Los perfiles de seguridad son contenedores de políticas que usan varios productos de seguridad de red. El perfil de seguridad define el alcance del tráfico de red para supervisar y analizar dentro del servicio de integración de seguridad de red.
Por qué usar perfiles de seguridad
Usas un perfil de seguridad para especificar la acción de una regla de duplicación coincidente. Sin un perfil de seguridad adjunto a la regla de duplicación, el servicio de integración no sabe a dónde enviar el tráfico duplicado para su inspección.
Cómo funcionan los perfiles de seguridad
El perfil de seguridad funciona adjuntando tus recursos de red a una regla de firewall de duplicación. Cuando adjuntas un perfil de seguridad a una regla de firewall de duplicación, el perfil realiza dos funciones clave:
Enruta el tráfico: El perfil de seguridad identifica el grupo de extremos asociado con tu red de nube privada virtual (VPC). El grupo de extremos apunta a un grupo de implementación del productor. Este grupo de implementación del productor organiza tus recursos de red, como las máquinas virtuales (VMs), y define el alcance del tráfico que puede supervisar el servicio de integración.
Adjunta el perfil: Los paquetes duplicados llevan el grupo de perfiles de seguridad
data_path_id, que se puede usar para la aplicación de políticas en el recopilador. Un recopilador es un destino administrado por el usuario en la red del productor. Un recopilador recibe tráfico replicado de la red del consumidor para su inspección.
En este documento, se proporciona una descripción general de los perfiles de seguridad y sus capacidades de configuración específicas.
Especificaciones
La integración de seguridad de red admite perfiles de seguridad de tipo
CUSTOM_MIRRORING.El nombre de un perfil de seguridad se configura en el siguiente formato de identificador de URL:
Nivel de la organización:
organizations/ORGANIZATION_ID/locations/global/securityProfiles/NAMENivel del proyecto (vista previa):
projects/PROJECT_ID/locations/global/securityProfiles/NAME
El
NAMEdel perfil de seguridad debe cumplir con los siguientes requisitos:- Una string de 1 a 63 caracteres
- Solo contiene caracteres alfanuméricos en minúscula o guiones (-)
- Comienza con una letra
Ejemplos:
- Perfil de seguridad a nivel de la organización:
organizations/2345678432/locations/global/securityProfiles/example-security-profile. - Perfil de seguridad a nivel del proyecto (vista previa):
projects/my-project-123/locations/global/securityProfiles/example-security-profile.
Si usas el identificador de URL único para el nombre del perfil de seguridad, la URL ya incluye la organización o el proyecto, y la ubicación. Si especificas solo el nombre corto, debes proporcionar el ID de la organización o el ID del proyecto y la ubicación por separado cuando usas comandos
gcloud.Después de crear un perfil de seguridad, tienes la opción de adjuntarlo a un grupo de perfiles de seguridad. La política de firewall de red de la red de VPC en la que deseas procesar tu tráfico de red dentro de la integración de seguridad de red hace referencia a este grupo de perfiles de seguridad.
El tráfico que coincide con la regla de política de firewall de red se envía al grupo de extremos al que hace referencia el perfil de seguridad.
Cada perfil de seguridad debe tener un ID del proyecto asociado. El proyecto asociado se usa para la facturación, las cuotas y las restricciones de acceso en los recursos del perfil de seguridad. Si autenticas la cuenta de servicio con el
gcloud auth activate-service-accountcomando, puedes asociarla con el perfil de seguridad. Para obtener más información, consulta Crea y administra perfiles de seguridad personalizados.
Funciones de Identity and Access Management
En la siguiente tabla, se describen los roles de Identity and Access Management (IAM) necesarios para administrar los perfiles de seguridad:
| Capacidad | Rol necesario |
|---|---|
| Crea un perfil de seguridad personalizado | Rol de administrador de perfiles de seguridad (networksecurity.securityProfileAdmin) en la organización o el proyecto en el que deseas crear un perfil de seguridad personalizado. |
| Modifica un perfil de seguridad personalizado | Rol de administrador de perfiles de seguridad (networksecurity.securityProfileAdmin) en la organización o el proyecto en el que existe el perfil de seguridad personalizado. |
| Visualiza detalles sobre el perfil de seguridad personalizado en una organización o un proyecto | Cualquiera de los siguientes roles en la organización o el proyecto en el que existe el perfil de seguridad personalizado:
|
| Visualiza todos los perfiles de seguridad personalizados en una organización o un proyecto | Cualquiera de los siguientes roles en la organización o el proyecto en el que existe el perfil de seguridad personalizado:
|
| Usa un perfil de seguridad personalizado en un grupo de perfiles de seguridad | Cualquiera de los siguientes roles en la organización o el proyecto en el que existe el perfil de seguridad personalizado:
|
Si no tienes el
rol de administrador de perfiles de seguridad
(roles/networksecurity.securityProfileAdmin), puedes crear y administrar un
perfil de seguridad personalizado con los siguientes permisos:
networksecurity.securityProfiles.createnetworksecurity.securityProfiles.deletenetworksecurity.securityProfiles.getnetworksecurity.securityProfiles.listnetworksecurity.securityProfiles.updatenetworksecurity.securityProfiles.use
Para obtener más información sobre los permisos de IAM y los roles predefinidos, consulta la referencia de permisos de IAM.
Cuotas
Para ver las cuotas asociadas con los perfiles de seguridad personalizados, consulta Cuotas y límites.
¿Qué sigue?
- Crea y administra grupos de perfiles de seguridad
- Crea y administra perfiles de seguridad de duplicación personalizados