Os perfis de segurança são contêineres de políticas usados por vários produtos de segurança de rede. O perfil de segurança define o escopo do tráfego de rede a ser monitorado e analisado no serviço de integração de segurança de rede.
Por que usar perfis de segurança
Você usa um perfil de segurança para especificar a ação de uma regra de espelhamento correspondente. Sem um perfil de segurança anexado à regra de espelhamento, o serviço de integração não sabe para onde enviar o tráfego espelhado para inspeção.
Como funcionam os perfis de segurança
O perfil de segurança funciona anexando seus recursos de rede a uma regra de firewall de espelhamento. Quando você anexa um perfil de segurança a uma regra de firewall de espelhamento, o perfil executa duas funções principais:
Roteamento de tráfego: o perfil de segurança identifica o grupo de endpoints associado à sua rede de nuvem privada virtual (VPC). O grupo de endpoints aponta para um grupo de implantação de um produtor. O grupo de implantação desse produtor organiza seus recursos de rede, como máquinas virtuais (VMs), e define o escopo de tráfego que o serviço de integração pode monitorar.
Anexe o perfil: os pacotes espelhados carregam o grupo de perfis de segurança
data_path_id, que pode ser usado para aplicar políticas no coletor. Um coletor é um destino gerenciado pelo usuário na rede do produtor. Um coletor recebe tráfego espelhado da rede do consumidor para inspeção.
Neste documento, você encontra uma visão geral dos perfis de segurança e dos recursos de configuração específicos deles.
Especificações
A Integração de Segurança de Rede é compatível com perfis de segurança do tipo
CUSTOM_MIRRORING.O nome de um perfil de segurança é configurado no seguinte formato de identificador de URL:
Nível da organização:
organizations/ORGANIZATION_ID/locations/global/securityProfiles/NAMEPara envolvidos no projeto (prévia):
projects/PROJECT_ID/locations/global/securityProfiles/NAME
O
NAMEdo perfil de segurança precisa atender aos seguintes requisitos:- Uma string com 1 a 63 caracteres
- Contém apenas caracteres alfanuméricos minúsculos ou hifens (-)
- Começa com uma letra
Exemplos:
- Perfil de segurança no nível da organização:
organizations/2345678432/locations/global/securityProfiles/example-security-profile. - Perfil de segurança para envolvidos no projeto (pré-lançamento):
projects/my-project-123/locations/global/securityProfiles/example-security-profile.
Se você usar o identificador de URL exclusivo para o nome do perfil de segurança, o URL já vai incluir a organização ou o projeto e o local. Se você especificar apenas o nome abreviado, forneça o ID da organização ou o ID do projeto e o local separadamente ao usar comandos
gcloud.Depois de criar um perfil de segurança, é possível anexá-lo a um grupo de perfis de segurança. Esse grupo de perfis de segurança é referenciado pela política de firewall de rede da rede VPC em que você quer processar o tráfego de rede na Integração de Segurança de Rede.
O tráfego que corresponde à regra da política de firewall de rede é enviado ao grupo de endpoints referenciado pelo perfil de segurança.
Cada perfil de segurança precisa ter um ID de projeto associado. O projeto associado é usado para faturamento, cotas e restrições de acesso a recursos de perfil de segurança. Se você autenticar sua conta de serviço usando o comando
gcloud auth activate-service-account, será possível associar sua conta de serviço ao perfil de segurança. Para mais informações, consulte Criar e gerenciar perfis de segurança personalizados.
Papéis do Identity and Access Management
A tabela a seguir descreve os papéis do Identity and Access Management (IAM) necessários para gerenciar os perfis de segurança:
| Habilidade | Papel necessário |
|---|---|
| Criar um perfil de segurança personalizado | Papel de administrador de perfil de segurança (networksecurity.securityProfileAdmin) na organização ou no projeto em que você quer criar um perfil de segurança personalizado. |
| Modificar um perfil de segurança personalizado | Papel Administrador de perfil de segurança (networksecurity.securityProfileAdmin) na organização ou no projeto em que o perfil de segurança personalizado existe. |
| Visualizar detalhes sobre o perfil de segurança personalizado em uma organização ou um projeto | Qualquer um dos seguintes papéis na organização ou no projeto em que o perfil de segurança personalizado existe:
|
| Ver todos os perfis de segurança personalizados em uma organização ou um projeto | Qualquer um dos seguintes papéis na organização ou no projeto em que o perfil de segurança personalizado existe:
|
| Usar um perfil de segurança personalizado em um grupo de perfis de segurança | Qualquer um dos seguintes papéis na organização ou no projeto em que o perfil de segurança personalizado existe:
|
Se você não tiver o papel de
Administrador de perfil de segurança
(roles/networksecurity.securityProfileAdmin), crie e gerencie um
perfil de segurança personalizado com as seguintes permissões:
networksecurity.securityProfiles.createnetworksecurity.securityProfiles.deletenetworksecurity.securityProfiles.getnetworksecurity.securityProfiles.listnetworksecurity.securityProfiles.updatenetworksecurity.securityProfiles.use
Para mais informações sobre as permissões e os papéis predefinidos do IAM, consulte a referência de permissões do IAM.
Cotas
Para conferir as cotas associadas aos perfis de segurança personalizados, consulte Cotas e limites.
A seguir
- Criar e gerenciar grupos de perfis de segurança
- Criar e gerenciar perfis de segurança de espelhamento personalizados