Les profils de sécurité sont des conteneurs de règles au niveau de l'organisation utilisés par plusieurs produits de sécurité réseau. Le profil de sécurité définit le champ d'application du trafic réseau à surveiller et à analyser dans le service d'intégration de la sécurité réseau.
Pourquoi utiliser des profils de sécurité ?
Vous utilisez un profil de sécurité pour spécifier l'action à effectuer pour une règle de mise en miroir correspondante. Sans profil de sécurité associé à la règle de mise en miroir, le service d'intégration ne sait pas où envoyer le trafic mis en miroir pour inspection.
Fonctionnement des profils de sécurité
Le profil de sécurité fonctionne en associant vos ressources réseau à une règle de pare-feu de mise en miroir. Lorsque vous associez un profil de sécurité à une règle de pare-feu de mise en miroir, le profil remplit deux fonctions clés :
Acheminement du trafic : le profil de sécurité identifie le groupe de points de terminaison associé à votre réseau cloud privé virtuel (VPC). Le groupe de points de terminaison pointe vers un groupe de déploiement d'un producteur. Le groupe de déploiement de ce producteur organise vos ressources réseau, telles que les machines virtuelles (VM), et définit le champ d'application du trafic que le service d'intégration peut surveiller.
Associez le profil : les paquets mis en miroir comportent le groupe de profils de sécurité
data_path_id, qui peut être utilisé pour appliquer des règles sur le collecteur. Un collecteur est une destination gérée par l'utilisateur dans le réseau producteur. Un collecteur reçoit le trafic mis en miroir du réseau consommateur pour inspection.
Ce document présente les profils de sécurité et leurs fonctionnalités de configuration spécifiques.
Spécifications
Un profil de sécurité est une ressource au niveau de l'organisation.
Network Security Integration est compatible avec les profils de sécurité de type
CUSTOM_MIRRORING.Chaque profil de sécurité est identifié de manière unique par une URL comprenant les éléments suivants :
- ID de l'organisation : ID de l'organisation.
- Emplacement : champ d'application du profil de sécurité. L'emplacement est toujours défini sur
global. - Nom : nom du profil de sécurité au format suivant :
- Chaîne de 1 à 63 caractères.
- N'inclut que des caractères alphanumériques en minuscules ou des traits d'union (-).
- Le nom doit commencer par une lettre
Pour créer un identifiant d'URL unique pour un profil de sécurité, utilisez le format suivant :
organization/ORGANIZATION_ID/locations/LOCATION/securityProfiles/SECURITY_PROFILE_NAMERemplacez les éléments suivants :
ORGANIZATION_ID: ID de l'organisation.LOCATION: champ d'application du profil de sécurité. L'emplacement est toujours défini surglobal.SECURITY_PROFILE_NAME: nom du profil de sécurité.
Par exemple, un profil de sécurité
example-security-profileayant le niveau d'accèsglobaldans l'organisation2345678432possède l'identifiant unique suivant :organization/2345678432/locations/global/securityProfiles/example-security-profileAprès avoir créé un profil de sécurité, vous avez la possibilité de l'associer à un groupe de profils de sécurité. Ce groupe de profils de sécurité est référencé par la stratégie de pare-feu réseau du réseau VPC dans lequel vous souhaitez traiter votre trafic réseau dans l'intégration Network Security.
Le trafic qui correspond à la règle de stratégie de pare-feu réseau est envoyé au groupe de points de terminaison référencé par le profil de sécurité.
Chaque profil de sécurité doit être associé à un ID de projet. Le projet associé est utilisé pour les quotas et les restrictions d'accès sur les ressources des profils de sécurité. Si vous authentifiez votre compte de service à l'aide de la commande
gcloud auth activate-service-account, vous pouvez associer votre compte de service au profil de sécurité. Pour en savoir plus, consultez Créer et gérer des profils de sécurité personnalisés.
Rôles de gestion de l'authentification et des accès (IAM)
Les rôles Identity and Access Management (IAM) régissent les actions des profils de sécurité suivantes :
- Créer un profil de sécurité personnalisé dans une organisation
- Modifier ou supprimer un profil de sécurité personnalisé
- Afficher les détails d'un profil de sécurité personnalisé
- Afficher la liste des profils de sécurité personnalisés dans une organisation
- Utiliser un profil de sécurité personnalisé dans un groupe de profils de sécurité
Le tableau suivant décrit les rôles nécessaires pour chaque étape.
| Aptitude | Rôle nécessaire |
|---|---|
| Créer un profil de sécurité personnalisé | Rôle Administrateur de profils de sécurité (networksecurity.securityProfileAdmin) sur l'organisation où le profil de sécurité personnalisé est créé. |
| Modifier un profil de sécurité personnalisé | Rôle Administrateur de profils de sécurité (networksecurity.securityProfileAdmin) sur l'organisation où le profil de sécurité personnalisé est créé. |
| Afficher les détails du profil de sécurité personnalisé d'une organisation | L'un des rôles suivants pour l'organisation :
|
| Afficher tous les profils de sécurité personnalisés d'une organisation | L'un des rôles suivants pour l'organisation :
|
| Utiliser un profil de sécurité personnalisé dans un groupe de profils de sécurité | L'un des rôles suivants pour l'organisation :
|
Si vous ne disposez pas du rôle Administrateur de profil de sécurité (roles/networksecurity.securityProfileAdmin), vous pouvez créer et gérer des profils de sécurité personnalisés avec les autorisations suivantes :
networksecurity.securityProfiles.createnetworksecurity.securityProfiles.deletenetworksecurity.securityProfiles.getnetworksecurity.securityProfiles.listnetworksecurity.securityProfiles.updatenetworksecurity.securityProfiles.use
Pour en savoir plus sur les autorisations IAM et les rôles prédéfinis, consultez la documentation de référence sur les autorisations IAM.
Quotas
Pour afficher les quotas associés aux profils de sécurité personnalisés, consultez Quotas et limites.
Étapes suivantes
- Créer et gérer des groupes de profils de sécurité
- Créer et gérer des profils de sécurité personnalisés pour la duplication d'écran