Um grupo de perfis de segurança é um contêiner para perfis de segurança. Uma regra de política de firewall faz referência a um grupo de perfis de segurança para ativar a inspeção da camada 7, como prevenção de intrusão, na sua rede.
Neste documento, você encontra informações gerais detalhadas dos grupos de perfis de segurança e dos respectivos recursos.
Especificações
Um grupo de perfis de segurança é um recurso no nível da organização.
É possível adicionar apenas um perfil de segurança do tipo
threat-preventiona um grupo de perfis de segurança.Cada grupo de perfis de segurança é identificado exclusivamente por um URL com os seguintes elementos:
- ID da organização: ID da organização.
- Local: escopo do grupo de perfis de segurança. A localização está sempre definida como
global. - Nome: nome do grupo de perfis de segurança no seguinte formato:
- Uma string com 1 a 63 caracteres
- Inclui apenas caracteres alfanuméricos ou hifens (-)
- Não pode começar com um número
Para criar um identificador de URL exclusivo para um grupo de perfis de segurança, use o seguinte formato:
organization/ORGANIZATION_ID/locations/LOCATION/securityProfileGroups/SECURITY_PROFILE_GROUP_NAMEPor exemplo, um grupo de perfil de segurança
globalexample-security-profile-groupna organização2345678432tem o seguinte identificador exclusivo:organization/2345678432/locations/global/securityProfileGroups/example-security-profile-groupPara executar a inspeção da camada 7 do tráfego de rede, uma regra de política de firewall precisa conter o nome do grupo de perfis de segurança a ser usado pelo endpoint de firewall.
Os grupos de perfis de segurança se aplicam às políticas de firewall somente quando você adiciona uma regra de política de firewall com a ação
apply_security_profile_group. É possível configurar grupos de perfis de segurança em regras de política hierárquica de firewall e regras de política de firewall da rede global.A regra da política de firewall se aplica ao tráfego de entrada e saída da rede de nuvem privada virtual (VPC). O tráfego correspondente é redirecionado ao endpoint do firewall junto com o nome do grupo de perfis de segurança configurado. O endpoint de firewall usa o perfil de segurança especificado no grupo de perfis de segurança para verificar se há ameaças nos pacotes e aplicar ações configuradas.
Para saber mais sobre como configurar a prevenção de ameaças, consulte Configurar serviço de prevenção de invasões.
Cada grupo de perfis de segurança precisa ter um ID de projeto associado. O projeto associado é usado para faturamento, cotas e restrições de acesso a recursos de grupo de perfil de segurança. Se você autenticar sua conta de serviço usando o comando
gcloud auth activate-service-account, será possível associar sua conta de serviço ao grupo de perfis de segurança. Para saber mais sobre como criar um grupo de perfis, consulte Criar e gerenciar grupos de perfis de segurança.
Papéis do Identity and Access Management
Os papéis do Identity and Access Management (IAM) controlam as seguintes ações do grupo de perfis de segurança:
- Como criar um grupo de perfis de segurança em uma organização
- Como modificar ou excluir um grupo de perfis de segurança
- Como visualizar detalhes de um grupo de perfis de segurança
- Como visualizar uma lista de grupos de perfis de segurança em uma organização
- Como usar um grupo de perfis de segurança em uma regra de política de firewall
Veja na tabela a seguir os papéis necessários para cada etapa.
| Habilidade | Papel necessário |
|---|---|
| Criar um grupo de perfis de segurança | Papel compute.networkAdmin na organização em que o grupo de perfis de segurança foi criado. |
| Modificar um grupo de perfis de segurança | Papel compute.networkAdmin na organização em que o grupo de perfis de segurança foi criado. |
| Visualizar detalhes sobre o grupo de perfis de segurança em uma organização | Qualquer um dos seguintes papéis na organização: compute.networkAdmin compute.networkViewer compute.networkUser |
| Visualizar todos os grupos de perfis de segurança em uma organização | Qualquer um dos seguintes papéis na organização: compute.networkAdmin compute.networkViewer compute.networkUser |
| Usar um grupo de perfis de segurança em uma regra da política de firewall | Qualquer um dos seguintes papéis na organização: compute.networkAdmin compute.networkUser |