Los perfiles de seguridad te ayudan a definir la política de inspección de la capa 7 de tusGoogle Cloud recursos. Son estructuras de políticas genéricas que usan los endpoints de cortafuegos para analizar el tráfico interceptado y proporcionar servicios de capa de aplicación, como la detección y la prevención de intrusiones.
En este documento se ofrece una descripción detallada de los perfiles de seguridad y sus funciones.
Especificaciones
Un perfil de seguridad es un recurso a nivel de organización.
Cloud Next Generation Firewall admite perfiles de seguridad de tipo
threat prevention.Cada perfil de seguridad se identifica de forma única mediante una URL con los siguientes elementos:
- ID de organización: ID de la organización.
- Ubicación: ámbito del perfil de seguridad. La ubicación siempre se define como
global. - Nombre: nombre del perfil de seguridad con el siguiente formato:
- Una cadena de entre 1 y 63 caracteres
- Solo incluye caracteres alfanuméricos o guiones (-).
- No puede empezar por un número
Para crear un identificador de URL único para un perfil de seguridad, usa el siguiente formato:
organization/ORGANIZATION_ID/locations/LOCATION/securityProfiles/SECURITY_PROFILE_NAMEPor ejemplo, un
globalperfil de seguridadexample-security-profilede la organización2345678432tiene el siguiente identificador único:organization/2345678432/locations/global/securityProfiles/example-security-profileDespués de crear un perfil de seguridad, puedes adjuntarlo a un grupo de perfiles de seguridad o hacerlo más adelante. El perfil de seguridad se referencia en la política de cortafuegos de la red de nube privada virtual (VPC) en la que quieras aplicar la inspección de la capa 7.
Cada perfil de seguridad debe tener un ID de proyecto asociado. El proyecto asociado se usa para las cuotas y las restricciones de acceso a los recursos del perfil de seguridad. Si autenticas tu cuenta de servicio con el comando
gcloud auth activate-service-account, puedes asociar tu cuenta de servicio al perfil de seguridad. Para obtener más información sobre cómo crear un perfil de seguridad, consulta el artículo Crear y gestionar perfiles de seguridad.
Perfil de seguridad de prevención de amenazas
Cloud NGFW usa perfiles de seguridad de prevención de amenazas para ofrecer un servicio de detección y prevención de intrusos.
Cuando creas un perfil de seguridad de tipo threat-prevention, se añaden al perfil las siguientes firmas de amenazas predeterminadas con la gravedad predeterminada y las acciones asociadas:
- Firmas de detección de vulnerabilidades
- Firmas antispyware
- Firmas de antivirus
- Firmas DNS
Puede añadir anulaciones de gravedad a sus perfiles de seguridad. Cada firma predeterminada tiene un nivel de gravedad de la amenaza. El nivel de gravedad indica el riesgo de la amenaza detectada. Cada nivel de gravedad también tiene una acción predeterminada asociada. La acción predeterminada especifica las medidas que toma Cloud NGFW para gestionar las amenazas con un nivel de gravedad específico. Puedes usar perfiles de seguridad para anular la acción predeterminada de un nivel de gravedad.
Se admiten las siguientes acciones:
- Sin anulación: realiza la acción predeterminada asociada a la amenaza.
- Denegar: registra la amenaza y descarta el paquete.
- Alerta: registra la amenaza y permite la sesión.
- Permitir: ignora la amenaza, si se detecta.
Cuando creas un perfil de seguridad, la acción de anulación predeterminada para todos los niveles de gravedad se define como No override.
También puedes añadir anulaciones de firma a tus perfiles de seguridad. Cada firma de amenaza tiene una acción predeterminada asociada. Puedes usar perfiles de seguridad para anular las acciones predeterminadas de las firmas de amenazas mediante las acciones anteriores. Las anulaciones de firmas tienen prioridad sobre las anulaciones de gravedad.
Para obtener más información sobre cómo configurar la prevención de amenazas, consulte Configurar el servicio de detección y prevención de intrusiones.
Roles de Gestión de Identidades y Accesos
Los roles de Gestión de Identidades y Accesos (IAM) rigen las siguientes acciones de los perfiles de seguridad:
- Crear un perfil de seguridad en una organización
- Modificar o eliminar un perfil de seguridad
- Ver los detalles de un perfil de seguridad
- Ver una lista de perfiles de seguridad de una organización
- Usar un perfil de seguridad en un grupo de perfiles de seguridad
En la siguiente tabla se describen los roles necesarios para cada paso.
| Habilidad | Rol necesario |
|---|---|
| Crear un perfil de seguridad | Administrador de perfil de seguridad en la organización en la que se crea el perfil de seguridad. |
| Modificar un perfil de seguridad | Rol Administrador de perfil de seguridad en la organización en la que se crea el perfil de seguridad. |
| Ver los detalles del perfil de seguridad de una organización | Cualquiera de los siguientes roles de la organización: Administrador de perfil de seguridad compute.networkViewer compute.networkUser |
| Ver todos los perfiles de seguridad de una organización | Cualquiera de los siguientes roles de la organización: Administrador de perfil de seguridad compute.networkViewer compute.networkUser |
| Usar un perfil de seguridad en un grupo de perfiles de seguridad | Cualquiera de los siguientes roles de la organización: Administrador de perfil de seguridad compute.networkUser |
Cuotas
Para ver las cuotas asociadas a los perfiles de seguridad, consulta Cuotas y límites.
Precios
Los precios de los perfiles de seguridad se describen en la página Precios de Cloud NGFW.
Siguientes pasos
- Configurar el servicio de detección y prevención de intrusos
- Crear y gestionar perfiles de seguridad