Visão geral dos perfis de segurança

Os perfis de segurança são contêineres de políticas usados por vários produtos de segurança de rede. O perfil de segurança define o escopo do tráfego de rede a ser monitorado e analisado no serviço de integração de segurança de rede.

Por que usar perfis de segurança

Você usa um perfil de segurança para especificar a ação de uma regra de espelhamento correspondente. Sem um perfil de segurança anexado à regra de espelhamento, o serviço de integração não sabe para onde enviar o tráfego espelhado para inspeção.

Como os perfis de segurança funcionam

O perfil de segurança funciona anexando seus recursos de rede a uma regra de firewall de espelhamento. Quando você anexa um perfil de segurança a uma regra de firewall de espelhamento, o perfil executa duas funções principais:

  • Tráfego de rota: o perfil de segurança identifica o grupo de endpoints associado à sua rede de nuvem privada virtual (VPC). O grupo de endpoints aponta para um grupo de implantação do produtor. Esse grupo de implantação do produtor organiza seus recursos de rede, como máquinas virtuais (VMs), e define o escopo de tráfego que o serviço de integração pode monitorar.

  • Anexar o perfil: os pacotes espelhados carregam o grupo de perfis de segurança data_path_id, que pode ser usado para aplicação de políticas no coletor. Um coletor é um destino gerenciado pelo usuário na rede do produtor. Um coletor recebe tráfego espelhado da rede do consumidor para inspeção.

Este documento oferece uma visão geral dos perfis de segurança e das capacidades de configuração específicas deles.

Especificações

  • A integração de segurança de rede oferece suporte a perfis de segurança do tipo CUSTOM_MIRRORING.

  • O nome de um perfil de segurança é configurado no seguinte formato de identificador de URL:

    • Nível da organização: organizations/ORGANIZATION_ID/locations/global/securityProfiles/NAME

    • Para envolvidos no projeto: projects/PROJECT_ID/locations/global/securityProfiles/NAME

    O NAME do perfil de segurança precisa atender aos seguintes requisitos:

    • Uma string com 1 a 63 caracteres
    • Contém apenas caracteres alfanuméricos minúsculos ou hifens (-)
    • Começa com uma letra

    Exemplos:

    • Perfil de segurança no nível da organização: organizations/2345678432/locations/global/securityProfiles/example-security-profile.
    • Perfil de segurança para envolvidos no projeto: projects/my-project-123/locations/global/securityProfiles/example-security-profile.

    Se você usar o identificador de URL exclusivo para o nome do perfil de segurança, o URL já incluirá a organização ou o projeto e o local. Se você especificar apenas o nome abreviado, será necessário fornecer o ID da organização ou o ID do projeto e o local separadamente ao usar comandos gcloud.

  • Depois de criar um perfil de segurança, é possível anexá-lo a um grupo de perfis de segurança. Esse grupo de perfis de segurança é referenciado pela política de firewall de rede da rede VPC em que você quer processar o tráfego de rede na integração de segurança de rede.

  • O tráfego que corresponde à regra de política de firewall de rede é enviado ao grupo de endpoints referenciado pelo perfil de segurança.

  • Cada perfil de segurança precisa ter um ID do projeto associado. O projeto associado é usado para faturamento, cotas e restrições de acesso a recursos de perfil de segurança. Se você autenticar sua conta de serviço usando o gcloud auth activate-service-account comando, será possível associar sua conta de serviço ao perfil de segurança. Para mais informações, consulte Criar e gerenciar perfis de segurança personalizados.

Papéis do Identity and Access Management

A tabela a seguir descreve os papéis do Identity and Access Management (IAM) necessários para gerenciar os perfis de segurança:

Habilidade Papel necessário
Criar um perfil de segurança personalizado Papel de administrador de perfil de segurança (networksecurity.securityProfileAdmin) na organização ou no projeto em que você quer criar um perfil de segurança personalizado.
Modificar um perfil de segurança personalizado Papel de administrador de perfil de segurança (networksecurity.securityProfileAdmin) na organização ou no projeto em que o perfil de segurança personalizado existe.
Ver detalhes sobre o perfil de segurança personalizado em uma organização ou projeto Qualquer um dos seguintes papéis na organização ou no projeto em que o perfil de segurança personalizado existe:
Ver todos os perfis de segurança personalizados em uma organização ou projeto Qualquer um dos seguintes papéis na organização ou no projeto em que o perfil de segurança personalizado existe:
Usar um perfil de segurança personalizado em um grupo de perfis de segurança Qualquer um dos seguintes papéis na organização ou no projeto em que o perfil de segurança personalizado existe:

Se você não tiver o papel de administrador de perfil de segurança (roles/networksecurity.securityProfileAdmin), poderá criar e gerenciar um perfil de segurança personalizado com as seguintes permissões:

  • networksecurity.securityProfiles.create
  • networksecurity.securityProfiles.delete
  • networksecurity.securityProfiles.get
  • networksecurity.securityProfiles.list
  • networksecurity.securityProfiles.update
  • networksecurity.securityProfiles.use

Para mais informações sobre as permissões do IAM e os papéis predefinidos, consulte Referência de permissões do IAM.

Cotas

Para visualizar as cotas associadas a perfis de segurança personalizados, consulte Cotas e limites.

A seguir