Un grupo de perfiles de seguridad es un contenedor de perfiles de seguridad. Una regla de política de cortafuegos hace referencia a un grupo de perfiles de seguridad para habilitar la inspección de la capa 7, como el servicio de detección y prevención de intrusiones, en tu red.
En este documento se ofrece una descripción detallada de los grupos de perfiles de seguridad y sus funciones.
Especificaciones
Un grupo de perfiles de seguridad es un recurso a nivel de organización.
Solo puedes añadir un perfil de seguridad de tipo
threat-preventiona un grupo de perfiles de seguridad.Cada grupo de perfiles de seguridad se identifica de forma única mediante una URL con los siguientes elementos:
- ID de organización: ID de la organización.
- Ubicación: ámbito del grupo de perfiles de seguridad. La ubicación siempre se define como
global. - Nombre: nombre del grupo de perfiles de seguridad con el siguiente formato:
- Una cadena de entre 1 y 63 caracteres
- Solo incluye caracteres alfanuméricos o guiones (-).
- No puede empezar por un número
Para crear un identificador de URL único para un grupo de perfiles de seguridad, usa el siguiente formato:
organization/ORGANIZATION_ID/locations/LOCATION/securityProfileGroups/SECURITY_PROFILE_GROUP_NAMEPor ejemplo, un
globalgrupo de perfiles de seguridadexample-security-profile-groupde la organización2345678432tiene el siguiente identificador único:organization/2345678432/locations/global/securityProfileGroups/example-security-profile-groupPara realizar una inspección de capa 7 del tráfico de red, una regla de política de cortafuegos debe contener el nombre del grupo de perfiles de seguridad que va a usar el endpoint del cortafuegos.
Los grupos de perfiles de seguridad solo se aplican a las políticas de cortafuegos cuando se añade una regla de política de cortafuegos con la acción
apply_security_profile_group. Puedes configurar grupos de perfiles de seguridad en reglas de políticas de cortafuegos jerárquicas y reglas de políticas de cortafuegos de red globales.La regla de la política de cortafuegos se aplica al tráfico entrante y saliente de la red de nube privada virtual (VPC). El tráfico coincidente se redirige al endpoint del cortafuegos junto con el nombre del grupo de perfiles de seguridad configurado. El endpoint del cortafuegos usa el perfil de seguridad especificado en el grupo de perfiles de seguridad para analizar los paquetes en busca de amenazas y aplicar las acciones configuradas.
Para obtener más información sobre cómo configurar la prevención de amenazas, consulte Configurar el servicio de detección y prevención de intrusiones.
Cada grupo de perfiles de seguridad debe tener un ID de proyecto asociado. El proyecto asociado se usa para las cuotas y las restricciones de acceso a los recursos del grupo de perfiles de seguridad. Si autenticas tu cuenta de servicio con el comando
gcloud auth activate-service-account, puedes asociar tu cuenta de servicio con el grupo de perfiles de seguridad. Para obtener más información sobre cómo crear un grupo de perfiles, consulta Crear y gestionar grupos de perfiles de seguridad.
Roles de Gestión de Identidades y Accesos
Los roles de Gestión de Identidades y Accesos (IAM) rigen las siguientes acciones de grupos de perfiles de seguridad:
- Crear un grupo de perfiles de seguridad en una organización
- Modificar o eliminar un grupo de perfiles de seguridad
- Ver los detalles de un grupo de perfiles de seguridad
- Ver una lista de grupos de perfiles de seguridad de una organización
- Usar un grupo de perfiles de seguridad en una regla de política de cortafuegos
En la siguiente tabla se describen los roles necesarios para cada paso.
| Habilidad | Rol necesario |
|---|---|
| Crear un grupo de perfiles de seguridad | Rol Administrador de perfil de seguridad en la organización en la que se crea el grupo de perfiles de seguridad. |
| Modificar un grupo de perfiles de seguridad | Administrador de perfil de seguridad en la organización en la que se crea el grupo de perfiles de seguridad. |
| Ver detalles sobre el grupo de perfiles de seguridad de una organización | Cualquiera de los siguientes roles de la organización: Administrador de perfil de seguridad compute.networkViewer compute.networkUser |
| Ver todos los grupos de perfiles de seguridad de una organización | Cualquiera de los siguientes roles de la organización: Administrador de perfil de seguridad compute.networkViewer compute.networkUser |
| Usar un grupo de perfiles de seguridad en una regla de política de cortafuegos | Cualquiera de los siguientes roles de la organización: Administrador de perfil de seguridad compute.networkUser |
Siguientes pasos
- Configurar el servicio de detección y prevención de intrusos
- Crear y gestionar grupos de perfiles de seguridad