Un groupe de profils de sécurité est un conteneur pour les profils de sécurité. Une règle de stratégie de pare-feu référence un groupe de profils de sécurité pour permettre l'inspection de couche 7, telle que la prévention des intrusions, sur votre réseau.
Ce document fournit une présentation détaillée des groupes de profils de sécurité et de leurs fonctionnalités.
Spécifications
Un groupe de profils de sécurité est une ressource au niveau de l'organisation.
Vous ne pouvez ajouter qu'un seul profil de sécurité de type
threat-preventionà un groupe de profils de sécurité.Chaque groupe de profils de sécurité est identifié de manière unique par une URL comprenant les éléments suivants :
- ID de l'organisation : ID de l'organisation.
- Emplacement : champ d'application du groupe de profils de sécurité. L'emplacement est toujours défini sur
global. - Nom : nom du groupe de profils de sécurité au format suivant :
- Chaîne de 1 à 63 caractères.
- N'inclut que des caractères alphanumériques ou des traits d'union (-).
- Ne doit pas commencer par un chiffre.
Pour créer un identifiant d'URL unique pour un groupe de profils de sécurité, utilisez le format suivant :
organization/ORGANIZATION_ID/locations/LOCATION/securityProfileGroups/SECURITY_PROFILE_GROUP_NAMEPar exemple, un groupe de profil de sécurité
example-security-profile-groupayant le niveau d'accèsglobaldans l'organisation2345678432possède l'identifiant unique suivant :organization/2345678432/locations/global/securityProfileGroups/example-security-profile-groupPour effectuer une inspection de couche 7 du trafic réseau, une règle de stratégie de pare-feu doit contenir le nom du groupe de profils de sécurité qui sera utilisé par le point de terminaison de pare-feu.
Les groupes de profils de sécurité ne s'appliquent aux stratégies de pare-feu que lorsque vous ajoutez une règle de stratégie de pare-feu avec l'action
apply_security_profile_group. Vous pouvez configurer des groupes de profils de sécurité dans les règles de stratégies de pare-feu hiérarchiques et les règles de stratégies de pare-feu de réseau au niveau mondial.La règle de stratégie de pare-feu s'applique au trafic entrant et sortant du réseau cloud privé virtuel (VPC). Le trafic correspondant est redirigé vers le point de terminaison de pare-feu avec le nom du groupe de profils de sécurité configuré. Le point de terminaison de pare-feu utilise le profil de sécurité spécifié dans le groupe de profils de sécurité pour analyser les paquets et détecter les menaces, ainsi que pour appliquer des actions configurées.
Pour en savoir plus sur la configuration de la prévention des menaces, consultez la section Configurer le service de prévention des intrusions.
Chaque groupe de profils de sécurité doit être associé à un ID de projet. Le projet associé est utilisé pour les quotas et les restrictions d'accès aux ressources du groupe de profils de sécurité. Si vous authentifiez votre compte de service à l'aide de la commande
gcloud auth activate-service-account, vous pouvez associer votre compte de service au groupe de profils de sécurité. Pour en savoir plus sur la création d'un groupe de profils, consultez la page Créer et gérer des groupes de profils de sécurité.
Rôles de gestion de l'authentification et des accès (IAM)
Les rôles IAM (Identity and Access Management) régissent les actions du groupe de profils de sécurité suivantes :
- Créer un groupe de profils de sécurité dans une organisation
- Modifier ou supprimer un groupe de profils de sécurité
- Afficher les détails d'un groupe de profils de sécurité
- Afficher la liste des groupes de profils de sécurité dans une organisation
- Utiliser un groupe de profils de sécurité dans une règle de stratégie de pare-feu
Le tableau suivant décrit les rôles nécessaires pour chaque étape.
| Aptitude | Rôle nécessaire |
|---|---|
| Créer un groupe de profils de sécurité | Rôle compute.networkAdmin sur l'organisation où le groupe de profils de sécurité est créé. |
| Modifier un groupe de profils de sécurité | Rôle compute.networkAdmin sur l'organisation où le groupe de profils de sécurité est créé. |
| Afficher les détails du groupe de profils de sécurité d'une organisation | L'un des rôles suivants pour l'organisation : compute.networkAdmin compute.networkViewer compute.networkUser |
| Afficher tous les groupes de profils de sécurité d'une organisation | L'un des rôles suivants pour l'organisation : compute.networkAdmin compute.networkViewer compute.networkUser |
| Utiliser un groupe de profils de sécurité dans une règle de stratégie de pare-feu | L'un des rôles suivants pour l'organisation : compute.networkAdmin compute.networkUser |
Étapes suivantes
- Configurer le service de prévention des intrusions
- Créer et gérer des groupes de profils de sécurité