Descripción general del perfil de seguridad

Los perfiles de seguridad te ayudan a definir la política de inspección de la capa 7 para tus recursos de Google Cloud. Son estructuras de políticas genéricas que usan los extremos de firewall para analizar el tráfico interceptado a fin de proporcionar servicios de capa de aplicación, como la prevención de intrusiones.

En este documento, se proporciona una descripción general detallada de los perfiles de seguridad y sus capacidades.

Especificaciones

  • Un perfil de seguridad es un recurso a nivel de la organización.

  • Cloud Next Generation Firewall admite perfiles de seguridad de tipo threat prevention.

  • Cada perfil de seguridad se identifica de manera inequívoca mediante una URL con los siguientes elementos:

    • ID de la organización: ID de la organización.
    • Ubicación: permiso del perfil de seguridad. La ubicación siempre está configurada como global.
    • Nombre: Nombre del perfil de seguridad con el siguiente formato:
      • Una string de 1 a 63 caracteres
      • Solo incluye caracteres alfanuméricos o guiones (-)
      • No debe comenzar con un número
  • A fin de crear un identificador de URL único para un perfil de seguridad, usa el siguiente formato:

    organization/ORGANIZATION_ID/locations/LOCATION/securityProfiles/SECURITY_PROFILE_NAME
    

    Por ejemplo, un perfil de seguridad global example-security-profile en la organización 2345678432 tiene el siguiente identificador único:

    organization/2345678432/locations/global/securityProfiles/example-security-profile
    
  • Después de crear un perfil de seguridad, tienes la opción de adjuntarlo a un grupo de perfiles de seguridad o de vincularlo más adelante. La política de firewall de la red de nube privada virtual (VPC) en la que deseas aplicar la inspección de capa 7 hace referencia a este grupo de perfiles de seguridad.

  • Cada perfil de seguridad debe tener un ID del proyecto asociado. El proyecto asociado se usa para la facturación, las cuotas y las restricciones de acceso en los recursos del perfil de seguridad. Si autenticas la cuenta de servicio con el comando gcloud auth activate-service-account, puedes asociarla con el perfil de seguridad. Si quieres obtener más información para crear un perfil de seguridad, consulta Crea y administra perfiles de seguridad.

Perfil de seguridad de prevención de amenazas

Cloud NGFW usa perfiles de seguridad de prevención de amenazas para proporcionar un servicio de prevención de intrusiones.

Cuando creas un perfil de seguridad de tipo threat-prevention, se agregan las siguientes firmas de amenazas predeterminadas con la gravedad predeterminada y las acciones asociadas al perfil:

  • Firmas de detección de vulnerabilidades
  • Firmas anti software espía
  • Firmas antivirus
  • Firmas DNS

Tienes la opción de agregar anulaciones de gravedad a tus perfiles de seguridad. Cada firma predeterminada tiene un nivel de gravedad de amenaza. El nivel de gravedad indica el riesgo de las amenazas detectadas. Cada nivel de gravedad también tiene una acción predeterminada asociada. La acción predeterminada especifica las medidas que toma Cloud NGFW para controlar las amenazas con un nivel de gravedad específico. Puedes usar perfiles de seguridad para anular la acción predeterminada de un nivel de gravedad.

Se admiten las siguientes acciones:

  • Sin anulación: Realiza la acción predeterminada asociada con la amenaza.
  • Denegar: Registra la amenaza y descarta el paquete.
  • Alerta: Registra la amenaza y permite la sesión.
  • Permitir: Ignora la amenaza si se detecta.

Cuando creas un perfil de seguridad, la acción de anulación predeterminada para todos los niveles de gravedad se establece en No override.

También puedes agregar anulaciones de firma a tus perfiles de seguridad. Cada firma de amenaza tiene una acción predeterminada asociada. Puedes usar perfiles de seguridad para anular las acciones predeterminadas de las firmas de amenazas mediante las acciones anteriores. Las anulaciones de firma tienen prioridad sobre las anulaciones de gravedad.

Para obtener más información sobre cómo configurar la prevención de amenazas, consulta Configura el servicio de prevención de intrusiones.

Funciones de Identity and Access Management

Los roles de Identity and Access Management (IAM) rigen las siguientes acciones de perfiles de seguridad:

  • Crear un perfil de seguridad en una organización
  • Modificar o borrar un perfil de seguridad
  • Visualizar los detalles de un perfil de seguridad
  • Visualizar una lista de los perfiles de seguridad de una organización
  • Usar un perfil de seguridad en un grupo de perfiles de seguridad

En la siguiente tabla, se describen los roles necesarios para cada paso.

Capacidad Rol necesario
Crear un perfil de seguridad Rol compute.networkAdmin en la organización en la que se crea el perfil de seguridad.
Modificar un perfil de seguridad Rol compute.networkAdmin en la organización en la que se crea el perfil de seguridad.
Visualizar los detalles del perfil de seguridad de una organización Cualquiera de los siguientes roles para la organización:
compute.networkAdmin
compute.networkViewer
compute.networkUser
Visualizar todos los perfiles de seguridad de una organización Cualquiera de los siguientes roles para la organización:
compute.networkAdmin
compute.networkViewer
compute.networkUser
Usar un perfil de seguridad en un grupo de perfiles de seguridad Cualquiera de los siguientes roles para la organización:
compute.networkAdmin
compute.networkUser

Cuotas

Para ver las cuotas asociadas con los perfiles de seguridad, consulta Cuotas y límites.

Precios

Los precios de los perfiles de seguridad se describen en los precios de Cloud NGFW.

¿Qué sigue?