Os perfis de segurança ajudam a definir a política de inspeção da camada 7 para os seus Google Cloud recursos. São estruturas de políticas genéricas que são usadas pelos pontos finais da firewall para analisar o tráfego intercetado de modo a fornecer serviços da camada de aplicação, como a deteção e a prevenção de intrusões.
Este documento oferece uma vista geral detalhada dos perfis de segurança e das respetivas capacidades.
Especificações
Um perfil de segurança é um recurso ao nível da organização.
A firewall de nova geração da nuvem suporta perfis de segurança do tipo
threat prevention.Cada perfil de segurança é identificado de forma exclusiva por um URL com os seguintes elementos:
- ID da organização: ID da organização.
- Localização: âmbito do perfil de segurança. A localização está sempre
definida como
global. - Nome: nome do perfil de segurança no seguinte formato:
- Uma string com 1 a 63 carateres
- Inclui apenas carateres alfanuméricos ou hífenes (-)
- Não pode começar com um número
Para criar um identificador de URL exclusivo para um perfil de segurança, use o seguinte formato:
organization/ORGANIZATION_ID/locations/LOCATION/securityProfiles/SECURITY_PROFILE_NAMEPor exemplo, um
globalperfil de segurançaexample-security-profilena organização2345678432tem o seguinte identificador exclusivo:organization/2345678432/locations/global/securityProfiles/example-security-profileDepois de criar um perfil de segurança, tem a opção de o anexar a um grupo de perfis de segurança ou anexá-lo mais tarde. Este grupo de perfis de segurança é referenciado pela política de firewall da rede de nuvem virtual privada (VPC) onde quer aplicar a inspeção da camada 7.
Cada perfil de segurança tem de ter um ID do projeto associado. O projeto associado é usado para quotas e restrições de acesso em recursos do perfil de segurança. Se autenticar a sua conta de serviço através do comando
gcloud auth activate-service-account, pode associar a conta de serviço ao perfil de segurança. Para saber como criar um perfil de segurança, consulte o artigo Crie e faça a gestão de perfis de segurança.
Perfil de segurança de prevenção contra ameaças
O Cloud NGFW usa perfis de segurança de prevenção de ameaças para fornecer um serviço de deteção e prevenção de intrusões.
Quando cria um perfil de segurança do tipo threat-prevention, as seguintes
assinaturas de ameaças predefinidas
com gravidade predefinida e ações associadas são adicionadas ao perfil:
- Assinaturas de deteção de vulnerabilidades
- Assinaturas de anti-spyware
- Assinaturas de antivírus
- Assinaturas DNS
Tem a opção de adicionar substituições de gravidade aos seus perfis de segurança. Cada assinatura predefinida tem um nível de gravidade da ameaça. O nível de gravidade indica o risco da ameaça detetada. Cada nível de gravidade também tem uma ação predefinida associada. A ação predefinida especifica as medidas que o Cloud NGFW toma para lidar com ameaças com um nível de gravidade específico. Pode usar perfis de segurança para substituir a ação predefinida para um nível de gravidade.
As seguintes ações são suportadas:
- Sem substituição: executa a ação predefinida associada à ameaça.
- Recusar: regista a ameaça e rejeita o pacote.
- Alerta: regista a ameaça e permite a sessão.
- Permitir: ignora a ameaça, se for detetada.
Quando cria um perfil de segurança, a ação de substituição predefinida para todos os níveis de gravidade é definida como No override.
Também pode adicionar substituições de assinaturas aos seus perfis de segurança. Cada assinatura de ameaça tem uma ação predefinida associada. Pode usar perfis de segurança para substituir as ações predefinidas das assinaturas de ameaças usando as ações anteriores. As substituições de assinatura têm precedência sobre as substituições de gravidade.
Para saber como configurar a prevenção contra ameaças, consulte o artigo Configure o serviço de deteção e prevenção de intrusões.
Funções de gestão de identidade e de acesso
As funções de gestão de identidade e de acesso (IAM) regem as seguintes ações dos perfis de segurança:
- Criar um perfil de segurança numa organização
- Modificar ou eliminar um perfil de segurança
- Ver detalhes de um perfil de segurança
- Visualizar uma lista de perfis de segurança numa organização
- Usar um perfil de segurança num grupo de perfis de segurança
A tabela seguinte descreve as funções necessárias para cada passo.
| Capacidade | Função necessária |
|---|---|
| Crie um perfil de segurança | Função Administrador do perfil de segurança na organização onde o perfil de segurança é criado. |
| Modifique um perfil de segurança | Função Administrador do perfil de segurança na organização onde o perfil de segurança é criado. |
| Veja detalhes sobre o perfil de segurança numa organização | Qualquer uma das seguintes funções para a organização: Administrador do perfil de segurança compute.networkViewer compute.networkUser |
| Veja todos os perfis de segurança numa organização | Qualquer uma das seguintes funções para a organização: Administrador do perfil de segurança compute.networkViewer compute.networkUser |
| Use um perfil de segurança num grupo de perfis de segurança | Qualquer uma das seguintes funções para a organização: Administrador do perfil de segurança compute.networkUser |
Quotas
Para ver as quotas associadas aos perfis de segurança, consulte o artigo Quotas e limites.
Preços
Os preços dos perfis de segurança estão descritos nos preços da NGFW na nuvem.