Présentation du profil de sécurité

Les profils de sécurité vous aident à définir la règle d'inspection de couche 7 pour vos ressources Google Cloud. Il s'agit de structures de règles génériques utilisées par les points de terminaison de pare-feu pour analyser le trafic intercepté afin de fournir des services de couche d'application, tels que la prévention des intrusions.

Ce document fournit une présentation détaillée des profils de sécurité et de leurs fonctionnalités.

Spécifications

  • Un profil de sécurité est une ressource au niveau de l'organisation.

  • Cloud Next Generation Firewall est compatible avec les profils de sécurité de type threat prevention.

  • Chaque profil de sécurité est identifié de manière unique par une URL comprenant les éléments suivants :

    • ID de l'organisation : ID de l'organisation.
    • Emplacement : champ d'application du profil de sécurité. L'emplacement est toujours défini sur global.
    • Nom : nom du profil de sécurité au format suivant :
      • Chaîne de 1 à 63 caractères.
      • N'inclut que des caractères alphanumériques ou des traits d'union (-).
      • Ne doit pas commencer par un chiffre.

  • Pour créer un identifiant d'URL unique pour un profil de sécurité, utilisez le format suivant :

    organization/ORGANIZATION_ID/locations/LOCATION/securityProfiles/SECURITY_PROFILE_NAME

    Par exemple, un profil de sécurité example-security-profile ayant le niveau d'accès global dans l'organisation 2345678432 possède l'identifiant unique suivant :

    organization/2345678432/locations/global/securityProfiles/example-security-profile

  • Après avoir créé un profil de sécurité, vous avez la possibilité de l'associer de suite à un groupe de profils de sécurité ou de l'associer ultérieurement. Ce groupe de profils de sécurité est référencé par la stratégie de pare-feu du réseau cloud privé virtuel (VPC) dans lequel vous souhaitez appliquer l'inspection de couche 7.

  • Chaque profil de sécurité doit être associé à un ID de projet. Le projet associé est utilisé pour les quotas et les restrictions d'accès sur les ressources des profils de sécurité. Si vous authentifiez votre compte de service à l'aide de la commande gcloud auth activate-service-account, vous pouvez associer votre compte de service au profil de sécurité. Pour en savoir plus sur la création d'un profil de sécurité, consultez la page Créer et gérer des profils de sécurité.

Profil de sécurité de prévention des menaces

Cloud NGFW utilise des profils de sécurité de prévention des menaces pour fournir un service de prévention des intrusions.

Lorsque vous créez un profil de sécurité de type threat-prevention, les signatures de menaces par défaut suivantes avec un niveau de gravité par défaut et les actions associées sont ajoutées au profil :

  • Signatures de détection des failles
  • Signatures anti-espions
  • Signatures antivirus
  • Signatures DNS

Vous avez la possibilité d'ajouter des remplacements de niveau gravité à vos profils de sécurité. Chaque signature par défaut comporte un niveau de gravité de menace. Le niveau de gravité indique le risque de la menace détectée. Chaque niveau de gravité est également associé à une action par défaut. L'action par défaut spécifie les mesures prises par Cloud NGFW pour traiter les menaces d'un niveau de gravité spécifique. Vous pouvez utiliser des profils de sécurité pour remplacer l'action par défaut associée à un niveau de gravité.

Les actions suivantes sont acceptées :

  • Aucun remplacement : effectue l'action par défaut associée à la menace.
  • Refuser : consigne la menace et supprime le paquet.
  • Alerte : consigne la menace et autorise la session.
  • Autoriser : ignore la menace si elle est détectée.

Lorsque vous créez un profil de sécurité, l'action de remplacement par défaut pour tous les niveaux de gravité est définie sur No override.

Vous pouvez également ajouter des remplacements de signature à vos profils de sécurité. Chaque signature de menace est associée à une action par défaut. Vous pouvez utiliser des profils de sécurité pour remplacer les actions par défaut des signatures de menaces en utilisant les actions précédentes. Les remplacements de signatures prévalent sur les remplacements de niveau de gravité.

Pour en savoir plus sur la configuration de la prévention des menaces, consultez la section Configurer le service de prévention des intrusions.

Rôles de gestion de l'authentification et des accès (IAM)

Les rôles Identity and Access Management (IAM) régissent les actions des profils de sécurité suivantes :

  • Créer un profil de sécurité dans une organisation
  • Modifier ou supprimer un profil de sécurité
  • Afficher les détails d'un profil de sécurité
  • Afficher la liste des profils de sécurité dans une organisation
  • Utiliser un profil de sécurité dans un groupe de profils de sécurité

Le tableau suivant décrit les rôles nécessaires pour chaque étape.

Aptitude Rôle nécessaire
Créer un profil de sécurité Rôle compute.networkAdmin sur l'organisation où le profil de sécurité est créé.
Modifier un profil de sécurité Rôle compute.networkAdmin sur l'organisation où le profil de sécurité est créé.
Afficher les détails du profil de sécurité d'une organisation L'un des rôles suivants pour l'organisation :
compute.networkAdmin
compute.networkViewer
compute.networkUser
Afficher tous les profils de sécurité d'une organisation L'un des rôles suivants pour l'organisation :
compute.networkAdmin
compute.networkViewer
compute.networkUser
Utiliser un profil de sécurité dans un groupe de profils de sécurité L'un des rôles suivants pour l'organisation :
compute.networkAdmin
compute.networkUser

Quotas

Pour afficher les quotas associés aux profils de sécurité, consultez la section Quotas et limites.

Tarification

La tarification des profils de sécurité est décrite dans la section Tarifs de Cloud Next Generation Firewall Enterprise.

Étapes suivantes