Mantieni tutto organizzato con le raccolte
Salva e classifica i contenuti in base alle tue preferenze.
Un gruppo di profili di sicurezza è un contenitore per i profili di sicurezza. Una regola dei criteri firewall fa riferimento a un gruppo di profili di sicurezza per attivare l'ispezione di livello 7, ad esempio il servizio di rilevamento e prevenzione delle intrusioni, sulla tua rete.
Questo documento fornisce una panoramica dettagliata dei gruppi di profili di sicurezza e
delle loro funzionalità.
Specifiche
Un gruppo di profili di sicurezza è una risorsa a livello di organizzazione.
Puoi aggiungere un solo profilo di sicurezza
di tipo threat-prevention a un gruppo di profili di sicurezza.
Ogni gruppo di profili di sicurezza è identificato in modo univoco da un URL con
i seguenti elementi:
ID organizzazione:ID dell'organizzazione.
Posizione:ambito del gruppo di profili di sicurezza. La posizione è sempre
impostata su global.
Nome:nome del gruppo di profili di sicurezza nel seguente formato:
Una stringa di lunghezza compresa tra 1 e 63 caratteri
Include solo caratteri alfanumerici o trattini (-)
Non può iniziare con un numero
Per creare un identificatore URL univoco per un gruppo di profili di sicurezza, utilizza il
seguente formato:
Ad esempio, un global gruppo di profili di sicurezza example-security-profile-group nell'organizzazione 2345678432 ha il seguente identificatore univoco:
Per eseguire l'ispezione di livello 7 del traffico di rete, una regola dei criteri firewall
deve contenere il nome del gruppo di profili di sicurezza da utilizzare
dall'endpoint firewall.
La regola dei criteri firewall si applica al traffico in entrata e in uscita della rete Virtual Private Cloud (VPC). Il traffico corrispondente viene reindirizzato
all'endpoint firewall insieme al nome del gruppo di profili di sicurezza configurato.
L'endpoint firewall utilizza il profilo di sicurezza specificato nel gruppo di profili di sicurezza per analizzare i pacchetti alla ricerca di minacce e applicare le azioni configurate.
Ogni gruppo di profili di sicurezza deve avere un ID progetto associato. Il progetto
associato viene utilizzato per le quote e le limitazioni di accesso alle risorse del gruppo di profili di sicurezza. Se autentichi il account di servizio utilizzando il
comando gcloud auth activate-service-account,
puoi associare il account di servizio al gruppo di profili di sicurezza.
Per scoprire di più su come creare un gruppo di profili,
consulta Creare e gestire gruppi di profili di sicurezza.
Ruoli Identity and Access Management
I ruoli IAM (Identity and Access Management) regolano le seguenti azioni del gruppo di profili di sicurezza:
Creazione di un gruppo di profili di sicurezza in un'organizzazione
Modificare o eliminare un gruppo di profili di sicurezza
Visualizzare i dettagli di un gruppo di profili di sicurezza
Visualizzare un elenco di gruppi di profili di sicurezza in un'organizzazione
Utilizzo di un gruppo di profili di sicurezza in una regola del criterio firewall
La tabella seguente descrive i ruoli necessari per ogni passaggio.
[[["Facile da capire","easyToUnderstand","thumb-up"],["Il problema è stato risolto","solvedMyProblem","thumb-up"],["Altra","otherUp","thumb-up"]],[["Difficile da capire","hardToUnderstand","thumb-down"],["Informazioni o codice di esempio errati","incorrectInformationOrSampleCode","thumb-down"],["Mancano le informazioni o gli esempi di cui ho bisogno","missingTheInformationSamplesINeed","thumb-down"],["Problema di traduzione","translationIssue","thumb-down"],["Altra","otherDown","thumb-down"]],["Ultimo aggiornamento 2025-09-11 UTC."],[[["\u003cp\u003eSecurity profile groups are containers for security profiles, enabling Layer 7 inspection on network traffic when referenced in a firewall policy rule.\u003c/p\u003e\n"],["\u003cp\u003eEach security profile group is uniquely identified by a URL that includes the organization ID, location (always global), and a name that follows specific formatting rules.\u003c/p\u003e\n"],["\u003cp\u003eFirewall policy rules must specify a security profile group with the \u003ccode\u003eapply_security_profile_group\u003c/code\u003e action to redirect traffic to the firewall endpoint for threat scanning.\u003c/p\u003e\n"],["\u003cp\u003eSecurity profile groups can only contain one \u003ccode\u003ethreat-prevention\u003c/code\u003e security profile and their access is governed by IAM roles, such as Security Profile Admin, compute network viewer and compute network user.\u003c/p\u003e\n"],["\u003cp\u003eEach security profile group is associated with a project ID for managing quotas and access restrictions.\u003c/p\u003e\n"]]],[],null,["# Security profile group overview\n\nA security profile group is a container for security profiles. A firewall\npolicy rule references a security profile group to enable Layer 7 inspection,\nsuch as [intrusion detection and prevention service](/firewall/docs/about-intrusion-prevention),\non your network.\n\nThis document provides a detailed overview of security profile groups and\ntheir capabilities.\n\nSpecifications\n--------------\n\n- A security profile group is an organizational level resource.\n\n- You can add only one [security profile](/firewall/docs/about-security-profiles)\n of type `threat-prevention` to a security profile group.\n\n- Each security profile group is uniquely identified by a URL with\n the following elements:\n\n - **Organization ID:** ID of the organization.\n - **Location:** scope of the security profile group. Location is always set to `global`.\n - **Name:** security profile group name in the following format:\n - A string 1-63 characters long\n - Includes only alphanumeric characters or hyphens (-)\n - Must not start with a number\n\n To construct a unique URL identifier for a security profile group, use the\n following format: \n\n organization/\u003cvar translate=\"no\"\u003eORGANIZATION_ID\u003c/var\u003e/locations/\u003cvar translate=\"no\"\u003eLOCATION\u003c/var\u003e/securityProfileGroups/\u003cvar translate=\"no\"\u003eSECURITY_PROFILE_GROUP_NAME\u003c/var\u003e\n\n For example, a `global` security profile group `example-security-profile-group` in\n organization `2345678432` has the following unique identifier: \n\n organization/2345678432/locations/global/securityProfileGroups/example-security-profile-group\n\n- To perform Layer 7 inspection of the network traffic, a firewall policy rule\n must contain the name of the security profile group to be used by the\n firewall endpoint.\n\n- Security profile groups apply to firewall policies only when you add a\n firewall policy rule with action `apply_security_profile_group`. You can\n configure security profile groups in\n [hierarchical firewall policy rules](/firewall/docs/using-firewall-policies#create-rules)\n and [global network firewall policy rules](/firewall/docs/use-network-firewall-policies#create-rules).\n\n- The firewall policy rule applies to incoming and outgoing traffic of the\n Virtual Private Cloud (VPC) network. The matched traffic is redirected\n to the firewall endpoint along with the configured security profile group name.\n The firewall endpoint uses the security profile specified in the security\n profile group to scan the packets for threats and apply configured actions.\n\n To learn more about how to configure threat prevention, see\n [Configure intrusion detection and prevention service](/firewall/docs/configure-intrusion-prevention).\n- Each security profile group must have an associated project ID. The associated\n project is used for quotas and access restrictions on security\n profile group resources. If you authenticate your service account by using the\n [`gcloud auth activate-service-account` command](/sdk/gcloud/reference/auth/activate-service-account),\n you can associate your service account with the security profile group.\n To learn more about how to create a profile group,\n see [Create and manage security profile groups](/firewall/docs/configure-security-profile-groups#create-security-profile-group).\n\nIdentity and Access Management roles\n------------------------------------\n\nIdentity and Access Management (IAM) roles govern the following security profile group actions:\n\n- Creating a security profile group in an organization\n- Modifying or deleting a security profile group\n- Viewing details of a security profile group\n- Viewing a list of security profile groups in an organization\n- Using a security profile group in a firewall policy rule\n\nThe following table describes the roles that are necessary for each step.\n\nWhat's next\n-----------\n\n- [Configure intrusion detection and prevention service](/firewall/docs/configure-intrusion-prevention)\n- [Create and manage security profile groups](/firewall/docs/configure-security-profile-groups)"]]
