Descripción general del grupo de perfiles de seguridad

Un grupo de perfil de seguridad es un contenedor de perfiles de seguridad. Una regla de políticas de firewall hace referencia a un grupo de perfiles de seguridad para habilitar la inspección de la Capa 7, como la prevención de intrusiones en tu red.

En este documento, se proporciona una descripción general detallada de los grupos de perfiles de seguridad y sus capacidades.

Especificaciones

  • Un grupo de perfiles de seguridad es un recurso a nivel organizacional.

  • Solo puedes agregar un perfil de seguridad de tipo threat-prevention a un grupo de perfiles de seguridad.

  • Cada grupo de perfiles de seguridad se identifica de forma única mediante una URL con los siguientes elementos:

    • ID de la organización: ID de la organización.
    • Ubicación: permiso del grupo de perfiles de seguridad. La ubicación siempre está configurada como global.
    • Nombre: nombre del grupo de perfiles de seguridad con el siguiente formato:
      • Una string de 1 a 63 caracteres
      • Solo incluye caracteres alfanuméricos o guiones (-)
      • No debe comenzar con un número

    A fin de crear un identificador de URL único para un grupo de perfiles de seguridad, usa el siguiente formato:

    organization/ORGANIZATION_ID/locations/LOCATION/securityProfileGroups/SECURITY_PROFILE_GROUP_NAME
    

    Por ejemplo, un perfil de seguridad global example-security-profile-group en la organización 2345678432 tiene el siguiente identificador único:

    organization/2345678432/locations/global/securityProfileGroups/example-security-profile-group
    
  • Para realizar la inspección de la Capa 7 del tráfico de red, una regla de política de firewall debe contener el nombre del grupo de perfil de seguridad que usará el extremo de firewall.

  • Los grupos de perfiles de seguridad se aplican a las políticas de firewall solo cuando agregas una regla de política de firewall con la acción apply_security_profile_group. Puedes configurar grupos de perfiles de seguridad en reglas de políticas de firewall jerárquicas y reglas de políticas de firewall de red globales.

  • La regla de la política de firewall se aplica al tráfico entrante y saliente de la red de nube privada virtual (VPC). El tráfico coincidente se redirecciona al extremo de firewall junto con el nombre del grupo de perfiles de seguridad configurado. El extremo de firewall usa el perfil de seguridad especificado en el grupo de perfiles de seguridad para analizar los paquetes en busca de amenazas y aplicar acciones configuradas.

    Para obtener más información sobre cómo configurar la prevención de amenazas, consulta Configura el servicio de prevención de intrusiones.

  • Cada grupo de perfiles de seguridad debe tener un ID del proyecto asociado. El proyecto asociado se usa para las cuotas y las restricciones de acceso en los recursos del grupo de perfiles de seguridad. Si autenticas la cuenta de servicio con el comando gcloud auth activate-service-account, puedes asociarla con el grupo de perfiles de seguridad. Si deseas obtener más información para crear un grupo de perfiles, consulta Crea y administra grupos de perfiles de seguridad.

Funciones de Identity and Access Management

Los roles de Identity and Access Management (IAM) rigen las siguientes acciones de grupo de perfil de seguridad:

  • Crear un grupo de perfiles de seguridad en una organización
  • Modifica o borra un grupo de perfiles de seguridad
  • Visualiza los detalles de un grupo de perfiles de seguridad
  • Visualiza una lista de los grupos de perfiles de seguridad de una organización
  • Usa un grupo de perfiles de seguridad en una regla de política de firewall

En la siguiente tabla, se describen los roles necesarios para cada paso.

Capacidad Rol necesario
Crear un grupo de perfil de seguridad Rol compute.networkAdmin en la organización en la que se crea el grupo de perfiles de seguridad.
Modificar un grupo de perfiles de seguridad Rol compute.networkAdmin en la organización en la que se crea el grupo de perfiles de seguridad.
Visualizar los detalles del grupo de perfiles de seguridad de una organización Cualquiera de los siguientes roles para la organización:
compute.networkAdmin
compute.networkViewer
compute.networkUser
Visualiza todos los grupos de perfiles de seguridad de una organización Cualquiera de los siguientes roles para la organización:
compute.networkAdmin
compute.networkViewer
compute.networkUser
Usar un grupo de perfiles de seguridad en una regla de política de firewall Cualquiera de los siguientes roles para la organización:
compute.networkAdmin
compute.networkUser

¿Qué sigue?