Panoramica del gruppo di profili di sicurezza

Un gruppo di profili di sicurezza è un contenitore per i profili di sicurezza. Una regola di criterio firewall fa riferimento a un gruppo di profili di sicurezza per abilitare l'ispezione di livello 7, come la prevenzione delle intrusioni, sulla tua rete.

Questo documento fornisce una panoramica dettagliata dei gruppi di profili di sicurezza e delle loro funzionalità.

Specifiche

  • Un gruppo di profili di sicurezza è una risorsa a livello di organizzazione.

  • Puoi aggiungere un solo profilo di sicurezza di tipo threat-prevention a un gruppo di profili di sicurezza.

  • Ogni gruppo di profili di sicurezza viene identificato in modo univoco da un URL con i seguenti elementi:

    • Organization ID (ID organizzazione): l'ID dell'organizzazione.
    • Posizione: l'ambito del gruppo di profili di sicurezza. La località è sempre impostata su global.
    • Nome:il nome del gruppo di profili di sicurezza nel seguente formato:
      • Una stringa da 1 a 63 caratteri
      • Include solo caratteri alfanumerici o trattini (-)
      • Non deve iniziare con un numero

    Per creare un identificatore URL univoco per un gruppo di profili di sicurezza, utilizza il formato seguente:

    organization/ORGANIZATION_ID/locations/LOCATION/securityProfileGroups/SECURITY_PROFILE_GROUP_NAME
    

    Ad esempio, un profilo di sicurezza globalexample-security-profile-group nell'organizzazione 2345678432 ha il seguente identificatore univoco:

    organization/2345678432/locations/global/securityProfileGroups/example-security-profile-group
    
  • Per eseguire l'ispezione di livello 7 del traffico di rete, una regola del criterio firewall deve contenere il nome del gruppo di profili di sicurezza che deve essere utilizzato dall'endpoint del firewall.

  • I gruppi di profili di sicurezza si applicano ai criteri firewall solo quando aggiungi una regola del criterio firewall con l'azione apply_security_profile_group. Puoi configurare i gruppi di profili di sicurezza in regole dei criteri firewall gerarchici e regole di criteri firewall di rete globali.

  • La regola del criterio firewall si applica al traffico in entrata e in uscita della rete Virtual Private Cloud (VPC). Il traffico corrispondente viene reindirizzato all'endpoint firewall insieme al nome del gruppo di profili di sicurezza configurato. L'endpoint firewall utilizza il profilo di sicurezza specificato nel gruppo di profili di sicurezza per analizzare i pacchetti alla ricerca di minacce e applicare le azioni configurate.

    Per saperne di più su come configurare la prevenzione delle minacce, consulta Configurare il servizio di prevenzione delle intrusioni.

  • A ogni gruppo di profili di sicurezza deve essere associato un ID progetto. Il progetto associato viene utilizzato per le quote e le limitazioni di accesso alle risorse del gruppo di profili di sicurezza. Se autentichi il tuo account di servizio utilizzando il comando gcloud auth activate-service-account, puoi associare il tuo account di servizio al gruppo di profili di sicurezza. Per scoprire di più su come creare un gruppo di profili, vedi Creare e gestire i gruppi di profili di sicurezza.

Ruoli di Identity and Access Management

I ruoli IAM (Identity and Access Management) regolano le seguenti azioni relative al gruppo di profili di sicurezza:

  • Creazione di un gruppo di profili di sicurezza in un'organizzazione
  • Modifica o eliminazione di un gruppo di profili di sicurezza
  • Visualizzazione dei dettagli di un gruppo di profili di sicurezza
  • Visualizzazione di un elenco di gruppi di profili di sicurezza in un'organizzazione
  • Utilizzo di un gruppo di profili di sicurezza in una regola di criterio firewall

La tabella seguente descrive i ruoli necessari per ogni passaggio.

Abilità Ruolo necessario
Crea un gruppo di profili di sicurezza Ruolo compute.networkAdmin nell'organizzazione in cui viene creato il gruppo di profili di sicurezza.
Modificare un gruppo di profili di sicurezza Ruolo compute.networkAdmin nell'organizzazione in cui viene creato il gruppo di profili di sicurezza.
Visualizzare i dettagli del gruppo di profili di sicurezza di un'organizzazione Uno dei seguenti ruoli per l'organizzazione:
compute.networkAdmin
compute.networkViewer
compute.networkUser
Visualizzare tutti i gruppi di profili di sicurezza di un'organizzazione Uno dei seguenti ruoli per l'organizzazione:
compute.networkAdmin
compute.networkViewer
compute.networkUser
Utilizza un gruppo di profili di sicurezza in una regola di criterio firewall Uno dei seguenti ruoli per l'organizzazione:
compute.networkAdmin
compute.networkUser

Passaggi successivi