Um grupo de perfis de segurança é um contentor para perfis de segurança. Uma regra de política de firewall faz referência a um grupo de perfis de segurança para ativar a inspeção da camada 7, como o serviço de deteção e prevenção de intrusões, na sua rede.
Este documento oferece uma vista geral detalhada dos grupos de perfis de segurança e das respetivas capacidades.
Especificações
Um grupo de perfis de segurança é um recurso ao nível da organização.
Só pode adicionar um perfil de segurança do tipo
threat-preventiona um grupo de perfis de segurança.Cada grupo de perfis de segurança é identificado exclusivamente por um URL com os seguintes elementos:
- ID da organização: ID da organização.
- Localização: âmbito do grupo de perfis de segurança. A localização está sempre
definida como
global. - Nome: nome do grupo de perfis de segurança no seguinte formato:
- Uma string com 1 a 63 carateres
- Inclui apenas carateres alfanuméricos ou hífenes (-)
- Não pode começar com um número
Para criar um identificador de URL exclusivo para um grupo de perfis de segurança, use o seguinte formato:
organization/ORGANIZATION_ID/locations/LOCATION/securityProfileGroups/SECURITY_PROFILE_GROUP_NAMEPor exemplo, um
globalgrupo de perfis de segurançaexample-security-profile-groupna organização2345678432tem o seguinte identificador exclusivo:organization/2345678432/locations/global/securityProfileGroups/example-security-profile-groupPara realizar a inspeção da camada 7 do tráfego de rede, uma regra de política de firewall tem de conter o nome do grupo de perfis de segurança a ser usado pelo ponto final da firewall.
Os grupos de perfis de segurança aplicam-se às políticas de firewall apenas quando adiciona uma regra de política de firewall com a ação
apply_security_profile_group. Pode configurar grupos de perfis de segurança em regras de políticas de firewall hierárquicas e regras de políticas de firewall de rede globais.A regra de política de firewall aplica-se ao tráfego de entrada e saída da rede de nuvem virtual privada (VPC). O tráfego correspondente é redirecionado para o ponto final da firewall juntamente com o nome do grupo do perfil de segurança configurado. O ponto final da firewall usa o perfil de segurança especificado no grupo de perfis de segurança para analisar os pacotes em busca de ameaças e aplicar ações configuradas.
Para saber como configurar a prevenção contra ameaças, consulte o artigo Configure o serviço de deteção e prevenção de intrusões.
Cada grupo de perfis de segurança tem de ter um ID do projeto associado. O projeto associado é usado para quotas e restrições de acesso a recursos do grupo de perfis de segurança. Se autenticar a sua conta de serviço através do comando
gcloud auth activate-service-account, pode associar a conta de serviço ao grupo de perfis de segurança. Para saber como criar um grupo de perfis, consulte o artigo Crie e faça a gestão de grupos de perfis de segurança.
Funções de gestão de identidade e de acesso
As funções da gestão de identidade e de acesso (IAM) regem as seguintes ações do grupo de perfis de segurança:
- Criar um grupo de perfis de segurança numa organização
- Modificar ou eliminar um grupo de perfis de segurança
- Ver detalhes de um grupo de perfis de segurança
- Ver uma lista de grupos de perfis de segurança numa organização
- Usar um grupo de perfis de segurança numa regra de política de firewall
A tabela seguinte descreve as funções necessárias para cada passo.
| Capacidade | Função necessária |
|---|---|
| Crie um grupo de perfis de segurança | Função Administrador do perfil de segurança na organização onde o grupo do perfil de segurança é criado. |
| Modifique um grupo de perfis de segurança | Função Administrador do perfil de segurança na organização onde o grupo do perfil de segurança é criado. |
| Veja detalhes sobre o grupo de perfis de segurança numa organização | Qualquer uma das seguintes funções para a organização: Administrador do perfil de segurança compute.networkViewer compute.networkUser |
| Veja todos os grupos de perfis de segurança numa organização | Qualquer uma das seguintes funções para a organização: Administrador do perfil de segurança compute.networkViewer compute.networkUser |
| Use um grupo de perfis de segurança numa regra de política de firewall | Qualquer uma das seguintes funções para a organização: Administrador do perfil de segurança compute.networkUser |
O que se segue?
- Configure o serviço de deteção e prevenção de intrusões
- Crie e faça a gestão de grupos de perfis de segurança