security Integration.

Questo documento fornisce una panoramica dettagliata dei gruppi di profili di sicurezza e delle loro funzionalità.

Specifiche

  • Un gruppo di profili di sicurezza è una risorsa a livello di organizzazione globale o a livello di progetto.

  • Il nome di un gruppo di profili di sicurezza è configurato nel seguente formato di identificatore URL:

    • A livello di organizzazione: organizations/ORGANIZATION_ID/locations/global/securityProfileGroups/NAME

    • A livello di progetto: projects/PROJECT_ID/locations/global/securityProfileGroups/NAME

    Il NAME del gruppo di profili di sicurezza deve soddisfare i seguenti requisiti:

    • Una stringa di lunghezza compresa tra 1 e 63 caratteri
    • Contiene solo caratteri alfanumerici minuscoli o trattini (-)
    • Inizia con una lettera

    Esempi:

    • Gruppo di profili di sicurezza a livello di organizzazione: organizations/2345678432/locations/global/securityProfileGroups/example-security-profile-group.
    • Gruppo di profili di sicurezza a livello di progetto: projects/my-project-123/locations/global/securityProfileGroups/example-security-profile-group.

    Se utilizzi l'identificatore URL univoco per il nome del gruppo di profili di sicurezza, l'URL include già l'organizzazione o il progetto e la località. Se specifichi solo il nome breve, devi fornire separatamente l'ID organizzazione o l'ID progetto e la località quando utilizzi i comandi gcloud.

  • Puoi aggiungere un solo profilo di sicurezza di tipo CUSTOM_MIRRORING a un gruppo di profili di sicurezza.

  • Una regola di mirroring deve contenere il nome del gruppo di profili di sicurezza da utilizzare per gli endpoint di mirroring.

  • I gruppi di profili di sicurezza si applicano alle policy di mirroring dei pacchetti solo quando aggiungi una regola di mirroring con l'azione MIRROR. Puoi configurare i gruppi di profili di sicurezza nelle regole delle policy firewall gerarchiche e nelle regole delle policy firewall di rete globali.

  • A seconda della direzione del flag della regola di mirroring, la regola influisce sia sul traffico in entrata che su quello in uscita all'interno della rete Virtual Private Cloud (VPC). Il traffico sottoposto a mirroring viene quindi inviato al gruppo di endpoint di mirroring definito nel profilo di sicurezza a cui fa riferimento il gruppo di profili di sicurezza configurato. Successivamente, il gruppo di endpoint di mirroring reindirizza il traffico sottoposto a mirroring al gruppo di deployment del producer collegato dai deployment di terze parti.

  • Ogni gruppo di profili di sicurezza deve avere un ID progetto associato. Il progetto associato viene utilizzato per le quote e le limitazioni di accesso alle risorse del gruppo di profili di sicurezza. Se autentichi l'account di servizio utilizzando il gcloud auth activate-service-account comando, puoi associare l'account di servizio al gruppo di profili di sicurezza. Per scoprire di più su come creare un gruppo di profili di sicurezza, consulta Creare e gestire gruppi di profili di sicurezza.

  • Quando aggiungi profili di sicurezza a un gruppo di profili di sicurezza, si applicano i seguenti vincoli:

    • Un gruppo di profili di sicurezza a livello di organizzazione può fare riferimento solo ai profili di sicurezza a livello di organizzazione.
    • Un gruppo di profili di sicurezza a livello di progetto può fare riferimento solo ai profili di sicurezza a livello di progetto nello stesso progetto.

Ruoli IAM (Identity and Access Management)

La tabella seguente descrive i ruoli necessari per ogni passaggio.

Abilità Ruolo necessario
Creare un gruppo di profili di sicurezza Ruolo Amministratore profili di sicurezza (networksecurity.securityProfileAdmin) nell'organizzazione o nel progetto in cui vuoi creare un gruppo di profili di sicurezza.
Modificare un gruppo di profili di sicurezza Ruolo Amministratore profili di sicurezza (networksecurity.securityProfileAdmin) nell'organizzazione o nel progetto in cui esiste il gruppo di profili di sicurezza.
Visualizzare i dettagli del gruppo di profili di sicurezza in un'organizzazione o in un progetto Uno dei seguenti ruoli nell'organizzazione o nel progetto in cui esiste il gruppo di profili di sicurezza:
Visualizzare tutti i gruppi di profili di sicurezza in un'organizzazione o in un progetto Uno dei seguenti ruoli nell'organizzazione o nel progetto in cui esiste il gruppo di profili di sicurezza:
Utilizzare un gruppo di profili di sicurezza in una regola di policy di mirroring dei pacchetti in un' organizzazione o in un progetto Uno dei seguenti ruoli nell'organizzazione o nel progetto in cui esiste il gruppo di profili di sicurezza:

Se non hai il ruolo Amministratore profili di sicurezza (roles/networksecurity.securityProfileAdmin), puoi creare e gestire gruppi di profili di sicurezza con le seguenti autorizzazioni:

  • networksecurity.securityProfileGroups.create
  • networksecurity.securityProfileGroups.delete
  • networksecurity.securityProfileGroups.get
  • networksecurity.securityProfileGroups.list
  • networksecurity.securityProfileGroups.update
  • networksecurity.securityProfileGroups.use

Per saperne di più sulle autorizzazioni IAM e sui ruoli predefiniti, consulta la documentazione di riferimento sulle autorizzazioni IAM.

Quote

Per visualizzare le quote associate ai gruppi di profili di sicurezza, consulta Quote e limiti.

Passaggi successivi