Un gruppo di profili di sicurezza è un contenitore per i profili di sicurezza. Una regola dei criteri firewall fa riferimento a un gruppo di profili di sicurezza per attivare l'ispezione di livello 7, ad esempio il servizio di rilevamento e prevenzione delle intrusioni, sulla tua rete.
Questo documento fornisce una panoramica dettagliata dei gruppi di profili di sicurezza e delle loro funzionalità.
Specifiche
Un gruppo di profili di sicurezza è una risorsa a livello di organizzazione.
Puoi aggiungere un solo profilo di sicurezza di tipo
threat-preventiona un gruppo di profili di sicurezza.Ogni gruppo di profili di sicurezza è identificato in modo univoco da un URL con i seguenti elementi:
- ID organizzazione:ID dell'organizzazione.
- Posizione:ambito del gruppo di profili di sicurezza. La posizione è sempre
impostata su
global. - Nome:nome del gruppo di profili di sicurezza nel seguente formato:
- Una stringa di lunghezza compresa tra 1 e 63 caratteri
- Include solo caratteri alfanumerici o trattini (-)
- Non può iniziare con un numero
Per creare un identificatore URL univoco per un gruppo di profili di sicurezza, utilizza il seguente formato:
organization/ORGANIZATION_ID/locations/LOCATION/securityProfileGroups/SECURITY_PROFILE_GROUP_NAMEAd esempio, un
globalgruppo di profili di sicurezzaexample-security-profile-groupnell'organizzazione2345678432ha il seguente identificatore univoco:organization/2345678432/locations/global/securityProfileGroups/example-security-profile-groupPer eseguire l'ispezione di livello 7 del traffico di rete, una regola dei criteri firewall deve contenere il nome del gruppo di profili di sicurezza da utilizzare dall'endpoint firewall.
I gruppi di profili di sicurezza si applicano ai criteri firewall solo quando aggiungi una regola dei criteri firewall con l'azione
apply_security_profile_group. Puoi configurare i gruppi di profili di sicurezza nelle regole dei criteri firewall gerarchici e nelle regole dei criteri firewall di rete globali.La regola dei criteri firewall si applica al traffico in entrata e in uscita della rete Virtual Private Cloud (VPC). Il traffico corrispondente viene reindirizzato all'endpoint firewall insieme al nome del gruppo di profili di sicurezza configurato. L'endpoint firewall utilizza il profilo di sicurezza specificato nel gruppo di profili di sicurezza per analizzare i pacchetti alla ricerca di minacce e applicare le azioni configurate.
Per scoprire di più su come configurare la prevenzione delle minacce, consulta Configurare il servizio di rilevamento e prevenzione delle intrusioni.
Ogni gruppo di profili di sicurezza deve avere un ID progetto associato. Il progetto associato viene utilizzato per le quote e le limitazioni di accesso alle risorse del gruppo di profili di sicurezza. Se autentichi il account di servizio utilizzando il comando
gcloud auth activate-service-account, puoi associare il account di servizio al gruppo di profili di sicurezza. Per scoprire di più su come creare un gruppo di profili, consulta Creare e gestire gruppi di profili di sicurezza.
Ruoli Identity and Access Management
I ruoli IAM (Identity and Access Management) regolano le seguenti azioni del gruppo di profili di sicurezza:
- Creazione di un gruppo di profili di sicurezza in un'organizzazione
- Modificare o eliminare un gruppo di profili di sicurezza
- Visualizzare i dettagli di un gruppo di profili di sicurezza
- Visualizzare un elenco di gruppi di profili di sicurezza in un'organizzazione
- Utilizzo di un gruppo di profili di sicurezza in una regola del criterio firewall
La tabella seguente descrive i ruoli necessari per ogni passaggio.
| Abilità | Ruolo necessario |
|---|---|
| Creare un gruppo di profili di sicurezza | Amministratore del profilo di sicurezza ruolo nell'organizzazione in cui viene creato il gruppo di profili di sicurezza. |
| Modificare un gruppo di profili di sicurezza | Amministratore del profilo di sicurezza ruolo nell'organizzazione in cui viene creato il gruppo di profili di sicurezza. |
| Visualizzare i dettagli del gruppo di profili di sicurezza in un'organizzazione | Uno dei seguenti ruoli per l'organizzazione: Amministratore profilo di sicurezza compute.networkViewer compute.networkUser |
| Visualizzare tutti i gruppi di profili di sicurezza in un'organizzazione | Uno dei seguenti ruoli per l'organizzazione: Amministratore profilo di sicurezza compute.networkViewer compute.networkUser |
| Utilizzare un gruppo di profili di sicurezza in una regola di policy firewall | Uno dei seguenti ruoli per l'organizzazione: Amministratore profilo di sicurezza compute.networkUser |
Passaggi successivi
- Configurare il servizio di rilevamento e prevenzione delle intrusioni
- Creare e gestire gruppi di profili di sicurezza