Os perfis de segurança são contêineres de políticas no nível da organização usados por vários produtos de segurança de rede. O perfil de segurança define o escopo do tráfego de rede a ser monitorado e analisado no serviço de integração de segurança de rede.
Por que usar perfis de segurança
Você usa um perfil de segurança para especificar a ação de uma regra de espelhamento correspondente. Sem um perfil de segurança anexado à regra de espelhamento, o serviço de integração não sabe para onde enviar o tráfego espelhado para inspeção.
Como funcionam os perfis de segurança
O perfil de segurança funciona anexando seus recursos de rede a uma regra de firewall de espelhamento. Quando você anexa um perfil de segurança a uma regra de firewall de espelhamento, o perfil executa duas funções principais:
Roteamento de tráfego: o perfil de segurança identifica o grupo de endpoints associado à sua rede de nuvem privada virtual (VPC). O grupo de endpoints aponta para um grupo de implantação de um produtor. O grupo de implantação desse produtor organiza seus recursos de rede, como máquinas virtuais (VMs), e define o escopo de tráfego que o serviço de integração pode monitorar.
Anexe o perfil: os pacotes espelhados carregam o grupo de perfis de segurança
data_path_id, que pode ser usado para aplicação de políticas no coletor. Um coletor é um destino gerenciado pelo usuário na rede do produtor. Um coletor recebe tráfego espelhado da rede do consumidor para inspeção.
Neste documento, você encontra uma visão geral dos perfis de segurança e dos recursos de configuração específicos deles.
Especificações
Um perfil de segurança é um recurso no nível da organização.
A integração da Segurança de rede é compatível com perfis de segurança do tipo
CUSTOM_MIRRORING.Cada perfil de segurança é identificado exclusivamente por um URL com os seguintes elementos:
- ID da organização: ID da organização.
- Local: escopo do perfil de segurança. A localização está sempre definida como
global. - Nome: nome do perfil de segurança no seguinte formato:
- Uma string com 1 a 63 caracteres
- Inclui apenas caracteres alfanuméricos minúsculos ou hifens (-)
- Precisa começar com uma letra
Para criar um identificador de URL exclusivo para um perfil de segurança, use o seguinte formato:
organization/ORGANIZATION_ID/locations/LOCATION/securityProfiles/SECURITY_PROFILE_NAMESubstitua:
ORGANIZATION_ID: ID da organização.LOCATION: escopo do perfil de segurança. O local está sempre definido comoglobal.SECURITY_PROFILE_NAME: o nome do perfil de segurança.
Por exemplo, um perfil de segurança
globalexample-security-profilena organização2345678432tem o seguinte identificador exclusivo:organization/2345678432/locations/global/securityProfiles/example-security-profileDepois de criar um perfil de segurança, é possível anexá-lo a um grupo de perfis de segurança. Esse grupo de perfis de segurança é referenciado pela política de firewall de rede da rede VPC em que você quer processar o tráfego de rede na integração da segurança de rede.
O tráfego que corresponde à regra da política de firewall de rede é enviado ao grupo de endpoints referenciado pelo perfil de segurança.
Cada perfil de segurança precisa ter um ID de projeto associado. O projeto associado é usado para faturamento, cotas e restrições de acesso a recursos de perfil de segurança. Se você autenticar sua conta de serviço usando o comando
gcloud auth activate-service-account, será possível associar sua conta de serviço ao perfil de segurança. Para mais informações, consulte Criar e gerenciar perfis de segurança personalizados.
Papéis do Identity and Access Management
Os papéis do Identity and Access Management (IAM) controlam as seguintes ações dos perfis de segurança:
- Como criar um perfil de segurança personalizado em uma organização
- Como modificar ou excluir um perfil de segurança personalizado
- Como visualizar detalhes de um perfil de segurança personalizado
- Como visualizar uma lista de perfis de segurança personalizados em uma organização
- Como usar um perfil de segurança personalizado em um grupo de perfis de segurança
Veja na tabela a seguir os papéis necessários para cada etapa.
| Habilidade | Papel necessário |
|---|---|
| Criar um perfil de segurança personalizado | Função de administrador de perfil de segurança (networksecurity.securityProfileAdmin)
na organização em que o perfil de segurança personalizado foi criado. |
| Modificar um perfil de segurança personalizado | Função de administrador de perfil de segurança (networksecurity.securityProfileAdmin)
na organização em que o perfil de segurança personalizado foi criado. |
| Visualizar detalhes sobre o perfil de segurança personalizado em uma organização | Qualquer um dos seguintes papéis na organização:
|
| Visualizar todos os perfis de segurança personalizados em uma organização | Qualquer um dos seguintes papéis na organização:
|
| Usar um perfil de segurança personalizado em um grupo de perfis de segurança | Qualquer um dos seguintes papéis na organização:
|
Se você não tiver o papel Administrador de perfil de segurança (roles/networksecurity.securityProfileAdmin), crie e gerencie um perfil de segurança personalizado com as seguintes permissões:
networksecurity.securityProfiles.createnetworksecurity.securityProfiles.deletenetworksecurity.securityProfiles.getnetworksecurity.securityProfiles.listnetworksecurity.securityProfiles.updatenetworksecurity.securityProfiles.use
Para mais informações sobre as permissões do IAM e os papéis predefinidos, consulte a referência de permissões do IAM.
Cotas
Para conferir as cotas associadas aos perfis de segurança personalizados, consulte Cotas e limites.
A seguir
- Criar e gerenciar grupos de perfis de segurança
- Criar e gerenciar perfis de segurança de espelhamento personalizados