I profili di sicurezza sono contenitori di criteri utilizzati da più prodotti per la sicurezza di rete. Il profilo di sicurezza definisce l'ambito del traffico di rete da monitorare e analizzare all'interno del servizio Network Security Integration.
Perché utilizzare i profili di sicurezza
Utilizzi un profilo di sicurezza per specificare l'azione per una regola di mirroring corrispondente. Senza un profilo di sicurezza collegato alla regola di mirroring, il servizio di integrazione non sa dove inviare il traffico sottoposto a mirroring per l'ispezione.
Come funzionano i profili di sicurezza
Il profilo di sicurezza funziona collegando le risorse di rete a una regola firewall di mirroring. Quando colleghi un profilo di sicurezza a una regola firewall di mirroring, il profilo svolge due funzioni chiave:
Instrada il traffico: il profilo di sicurezza identifica il gruppo di endpoint associato alla tua rete Virtual Private Cloud (VPC). Il gruppo di endpoint rimanda a un gruppo di deployment di un producer. Il gruppo di deployment di questo produttore organizza le risorse di rete, ad esempio le macchine virtuali (VM), e definisce l'ambito del traffico che il servizio di integrazione può monitorare.
Allega il profilo: i pacchetti sottoposti a mirroring contengono il gruppo di profili di sicurezza
data_path_id, che può essere utilizzato per l'applicazione delle norme sul collettore. Un agente di raccolta è una destinazione gestita dall'utente nella rete del produttore. Un collector riceve il traffico sottoposto a mirroring dalla rete di consumo per l'ispezione.
Questo documento fornisce una panoramica dei profili di sicurezza e delle loro funzionalità di configurazione specifiche.
Specifiche
Network Security Integration supporta i profili di sicurezza di tipo
CUSTOM_MIRRORING.Il nome di un profilo di sicurezza è configurato nel seguente formato dell'identificatore URL:
A livello di organizzazione:
organizations/ORGANIZATION_ID/locations/global/securityProfiles/NAMEA livello di progetto (anteprima):
projects/PROJECT_ID/locations/global/securityProfiles/NAME
Il
NAMEdel profilo di sicurezza deve soddisfare i seguenti requisiti:- Una stringa di lunghezza compresa tra 1 e 63 caratteri
- Contiene solo caratteri alfanumerici minuscoli o trattini (-)
- Inizia con una lettera
Esempi:
- Profilo di sicurezza a livello di organizzazione:
organizations/2345678432/locations/global/securityProfiles/example-security-profile. - Profilo di sicurezza a livello di progetto (anteprima):
projects/my-project-123/locations/global/securityProfiles/example-security-profile.
Se utilizzi l'identificatore URL univoco per il nome del profilo di sicurezza, l'URL include già l'organizzazione o il progetto e la località. Se specifichi solo il nome breve, devi fornire l'ID organizzazione o l'ID progetto e la posizione separatamente quando utilizzi i comandi
gcloud.Dopo aver creato un profilo di sicurezza, hai la possibilità di collegarlo a un gruppo di profili di sicurezza. A questo gruppo di profili di sicurezza fa riferimento la policy del firewall di rete della rete VPC in cui vuoi elaborare il traffico di rete all'interno di Network Security Integration.
Il traffico che corrisponde alla regola della policy del firewall di rete viene inviato al gruppo di endpoint a cui fa riferimento il profilo di sicurezza.
Ogni profilo di sicurezza deve avere un ID progetto associato. Il progetto associato viene utilizzato per le quote e le limitazioni di accesso alle risorse del profilo di sicurezza. Se autentichi il account di servizio utilizzando il comando
gcloud auth activate-service-account, puoi associare il account di servizio al profilo di sicurezza. Per saperne di più, vedi Creare e gestire profili di sicurezza personalizzati.
Ruoli Identity and Access Management
La seguente tabella descrive i ruoli Identity and Access Management (IAM) necessari per gestire i profili di sicurezza:
| Abilità | Ruolo necessario |
|---|---|
| Creare un profilo di sicurezza personalizzato | Ruolo Amministratore del profilo di sicurezza (networksecurity.securityProfileAdmin)
nell'organizzazione o nel progetto in cui vuoi creare un profilo di sicurezza personalizzato. |
| Modificare un profilo di sicurezza personalizzato | Ruolo Amministratore
del profilo di sicurezza (networksecurity.securityProfileAdmin)
nell'organizzazione o nel progetto in cui esiste il profilo di sicurezza personalizzato. |
| Visualizza i dettagli del profilo di sicurezza personalizzato in un'organizzazione o in un progetto | Uno dei seguenti ruoli nell'organizzazione o nel progetto in cui esiste il profilo di sicurezza personalizzato:
|
| Visualizzare tutti i profili di sicurezza personalizzati in un'organizzazione o in un progetto | Uno dei seguenti ruoli nell'organizzazione o nel progetto in cui esiste il profilo di sicurezza personalizzato:
|
| Utilizzare un profilo di sicurezza personalizzato in un gruppo di profili di sicurezza | Uno dei seguenti ruoli nell'organizzazione o nel progetto in cui esiste il profilo di sicurezza personalizzato:
|
Se non hai il
ruolo Amministratore profilo di sicurezza
(roles/networksecurity.securityProfileAdmin), puoi creare e gestire un
profilo di sicurezza personalizzato con le seguenti autorizzazioni:
networksecurity.securityProfiles.createnetworksecurity.securityProfiles.deletenetworksecurity.securityProfiles.getnetworksecurity.securityProfiles.listnetworksecurity.securityProfiles.updatenetworksecurity.securityProfiles.use
Per saperne di più sulle autorizzazioni IAM e sui ruoli predefiniti, consulta Riferimento alle autorizzazioni IAM.
Quote
Per visualizzare le quote associate ai profili di sicurezza personalizzati, consulta Quote e limiti.
Passaggi successivi
- Creare e gestire gruppi di profili di sicurezza
- Creare e gestire profili di sicurezza di mirroring personalizzati