Informações gerais sobre o grupo de perfis de segurança

Um grupo de perfis de segurança é um contêiner para perfis de segurança. Uma regra de política de firewall faz referência a um grupo de perfis de segurança para ativar a inspeção da camada 7, como prevenção de intrusão, na sua rede.

Neste documento, você encontra informações gerais detalhadas dos grupos de perfis de segurança e dos respectivos recursos.

Especificações

  • Um grupo de perfis de segurança é um recurso no nível da organização.

  • É possível adicionar apenas um perfil de segurança do tipo threat-prevention a um grupo de perfis de segurança.

  • Cada grupo de perfis de segurança é identificado exclusivamente por um URL com os seguintes elementos:

    • ID da organização: ID da organização.
    • Local: escopo do grupo de perfis de segurança. A localização está sempre definida como global.
    • Nome: nome do grupo de perfis de segurança no seguinte formato:
      • Uma string com 1 a 63 caracteres
      • Inclui apenas caracteres alfanuméricos ou hifens (-)
      • Não pode começar com um número

    Para criar um identificador de URL exclusivo para um grupo de perfis de segurança, use o seguinte formato:

    organization/ORGANIZATION_ID/locations/LOCATION/securityProfileGroups/SECURITY_PROFILE_GROUP_NAME
    

    Por exemplo, um grupo de perfil de segurança global example-security-profile-group na organização 2345678432 tem o seguinte identificador exclusivo:

    organization/2345678432/locations/global/securityProfileGroups/example-security-profile-group
    
  • Para executar a inspeção da camada 7 do tráfego de rede, uma regra de política de firewall precisa conter o nome do grupo de perfis de segurança a ser usado pelo endpoint de firewall.

  • Os grupos de perfis de segurança se aplicam às políticas de firewall somente quando você adiciona uma regra de política de firewall com a ação apply_security_profile_group. É possível configurar grupos de perfis de segurança em regras de política hierárquica de firewall e regras de política de firewall da rede global.

  • A regra da política de firewall se aplica ao tráfego de entrada e saída da rede de nuvem privada virtual (VPC). O tráfego correspondente é redirecionado ao endpoint do firewall junto com o nome do grupo de perfis de segurança configurado. O endpoint de firewall usa o perfil de segurança especificado no grupo de perfis de segurança para verificar se há ameaças nos pacotes e aplicar ações configuradas.

    Para saber mais sobre como configurar a prevenção de ameaças, consulte Configurar serviço de prevenção de invasões.

  • Cada grupo de perfis de segurança precisa ter um ID de projeto associado. O projeto associado é usado para faturamento, cotas e restrições de acesso a recursos de grupo de perfil de segurança. Se você autenticar sua conta de serviço usando o comando gcloud auth activate-service-account, será possível associar sua conta de serviço ao grupo de perfis de segurança. Para saber mais sobre como criar um grupo de perfis, consulte Criar e gerenciar grupos de perfis de segurança.

Papéis do Identity and Access Management

Os papéis do Identity and Access Management (IAM) controlam as seguintes ações do grupo de perfis de segurança:

  • Como criar um grupo de perfis de segurança em uma organização
  • Como modificar ou excluir um grupo de perfis de segurança
  • Como visualizar detalhes de um grupo de perfis de segurança
  • Como visualizar uma lista de grupos de perfis de segurança em uma organização
  • Como usar um grupo de perfis de segurança em uma regra de política de firewall

Veja na tabela a seguir os papéis necessários para cada etapa.

Habilidade Papel necessário
Criar um grupo de perfis de segurança Papel compute.networkAdmin na organização em que o grupo de perfis de segurança foi criado.
Modificar um grupo de perfis de segurança Papel compute.networkAdmin na organização em que o grupo de perfis de segurança foi criado.
Visualizar detalhes sobre o grupo de perfis de segurança em uma organização Qualquer um dos seguintes papéis na organização:
compute.networkAdmin
compute.networkViewer
compute.networkUser
Visualizar todos os grupos de perfis de segurança em uma organização Qualquer um dos seguintes papéis na organização:
compute.networkAdmin
compute.networkViewer
compute.networkUser
Usar um grupo de perfis de segurança em uma regra da política de firewall Qualquer um dos seguintes papéis na organização:
compute.networkAdmin
compute.networkUser

A seguir