Los perfiles de seguridad te ayudan a definir la política de inspección de la capa 7 para tus recursos de Google Cloud. Son estructuras de políticas genéricas que usan los extremos de firewall para analizar el tráfico interceptado a fin de proporcionar servicios de capa de aplicación, como la prevención de intrusiones.
En este documento, se proporciona una descripción general detallada de los perfiles de seguridad y sus capacidades.
Especificaciones
Un perfil de seguridad es un recurso a nivel de la organización.
Cloud Next Generation Firewall admite perfiles de seguridad de tipo
threat prevention.Cada perfil de seguridad se identifica de manera inequívoca mediante una URL con los siguientes elementos:
- ID de la organización: ID de la organización.
- Ubicación: permiso del perfil de seguridad. La ubicación siempre está configurada como
global. - Nombre: Nombre del perfil de seguridad con el siguiente formato:
- Una string de 1 a 63 caracteres
- Solo incluye caracteres alfanuméricos o guiones (-)
- No debe comenzar con un número
A fin de crear un identificador de URL único para un perfil de seguridad, usa el siguiente formato:
organization/ORGANIZATION_ID/locations/LOCATION/securityProfiles/SECURITY_PROFILE_NAMEPor ejemplo, un perfil de seguridad
globalexample-security-profileen la organización2345678432tiene el siguiente identificador único:organization/2345678432/locations/global/securityProfiles/example-security-profileDespués de crear un perfil de seguridad, tienes la opción de adjuntarlo a un grupo de perfiles de seguridad o de vincularlo más adelante. La política de firewall de la red de nube privada virtual (VPC) en la que deseas aplicar la inspección de capa 7 hace referencia a este grupo de perfiles de seguridad.
Cada perfil de seguridad debe tener un ID del proyecto asociado. El proyecto asociado se usa para la facturación, las cuotas y las restricciones de acceso en los recursos del perfil de seguridad. Si autenticas la cuenta de servicio con el comando
gcloud auth activate-service-account, puedes asociarla con el perfil de seguridad. Si quieres obtener más información para crear un perfil de seguridad, consulta Crea y administra perfiles de seguridad.
Perfil de seguridad de prevención de amenazas
Cloud NGFW usa perfiles de seguridad de prevención de amenazas para proporcionar un servicio de prevención de intrusiones.
Cuando creas un perfil de seguridad de tipo threat-prevention, se agregan las siguientes firmas de amenazas predeterminadas con la gravedad predeterminada y las acciones asociadas al perfil:
- Firmas de detección de vulnerabilidades
- Firmas anti software espía
- Firmas antivirus
- Firmas DNS
Tienes la opción de agregar anulaciones de gravedad a tus perfiles de seguridad. Cada firma predeterminada tiene un nivel de gravedad de amenaza. El nivel de gravedad indica el riesgo de las amenazas detectadas. Cada nivel de gravedad también tiene una acción predeterminada asociada. La acción predeterminada especifica las medidas que toma Cloud NGFW para controlar las amenazas con un nivel de gravedad específico. Puedes usar perfiles de seguridad para anular la acción predeterminada de un nivel de gravedad.
Se admiten las siguientes acciones:
- Sin anulación: Realiza la acción predeterminada asociada con la amenaza.
- Denegar: Registra la amenaza y descarta el paquete.
- Alerta: Registra la amenaza y permite la sesión.
- Permitir: Ignora la amenaza si se detecta.
Cuando creas un perfil de seguridad, la acción de anulación predeterminada para todos los niveles de gravedad se establece en No override.
También puedes agregar anulaciones de firma a tus perfiles de seguridad. Cada firma de amenaza tiene una acción predeterminada asociada. Puedes usar perfiles de seguridad para anular las acciones predeterminadas de las firmas de amenazas mediante las acciones anteriores. Las anulaciones de firma tienen prioridad sobre las anulaciones de gravedad.
Para obtener más información sobre cómo configurar la prevención de amenazas, consulta Configura el servicio de prevención de intrusiones.
Funciones de Identity and Access Management
Los roles de Identity and Access Management (IAM) rigen las siguientes acciones de perfiles de seguridad:
- Crear un perfil de seguridad en una organización
- Modificar o borrar un perfil de seguridad
- Visualizar los detalles de un perfil de seguridad
- Visualizar una lista de los perfiles de seguridad de una organización
- Usar un perfil de seguridad en un grupo de perfiles de seguridad
En la siguiente tabla, se describen los roles necesarios para cada paso.
| Capacidad | Rol necesario |
|---|---|
| Crear un perfil de seguridad | Rol compute.networkAdmin en la organización en la que se crea el perfil de seguridad. |
| Modificar un perfil de seguridad | Rol compute.networkAdmin en la organización en la que se crea el perfil de seguridad. |
| Visualizar los detalles del perfil de seguridad de una organización | Cualquiera de los siguientes roles para la organización: compute.networkAdmin compute.networkViewer compute.networkUser |
| Visualizar todos los perfiles de seguridad de una organización | Cualquiera de los siguientes roles para la organización: compute.networkAdmin compute.networkViewer compute.networkUser |
| Usar un perfil de seguridad en un grupo de perfiles de seguridad | Cualquiera de los siguientes roles para la organización: compute.networkAdmin compute.networkUser |
Cuotas
Para ver las cuotas asociadas con los perfiles de seguridad, consulta Cuotas y límites.
Precios
Los precios de los perfiles de seguridad se describen en los precios de Cloud Next Generation Firewall Enterprise.