Un gruppo di profili di sicurezza è un contenitore per i profili di sicurezza. Un firewall la regola del criterio fa riferimento a un gruppo di profili di sicurezza per abilitare l'ispezione di livello 7, come la prevenzione delle intrusioni, sulla tua rete.
Questo documento fornisce una panoramica dettagliata dei gruppi di profili di sicurezza e le loro capacità.
Specifiche
Un gruppo di profili di sicurezza è una risorsa a livello di organizzazione.
Puoi aggiungere un solo profilo di sicurezza di tipo
threat-preventiona un gruppo di profili di sicurezza.Ogni gruppo di profili di sicurezza è identificato in modo univoco da un URL con i seguenti elementi:
- Organization ID:ID dell'organizzazione.
- Località:ambito del gruppo di profili di sicurezza. La località è sempre
impostato su
global. - Nome:nome del gruppo di profili di sicurezza nel seguente formato:
- .
- Una stringa di lunghezza compresa tra 1 e 63 caratteri
- Include solo caratteri alfanumerici o trattini (-)
- Non deve iniziare con un numero
Per creare un identificatore URL univoco per un gruppo di profili di sicurezza, utilizza la classe seguente formato:
organization/ORGANIZATION_ID/locations/LOCATION/securityProfileGroups/SECURITY_PROFILE_GROUP_NAMEAd esempio, un gruppo di profili di sicurezza
globalexample-security-profile-groupin l'organizzazione2345678432ha il seguente identificatore univoco:organization/2345678432/locations/global/securityProfileGroups/example-security-profile-groupPer eseguire l'ispezione di livello 7 del traffico di rete, una regola di criterio firewall deve contenere il nome del gruppo di profili di sicurezza che deve essere utilizzato dal dell'endpoint firewall.
I gruppi di profili di sicurezza si applicano ai criteri firewall solo se aggiungi un regola del criterio firewall con azione
apply_security_profile_group. Puoi e configurare i gruppi di profili di sicurezza in regole dei criteri firewall gerarchici e le regole dei criteri firewall di rete globali.La regola del criterio firewall si applica al traffico in entrata e in uscita del una rete VPC (Virtual Private Cloud). Il traffico corrispondente viene reindirizzato all'endpoint firewall insieme al nome del gruppo di profili di sicurezza configurato. L'endpoint firewall utilizza il profilo di sicurezza specificato nella del profilo per scansionare i pacchetti alla ricerca di minacce e applicare le azioni configurate.
Per saperne di più su come configurare la prevenzione delle minacce, consulta Configurare il servizio di prevenzione delle intrusioni.
A ogni gruppo di profili di sicurezza deve essere associato un ID progetto. L'attributo associato progetto viene utilizzato per le quote e le restrizioni di accesso sulla sicurezza delle risorse del gruppo di profili. Se autentichi il tuo account di servizio utilizzando Comando
gcloud auth activate-service-account, puoi associare il tuo account di servizio al gruppo di profili di sicurezza. Per scoprire di più su come creare un gruppo di profili, consulta Creare e gestire gruppi di profili di sicurezza.
Ruoli di Identity and Access Management
I ruoli IAM (Identity and Access Management) regolano le seguenti azioni per i gruppi di profili di sicurezza:
- Creazione di un gruppo di profili di sicurezza in un'organizzazione
- Modifica o eliminazione di un gruppo di profili di sicurezza
- Visualizzazione dei dettagli di un gruppo di profili di sicurezza
- Visualizzazione di un elenco di gruppi di profili di sicurezza in un'organizzazione
- Utilizzo di un gruppo di profili di sicurezza in una regola del criterio firewall
La tabella seguente descrive i ruoli necessari per ogni passaggio.
| Abilità | Ruolo necessario |
|---|---|
| Crea un gruppo di profili di sicurezza | compute.networkAdmin per l'organizzazione in cui è stato creato il gruppo di profili di sicurezza. |
| Modificare un gruppo di profili di sicurezza | compute.networkAdmin per l'organizzazione in cui è stato creato il gruppo di profili di sicurezza. |
| Visualizzare i dettagli sul gruppo di profili di sicurezza in un'organizzazione | Uno dei seguenti ruoli per l'organizzazione: compute.networkAdmin compute.networkViewer compute.networkUser |
| Visualizzare tutti i gruppi di profili di sicurezza in un'organizzazione | Uno dei seguenti ruoli per l'organizzazione: compute.networkAdmin compute.networkViewer compute.networkUser |
| Utilizzare un gruppo di profili di sicurezza in una regola del criterio firewall | Uno dei seguenti ruoli per l'organizzazione: compute.networkAdmin compute.networkUser |
Passaggi successivi
- Configura il servizio di prevenzione delle intrusioni
- Creare e gestire gruppi di profili di sicurezza