Os perfis de segurança ajudam você a definir a política de inspeção da camada 7 para seus recursos do Google Cloud. Eles são estruturas de política genéricas usadas por endpoints de firewall para verificar o tráfego interceptado para fornecer serviços de camada de aplicativo, como prevenção de invasões.
Neste documento, você encontra informações gerais detalhadas dos perfis de segurança e dos recursos deles.
Especificações
Um perfil de segurança é um recurso no nível da organização.
O Cloud Next Generation Firewall oferece suporte a perfis de segurança do tipo
threat prevention.Cada perfil de segurança é identificado exclusivamente por um URL com os seguintes elementos:
- ID da organização: ID da organização.
- Local: escopo do perfil de segurança. A localização está sempre definida como
global. - Nome: nome do perfil de segurança no seguinte formato:
- Uma string com 1 a 63 caracteres
- Inclui apenas caracteres alfanuméricos ou hifens (-)
- Não pode começar com um número
Para criar um identificador de URL exclusivo para um perfil de segurança, use o seguinte formato:
organization/ORGANIZATION_ID/locations/LOCATION/securityProfiles/SECURITY_PROFILE_NAMEPor exemplo, um perfil de segurança
globalexample-security-profilena organização2345678432tem o seguinte identificador exclusivo:organization/2345678432/locations/global/securityProfiles/example-security-profileDepois de criar um perfil de segurança, é possível anexá-lo a um grupo de perfis de segurança ou anexá-lo posteriormente. Esse grupo de perfis de segurança é referenciado pela política de firewall da rede da nuvem privada virtual (VPC) em que você quer aplicar a inspeção da camada 7.
Cada perfil de segurança precisa ter um ID de projeto associado. O projeto associado é usado para faturamento, cotas e restrições de acesso a recursos de perfil de segurança. Se você autenticar sua conta de serviço usando o comando
gcloud auth activate-service-account, será possível associar sua conta de serviço ao perfil de segurança. Para saber mais sobre como criar um perfil de segurança, consulte Criar e gerenciar perfis de segurança.
Perfil de segurança de prevenção de ameaças
O Cloud Firewall usa perfis de segurança contra prevenção de ameaças para fornecer o serviço de prevenção de invasões.
Quando você cria um perfil de segurança do tipo threat-prevention, as seguintes assinaturas de ameaça padrão com gravidade padrão e ações associadas são adicionadas ao perfil:
- Assinaturas de detecção de vulnerabilidades
- Assinaturas antispyware
- Assinaturas antivírus
- Assinaturas DNS
Você tem a opção de adicionar substituições de gravidade aos seus perfis de segurança. Cada assinatura padrão tem um nível de gravidade da ameaça. O nível de gravidade indica o risco da ameaça detectada. Cada nível de gravidade também tem uma ação padrão associada. A ação padrão especifica as medidas que o Cloud NGFW toma para lidar com ameaças com um determinado nível de gravidade. É possível usar perfis de segurança para substituir a ação padrão por um nível de gravidade.
São suportadas as seguintes ações:
- Sem substituição: executa a ação padrão associada à ameaça.
- Negar: registra a ameaça e descarta o pacote.
- Alerta: registra a ameaça e autoriza a sessão.
- Permitir: ignora a ameaça se detectada.
Quando você cria um perfil de segurança, a ação de substituição padrão para todos
os níveis de gravidade é definida como No override.
Também é possível adicionar substituições de assinatura aos seus perfis de segurança. Cada assinatura de ameaça tem uma ação padrão associada. Você pode usar perfis de segurança para substituir as ações padrão das assinaturas de ameaças usando as ações anteriores. As substituições de assinatura têm precedência sobre as substituições de gravidade.
Para saber mais sobre como configurar a prevenção de ameaças, consulte Configurar serviço de prevenção de invasões.
Papéis do Identity and Access Management
Os papéis do Identity and Access Management (IAM) controlam as seguintes ações dos perfis de segurança:
- Como criar um perfil de segurança em uma organização
- Como modificar ou excluir um perfil de segurança
- Como visualizar detalhes de um perfil de segurança
- Como visualizar uma lista de perfis de segurança em uma organização
- Como usar um perfil de segurança em um grupo de perfis de segurança
Veja na tabela a seguir os papéis necessários para cada etapa.
| Habilidade | Papel necessário |
|---|---|
| Criar um perfil de segurança | Papel compute.networkAdmin na organização em que o perfil de segurança foi criado. |
| Modificar um perfil de segurança | Papel compute.networkAdmin na organização em que o perfil de segurança foi criado. |
| Visualizar detalhes sobre o perfil de segurança em uma organização | Qualquer um dos seguintes papéis na organização: compute.networkAdmin compute.networkViewer compute.networkUser |
| Visualizar todos os perfis de segurança em uma organização | Qualquer um dos seguintes papéis na organização: compute.networkAdmin compute.networkViewer compute.networkUser |
| Usar um perfil de segurança em um grupo de perfis de segurança | Qualquer um dos seguintes papéis na organização: compute.networkAdmin compute.networkUser |
Cotas
Para visualizar as cotas associadas aos perfis de segurança, consulte Cotas e limites.
Preços
Os preços dos perfis de segurança são descritos em Preços corporativos de firewall de última geração do Cloud.