Los perfiles de seguridad son contenedores de políticas a nivel de la organización que utilizan varios productos de seguridad de red. El perfil de seguridad define el alcance del tráfico de red que se supervisará y analizará dentro del servicio de Integración de seguridad de red.
Por qué usar perfiles de seguridad
Usas un perfil de seguridad para especificar la acción de una regla de duplicación coincidente. Sin un perfil de seguridad adjunto a la regla de duplicación, el servicio de integración no sabe a dónde enviar el tráfico duplicado para su inspección.
Cómo funcionan los perfiles de seguridad
El perfil de seguridad funciona adjuntando tus recursos de red a una regla de firewall de duplicación. Cuando adjuntas un perfil de seguridad a una regla de firewall de duplicación, el perfil realiza dos funciones clave:
Enruta el tráfico: El perfil de seguridad identifica el grupo de extremos asociado con tu red de nube privada virtual (VPC). El grupo de extremos apunta a un grupo de implementación de un productor. El grupo de implementación de este productor organiza tus recursos de red, como las máquinas virtuales (VMs), y define el alcance del tráfico que puede supervisar el servicio de integración.
Adjunta el perfil: Los paquetes duplicados contienen el grupo de perfiles de seguridad
data_path_id, que se puede usar para aplicar políticas en el recopilador. Un colector es un destino administrado por el usuario en la red del productor. Un colector recibe tráfico duplicado de la red del consumidor para su inspección.
En este documento, se proporciona una descripción general de los perfiles de seguridad y sus capacidades de configuración específicas.
Especificaciones
Un perfil de seguridad es un recurso a nivel de la organización.
La integración de seguridad de redes admite perfiles de seguridad de tipo
CUSTOM_MIRRORING.Cada perfil de seguridad se identifica de manera inequívoca mediante una URL con los siguientes elementos:
- ID de la organización: ID de la organización.
- Ubicación: Es el alcance del perfil de seguridad. La ubicación siempre está configurada como
global. - Nombre: Nombre del perfil de seguridad con el siguiente formato:
- Una string de 1 a 63 caracteres
- Solo incluye caracteres alfanuméricos en minúscula o guiones (-)
- Debe comenzar con una letra
A fin de crear un identificador de URL único para un perfil de seguridad, usa el siguiente formato:
organization/ORGANIZATION_ID/locations/LOCATION/securityProfiles/SECURITY_PROFILE_NAMEReemplaza lo siguiente:
ORGANIZATION_ID: ID de la organización.LOCATION: Es el alcance del perfil de seguridad. La ubicación siempre está configurada comoglobal.SECURITY_PROFILE_NAME: Es el nombre del perfil de seguridad.
Por ejemplo, un perfil de seguridad
globalexample-security-profileen la organización2345678432tiene el siguiente identificador único:organization/2345678432/locations/global/securityProfiles/example-security-profileDespués de crear un perfil de seguridad, tienes la opción de adjuntarlo a un grupo de perfiles de seguridad. La política de firewall de red de la red de VPC en la que deseas procesar tu tráfico de red dentro de la Integración de seguridad de red hace referencia a este grupo de perfiles de seguridad.
El tráfico que coincide con la regla de política de firewall de red se envía al grupo de extremos al que hace referencia el perfil de seguridad.
Cada perfil de seguridad debe tener un ID del proyecto asociado. El proyecto asociado se usa para la facturación, las cuotas y las restricciones de acceso en los recursos del perfil de seguridad. Si autenticas la cuenta de servicio con el comando
gcloud auth activate-service-account, puedes asociarla con el perfil de seguridad. Para obtener más información, consulta Crea y administra perfiles de seguridad personalizados.
Roles de Identity and Access Management
Los roles de Identity and Access Management (IAM) rigen las siguientes acciones de perfiles de seguridad:
- Cómo crear un perfil de seguridad personalizado en una organización
- Modifica o borra un perfil de seguridad personalizado
- Visualiza los detalles de un perfil de seguridad personalizado
- Visualiza una lista de los perfiles de seguridad personalizados de una organización
- Usar un perfil de seguridad personalizado en un grupo de perfiles de seguridad
En la siguiente tabla, se describen los roles necesarios para cada paso.
| Capacidad | Rol necesario |
|---|---|
| Crea un perfil de seguridad personalizado | Rol de administrador de perfiles de seguridad (networksecurity.securityProfileAdmin)
en la organización en la que se crea el perfil de seguridad personalizado |
| Modifica un perfil de seguridad personalizado | Rol de administrador de perfiles de seguridad (networksecurity.securityProfileAdmin)
en la organización en la que se crea el perfil de seguridad personalizado |
| Visualizar los detalles del perfil de seguridad personalizado de una organización | Cualquiera de los siguientes roles para la organización:
|
| Visualiza todos los perfiles de seguridad personalizados de una organización | Cualquiera de los siguientes roles para la organización:
|
| Usar un perfil de seguridad personalizado en un grupo de perfiles de seguridad | Cualquiera de los siguientes roles para la organización:
|
Si no tienes el rol de administrador de perfiles de seguridad (roles/networksecurity.securityProfileAdmin), puedes crear y administrar perfiles de seguridad personalizados con los siguientes permisos:
networksecurity.securityProfiles.createnetworksecurity.securityProfiles.deletenetworksecurity.securityProfiles.getnetworksecurity.securityProfiles.listnetworksecurity.securityProfiles.updatenetworksecurity.securityProfiles.use
Para obtener más información sobre los permisos de IAM y los roles predefinidos, consulta la referencia de permisos de IAM.
Cuotas
Para ver las cuotas asociadas con los perfiles de seguridad personalizados, consulta Cuotas y límites.
¿Qué sigue?
- Crea y administra grupos de perfiles de seguridad
- Crea y administra perfiles de seguridad de duplicación personalizados