I profili di sicurezza sono contenitori di policy a livello di organizzazione utilizzati da più prodotti per la sicurezza di rete. Il profilo di sicurezza definisce l'ambito del traffico di rete da monitorare e analizzare all'interno del servizio di integrazione della sicurezza di rete.
Perché utilizzare i profili di sicurezza
Utilizzi un profilo di sicurezza per specificare l'azione per una regola di mirroring corrispondente. Senza un profilo di sicurezza collegato alla regola di mirroring, il servizio di integrazione non sa dove inviare il traffico sottoposto a mirroring per l'ispezione.
Come funzionano i profili di sicurezza
Il profilo di sicurezza funziona collegando le risorse di rete a una regola firewall di mirroring. Quando colleghi un profilo di sicurezza a una regola firewall di mirroring, il profilo svolge due funzioni chiave:
Instrada il traffico: il profilo di sicurezza identifica il gruppo di endpoint associato alla tua rete Virtual Private Cloud (VPC). Il gruppo di endpoint rimanda a un gruppo di deployment di un producer. Il gruppo di deployment di questo produttore organizza le risorse di rete, ad esempio le macchine virtuali (VM), e definisce l'ambito del traffico che il servizio di integrazione può monitorare.
Allega il profilo: i pacchetti sottoposti a mirroring contengono il gruppo di profili di sicurezza
data_path_id, che può essere utilizzato per l'applicazione delle norme sul collettore. Un raccoglitore è una destinazione gestita dall'utente nella rete del produttore. Un collector riceve il traffico sottoposto a mirroring dalla rete di consumo per l'ispezione.
Questo documento fornisce una panoramica dei profili di sicurezza e delle loro funzionalità di configurazione specifiche.
Specifiche
Un profilo di sicurezza è una risorsa a livello di organizzazione.
Network Security Integration supporta i profili di sicurezza di tipo
CUSTOM_MIRRORING.Ogni profilo di sicurezza è identificato in modo univoco da un URL con i seguenti elementi:
- ID organizzazione: ID dell'organizzazione.
- Posizione: ambito del profilo di sicurezza. La posizione è sempre
impostata su
global. - Nome: il nome del profilo di sicurezza nel seguente formato:
- Una stringa di lunghezza compresa tra 1 e 63 caratteri
- Include solo caratteri alfanumerici minuscoli o trattini (-)
- Deve iniziare con una lettera
Per creare un identificatore URL univoco per un profilo di sicurezza, utilizza il seguente formato:
organization/ORGANIZATION_ID/locations/LOCATION/securityProfiles/SECURITY_PROFILE_NAMESostituisci quanto segue:
ORGANIZATION_ID: l'ID dell'organizzazione.LOCATION: ambito del profilo di sicurezza. La posizione è sempre impostata suglobal.SECURITY_PROFILE_NAME: il nome del profilo di sicurezza.
Ad esempio, un profilo di sicurezza
globalexample-security-profilenell'organizzazione2345678432ha il seguente identificatore univoco:organization/2345678432/locations/global/securityProfiles/example-security-profileDopo aver creato un profilo di sicurezza, hai la possibilità di collegarlo a un gruppo di profili di sicurezza. A questo gruppo di profili di sicurezza fa riferimento il criterio firewall di rete della rete VPC in cui vuoi elaborare il traffico di rete all'interno dell'integrazione di Network Security.
Il traffico che corrisponde alla regola dei criteri firewall di rete viene inviato al gruppo di endpoint a cui fa riferimento il profilo di sicurezza.
Ogni profilo di sicurezza deve avere un ID progetto associato. Il progetto associato viene utilizzato per le quote e le limitazioni di accesso alle risorse del profilo di sicurezza. Se autentichi il account di servizio utilizzando il comando
gcloud auth activate-service-account, puoi associare il account di servizio al profilo di sicurezza. Per saperne di più, vedi Creare e gestire profili di sicurezza personalizzati.
Ruoli Identity and Access Management
I ruoli IAM (Identity and Access Management) regolano le seguenti azioni dei profili di sicurezza:
- Creazione di un profilo di sicurezza personalizzato in un'organizzazione
- Modificare o eliminare un profilo di sicurezza personalizzato
- Visualizzare i dettagli di un profilo di sicurezza personalizzato
- Visualizzare un elenco di profili di sicurezza personalizzati in un'organizzazione
- Utilizzo di un profilo di sicurezza personalizzato in un gruppo di profili di sicurezza
La tabella seguente descrive i ruoli necessari per ogni passaggio.
| Abilità | Ruolo necessario |
|---|---|
| Creare un profilo di sicurezza personalizzato | Ruolo Amministratore del profilo di sicurezza (networksecurity.securityProfileAdmin)
nell'organizzazione in cui viene creato il profilo di sicurezza personalizzato. |
| Modificare un profilo di sicurezza personalizzato | Ruolo Amministratore del profilo di sicurezza (networksecurity.securityProfileAdmin)
nell'organizzazione in cui viene creato il profilo di sicurezza personalizzato. |
| Visualizzare i dettagli del profilo di sicurezza personalizzato in un'organizzazione | Uno dei seguenti ruoli per l'organizzazione:
|
| Visualizzare tutti i profili di sicurezza personalizzati in un'organizzazione | Uno dei seguenti ruoli per l'organizzazione:
|
| Utilizzare un profilo di sicurezza personalizzato in un gruppo di profili di sicurezza | Uno dei seguenti ruoli per l'organizzazione:
|
Se non disponi del
ruolo Amministratore profilo di sicurezza (roles/networksecurity.securityProfileAdmin),
puoi creare e gestire un profilo di sicurezza personalizzato con le
seguenti autorizzazioni:
networksecurity.securityProfiles.createnetworksecurity.securityProfiles.deletenetworksecurity.securityProfiles.getnetworksecurity.securityProfiles.listnetworksecurity.securityProfiles.updatenetworksecurity.securityProfiles.use
Per saperne di più sulle autorizzazioni IAM e sui ruoli predefiniti, consulta Riferimento alle autorizzazioni IAM.
Quote
Per visualizzare le quote associate ai profili di sicurezza personalizzati, consulta Quote e limiti.
Passaggi successivi
- Creare e gestire gruppi di profili di sicurezza
- Creare e gestire profili di sicurezza di mirroring personalizzati