Os perfis de segurança são contêineres de políticas usados por vários produtos de segurança de rede. O perfil de segurança define o escopo do tráfego de rede a ser monitorado e analisado no serviço de integração de segurança de rede.
Por que usar perfis de segurança
Você usa um perfil de segurança para especificar a ação de uma regra de espelhamento correspondente. Sem um perfil de segurança anexado à regra de espelhamento, o serviço de integração não sabe para onde enviar o tráfego espelhado para inspeção.
Como os perfis de segurança funcionam
O perfil de segurança funciona anexando seus recursos de rede a uma regra de firewall de espelhamento. Quando você anexa um perfil de segurança a uma regra de firewall de espelhamento, o perfil executa duas funções principais:
Tráfego de rota: o perfil de segurança identifica o grupo de endpoints associado à sua rede de nuvem privada virtual (VPC). O grupo de endpoints aponta para um grupo de implantação do produtor. Esse grupo de implantação do produtor organiza seus recursos de rede, como máquinas virtuais (VMs), e define o escopo de tráfego que o serviço de integração pode monitorar.
Anexar o perfil: os pacotes espelhados carregam o grupo de perfis de segurança
data_path_id, que pode ser usado para aplicação de políticas no coletor. Um coletor é um destino gerenciado pelo usuário na rede do produtor. Um coletor recebe tráfego espelhado da rede do consumidor para inspeção.
Este documento oferece uma visão geral dos perfis de segurança e das capacidades de configuração específicas deles.
Especificações
A integração de segurança de rede oferece suporte a perfis de segurança do tipo
CUSTOM_MIRRORING.O nome de um perfil de segurança é configurado no seguinte formato de identificador de URL:
Nível da organização:
organizations/ORGANIZATION_ID/locations/global/securityProfiles/NAMEPara envolvidos no projeto:
projects/PROJECT_ID/locations/global/securityProfiles/NAME
O
NAMEdo perfil de segurança precisa atender aos seguintes requisitos:- Uma string com 1 a 63 caracteres
- Contém apenas caracteres alfanuméricos minúsculos ou hifens (-)
- Começa com uma letra
Exemplos:
- Perfil de segurança no nível da organização:
organizations/2345678432/locations/global/securityProfiles/example-security-profile. - Perfil de segurança para envolvidos no projeto:
projects/my-project-123/locations/global/securityProfiles/example-security-profile.
Se você usar o identificador de URL exclusivo para o nome do perfil de segurança, o URL já incluirá a organização ou o projeto e o local. Se você especificar apenas o nome abreviado, será necessário fornecer o ID da organização ou o ID do projeto e o local separadamente ao usar comandos
gcloud.Depois de criar um perfil de segurança, é possível anexá-lo a um grupo de perfis de segurança. Esse grupo de perfis de segurança é referenciado pela política de firewall de rede da rede VPC em que você quer processar o tráfego de rede na integração de segurança de rede.
O tráfego que corresponde à regra de política de firewall de rede é enviado ao grupo de endpoints referenciado pelo perfil de segurança.
Cada perfil de segurança precisa ter um ID do projeto associado. O projeto associado é usado para faturamento, cotas e restrições de acesso a recursos de perfil de segurança. Se você autenticar sua conta de serviço usando o
gcloud auth activate-service-accountcomando, será possível associar sua conta de serviço ao perfil de segurança. Para mais informações, consulte Criar e gerenciar perfis de segurança personalizados.
Papéis do Identity and Access Management
A tabela a seguir descreve os papéis do Identity and Access Management (IAM) necessários para gerenciar os perfis de segurança:
| Habilidade | Papel necessário |
|---|---|
| Criar um perfil de segurança personalizado | Papel de administrador de perfil de segurança (networksecurity.securityProfileAdmin) na organização ou no projeto em que você quer criar um perfil de segurança personalizado. |
| Modificar um perfil de segurança personalizado | Papel de administrador de perfil de segurança (networksecurity.securityProfileAdmin) na organização ou no projeto em que o perfil de segurança personalizado existe. |
| Ver detalhes sobre o perfil de segurança personalizado em uma organização ou projeto | Qualquer um dos seguintes papéis na organização ou no projeto em que o perfil de segurança personalizado existe:
|
| Ver todos os perfis de segurança personalizados em uma organização ou projeto | Qualquer um dos seguintes papéis na organização ou no projeto em que o perfil de segurança personalizado existe:
|
| Usar um perfil de segurança personalizado em um grupo de perfis de segurança | Qualquer um dos seguintes papéis na organização ou no projeto em que o perfil de segurança personalizado existe:
|
Se você não tiver o
papel de administrador de perfil de segurança
(roles/networksecurity.securityProfileAdmin), poderá criar e gerenciar um
perfil de segurança personalizado com as seguintes permissões:
networksecurity.securityProfiles.createnetworksecurity.securityProfiles.deletenetworksecurity.securityProfiles.getnetworksecurity.securityProfiles.listnetworksecurity.securityProfiles.updatenetworksecurity.securityProfiles.use
Para mais informações sobre as permissões do IAM e os papéis predefinidos, consulte Referência de permissões do IAM.
Cotas
Para visualizar as cotas associadas a perfis de segurança personalizados, consulte Cotas e limites.
A seguir
- Criar e gerenciar grupos de perfis de segurança
- Criar e gerenciar perfis de segurança de espelhamento personalizados