Les profils de sécurité sont des conteneurs de stratégies utilisés par plusieurs produits de sécurité réseau. Le profil de sécurité définit le champ d'application du trafic réseau à surveiller et à analyser dans le service d'intégration de la sécurité réseau.
Pourquoi utiliser des profils de sécurité ?
Vous utilisez un profil de sécurité pour spécifier l'action d'une règle de mise en miroir correspondante. Sans profil de sécurité associé à la règle de mise en miroir, le service d'intégration ne sait pas où envoyer le trafic mis en miroir pour inspection.
Fonctionnement des profils de sécurité
Le profil de sécurité fonctionne en associant vos ressources réseau à une règle de pare-feu de mise en miroir. Lorsque vous associez un profil de sécurité à une règle de pare-feu de mise en miroir, le profil remplit deux fonctions clés :
Acheminer le trafic : le profil de sécurité identifie le groupe de points de terminaison associé à votre réseau cloud privé virtuel (VPC). Le groupe de points de terminaison pointe vers un groupe de déploiement de producteur. Ce groupe de déploiement de producteur organise vos ressources réseau, telles que les machines virtuelles (VM), et définit le champ d'application du trafic que le service d'intégration peut surveiller.
Associer le profil : les paquets mis en miroir contiennent le groupe de profils de sécurité
data_path_id, qui peut être utilisé pour appliquer la stratégie sur le collecteur. Un collecteur est une destination gérée par l'utilisateur dans le réseau du producteur. Un collecteur reçoit le trafic mis en miroir du réseau consommateur pour inspection.
Ce document présente les profils de sécurité et leurs fonctionnalités de configuration spécifiques.
Spécifications
L'intégration de la sécurité réseau est compatible avec les profils de sécurité de type
CUSTOM_MIRRORING.Le nom d'un profil de sécurité est configuré au format d'identifiant d'URL suivant :
Au niveau de l'organisation :
organizations/ORGANIZATION_ID/locations/global/securityProfiles/NAMEAu niveau du projet (aperçu) :
projects/PROJECT_ID/locations/global/securityProfiles/NAME
Le
NAMEdu profil de sécurité doit répondre aux exigences suivantes :- Chaîne de 1 à 63 caractères.
- Ne contient que des caractères alphanumériques minuscules ou des traits d'union (-).
- Commence par une lettre.
Exemples :
- Profil de sécurité au niveau de l'organisation :
organizations/2345678432/locations/global/securityProfiles/example-security-profile. - Profil de sécurité au niveau du projet (aperçu) :
projects/my-project-123/locations/global/securityProfiles/example-security-profile.
Si vous utilisez l'identifiant d'URL unique pour le nom du profil de sécurité, l'URL inclut déjà l'organisation ou le projet, ainsi que l'emplacement. Si vous ne spécifiez que le nom court, vous devez fournir l'ID de l'organisation ou l'ID du projet, ainsi que l'emplacement séparément lorsque vous utilisez des commandes
gcloud.Après avoir créé un profil de sécurité, vous avez la possibilité de l'associer à un groupe de profils de sécurité. Ce groupe de profils de sécurité est référencé par la stratégie de pare-feu de réseau du réseau VPC dans lequel vous souhaitez traiter votre trafic réseau au sein de Network Security Integration.
Le trafic qui correspond à la règle de stratégie de pare-feu de réseau est envoyé au groupe de points de terminaison référencé par le profil de sécurité.
Chaque profil de sécurité doit être associé à un ID de projet. Le projet associé est utilisé pour les quotas et les restrictions d'accès sur les ressources des profils de sécurité. Si vous authentifiez votre compte de service à l'aide de la
gcloud auth activate-service-accountcommande, vous pouvez associer votre compte de service au profil de sécurité. Pour en savoir plus, consultez Créer et gérer des profils de sécurité personnalisés.
Rôles de Identity and Access Management
Le tableau suivant décrit les rôles Identity and Access Management (IAM) requis pour gérer les profils de sécurité :
| Aptitude | Rôle nécessaire |
|---|---|
| Créer un profil de sécurité personnalisé | Rôle Administrateur de profil de sécurité (networksecurity.securityProfileAdmin) dans l'organisation ou le projet où vous souhaitez créer un profil de sécurité personnalisé. |
| Modifier un profil de sécurité personnalisé | Rôle Administrateur de profil de sécurité (networksecurity.securityProfileAdmin) dans l'organisation ou le projet où existe le profil de sécurité personnalisé. |
| Afficher les détails du profil de sécurité personnalisé dans une organisation ou un projet | L'un des rôles suivants dans l'organisation ou le projet où existe le profil de sécurité personnalisé :
|
| Afficher tous les profils de sécurité personnalisés dans une organisation ou un projet | L'un des rôles suivants dans l'organisation ou le projet où existe le profil de sécurité personnalisé :
|
| Utiliser un profil de sécurité personnalisé dans un groupe de profils de sécurité | L'un des rôles suivants dans l'organisation ou le projet où existe le profil de sécurité personnalisé :
|
Si vous ne disposez pas du
rôle Administrateur de profil de sécurité
(roles/networksecurity.securityProfileAdmin), vous pouvez créer et gérer un
profil de sécurité personnalisé avec les autorisations suivantes :
networksecurity.securityProfiles.createnetworksecurity.securityProfiles.deletenetworksecurity.securityProfiles.getnetworksecurity.securityProfiles.listnetworksecurity.securityProfiles.updatenetworksecurity.securityProfiles.use
Pour en savoir plus sur les autorisations IAM et les rôles prédéfinis, consultez la documentation de référence sur les autorisations IAM.
Quotas
Pour afficher les quotas associés aux profils de sécurité personnalisés, consultez la section Quotas et limites.
Étape suivante
- Créer et gérer des groupes de profils de sécurité
- Créer et gérer des profils de sécurité de mise en miroir personnalisés