Informações gerais sobre o grupo de perfis de segurança

Um grupo de perfis de segurança é um contêiner para perfis de segurança. Uma regra de política de firewall faz referência a um grupo de perfis de segurança para ativar a inspeção da camada 7, como prevenção de intrusão, na sua rede.

Neste documento, você encontra informações gerais detalhadas dos grupos de perfis de segurança e dos respectivos recursos.

Especificações

• Um grupo de perfis de segurança é um recurso no nível da organização.

• É possível adicionar apenas um perfil de segurança do tipo threat-prevention a um grupo de perfis de segurança.

• Cada grupo de perfis de segurança é identificado exclusivamente por um URL com os seguintes elementos:

  • ID da organização: ID da organização.
  • Local: escopo do grupo de perfis de segurança. A localização está sempre definida como global.
  • Nome: nome do grupo de perfis de segurança no seguinte formato:
    • Uma string com 1 a 63 caracteres
    • Inclui apenas caracteres alfanuméricos ou hifens (-)
    • Não pode começar com um número

  Para criar um identificador de URL exclusivo para um grupo de perfis de segurança, use o seguinte formato:

  organization/ORGANIZATION_ID/locations/LOCATION/securityProfileGroups/SECURITY_PROFILE_GROUP_NAME
  

  Por exemplo, um grupo de perfil de segurança global example-security-profile-group na organização 2345678432 tem o seguinte identificador exclusivo:

  organization/2345678432/locations/global/securityProfileGroups/example-security-profile-group
  

• Para executar a inspeção da camada 7 do tráfego de rede, uma regra de política de firewall precisa conter o nome do grupo de perfis de segurança a ser usado pelo endpoint de firewall.

• Os grupos de perfis de segurança se aplicam às políticas de firewall somente quando você adiciona uma regra de política de firewall com a ação apply_security_profile_group. É possível configurar grupos de perfis de segurança em regras de política hierárquica de firewall e regras de política de firewall da rede global.

• A regra da política de firewall se aplica ao tráfego de entrada e saída da rede de nuvem privada virtual (VPC). O tráfego correspondente é redirecionado ao endpoint do firewall junto com o nome do grupo de perfis de segurança configurado. O endpoint de firewall usa o perfil de segurança especificado no grupo de perfis de segurança para verificar se há ameaças nos pacotes e aplicar ações configuradas.

  Para saber mais sobre como configurar a prevenção de ameaças, consulte Configurar serviço de prevenção de invasões.

• Cada grupo de perfis de segurança precisa ter um ID de projeto associado. O projeto associado é usado para faturamento, cotas e restrições de acesso a recursos de grupo de perfil de segurança. Se você autenticar sua conta de serviço usando o comando gcloud auth activate-service-account, será possível associar sua conta de serviço ao grupo de perfis de segurança. Para saber mais sobre como criar um grupo de perfis, consulte Criar e gerenciar grupos de perfis de segurança.

Papéis do Identity and Access Management

Os papéis do Identity and Access Management (IAM) controlam as seguintes ações do grupo de perfis de segurança:

• Como criar um grupo de perfis de segurança em uma organização
• Como modificar ou excluir um grupo de perfis de segurança
• Como visualizar detalhes de um grupo de perfis de segurança
• Como visualizar uma lista de grupos de perfis de segurança em uma organização
• Como usar um grupo de perfis de segurança em uma regra de política de firewall

Veja na tabela a seguir os papéis necessários para cada etapa.

Habilidade	Papel necessário
Criar um grupo de perfis de segurança	Papel compute.networkAdmin na organização em que o grupo de perfis de segurança foi criado.
Modificar um grupo de perfis de segurança	Papel compute.networkAdmin na organização em que o grupo de perfis de segurança foi criado.
Visualizar detalhes sobre o grupo de perfis de segurança em uma organização	Qualquer um dos seguintes papéis na organização: compute.networkAdmin compute.networkViewer compute.networkUser
Visualizar todos os grupos de perfis de segurança em uma organização	Qualquer um dos seguintes papéis na organização: compute.networkAdmin compute.networkViewer compute.networkUser
Usar um grupo de perfis de segurança em uma regra da política de firewall	Qualquer um dos seguintes papéis na organização: compute.networkAdmin compute.networkUser

A seguir

• Configurar o serviço de prevenção de invasões
• Criar e gerenciar grupos de perfis de segurança