Crea y administra perfiles de seguridad

En esta página, se explica cómo crear y administrar perfiles de seguridad mediante la consola de Google Cloud y Google Cloud CLI.

Antes de comenzar

Roles

Para obtener los permisos que necesitas a fin de crear, ver, actualizar o borrar perfiles de seguridad, pídele a tu administrador que te otorgue los roles de IAM necesarios en la organización. Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso.

Crea un perfil de seguridad

Solo puedes crear un perfil de seguridad de tipo threat-prevention.

Cuando creas un perfil de seguridad, puedes especificar su nombre como una cadena o un identificador de URL único. La URL única para un perfil de seguridad con alcance de organización se puede construir en el siguiente formato:

  organization/ORGANIZATION_ID/locations/LOCATION/securityProfiles/SECURITY_PROFILE_NAME

Si usas un identificador de URL único para el nombre del perfil de seguridad, la organización y la ubicación del perfil de seguridad ya están incluidas en el identificador de URL. Sin embargo, si usas solo el nombre del perfil de seguridad, debes especificar la organización y la ubicación por separado. Para obtener más información sobre los identificadores de URL únicos, consulta las especificaciones del perfil de seguridad.

Consola

  1. En la consola de Google Cloud, ve a la página Perfiles de seguridad.

    Ir a Perfiles de seguridad

  2. En el menú de selección de proyectos, selecciona tu organización.

  3. Selecciona la pestaña Perfiles de seguridad.

Configura un perfil de seguridad de prevención de amenazas:

  1. Haga clic en Crear perfil.
  2. Escribe un nombre en el campo Nombre.
  3. Opcional: Escribe una descripción en el campo Descripción.
  4. Haz clic en Continuar.

De manera opcional, puedes agregar gravedad y anulaciones de amenazas:

  1. En Anulaciones de gravedad, haz clic en Editar junto a la gravedad que desees anular.
  2. En la lista Anular acción, selecciona la acción adecuada para el nivel de gravedad.
  3. Para agregar una anulación de firma de amenaza, haz clic en Agregar firma por ID.
  4. En el campo ID de firma, ingresa el ID de amenaza que deseas anular. Puedes ver los IDs de amenaza en el panel de amenazas.
  5. En la lista Anular acción, selecciona la acción adecuada para el ID de amenaza.
  6. Haz clic en Crear.

gcloud

Para crear un perfil de seguridad de prevención de amenazas, usa el comando gcloud network-security security-profiles threat-prevention create:

gcloud network-security security-profiles threat-prevention \
   create NAME \
   --organization ORGANIZATION_ID \
   --location LOCATION \
   --project PROJECT_ID \
   --description DESCRIPTION

Reemplaza lo siguiente:

  • NAME: es el nombre del perfil de seguridad. puedes especificar el nombre como una cadena o como un identificador de URL único.

  • ORGANIZATION_ID: es la organización en la que se crea el perfil de seguridad. Si usas un identificador de URL único para la marca name, puedes omitir la marca organization.

  • LOCATION: es la ubicación del perfil de seguridad.

    La ubicación siempre está configurada como global. Si usas un identificador de URL único para la marca name, puedes omitir la marca location.

  • PROJECT_ID: Es un ID del proyecto opcional que se usará para las cuotas y las restricciones de acceso en el perfil de seguridad.

  • DESCRIPTION: es una descripción opcional para el perfil de seguridad.

Enumera perfiles de seguridad

Puedes enumerar todos los perfiles de seguridad de prevención de amenazas en una organización.

Consola

  1. En la consola de Google Cloud, ve a la página Perfiles de seguridad.

    Ir a Perfiles de seguridad

  2. Selecciona la pestaña Perfiles de seguridad. En la pestaña, se muestra una lista de los perfiles de seguridad configurados.

gcloud

Para enumerar todos los perfiles de seguridad de prevención de amenazas, usa el comando gcloud network-security security-profiles threat-prevention list:

gcloud network-security security-profiles threat-prevention list \
   --organization ORGANIZATION_ID \
   --location LOCATION \
   --project PROJECT_ID

Reemplaza lo siguiente:

  • ORGANIZATION_ID: es la organización en la que se crean los perfiles de seguridad.

  • LOCATION: es la ubicación de los perfiles de seguridad. La ubicación siempre está configurada como global.

  • PROJECT_ID: Es un ID del proyecto opcional que se usará para las cuotas y las restricciones de acceso en el perfil de seguridad.

Borra un perfil de seguridad

Puedes borrar un perfil de seguridad de prevención de amenazas si especificas su nombre, ubicación y organización. Sin embargo, si un grupo de perfiles de seguridad hace referencia a un perfil de seguridad, ese perfil no se puede borrar.

Consola

  1. En la consola de Google Cloud, ve a la página Perfiles de seguridad.

    Ir a Perfiles de seguridad

  2. Selecciona la pestaña Perfiles de seguridad. En la pestaña, se muestra una lista de los perfiles de seguridad configurados.

  3. Selecciona el perfil de seguridad que deseas borrar y, luego, haz clic en Borrar.

  4. Haga clic en Borrar nuevamente para confirmar.

gcloud

Para borrar un perfil de seguridad de prevención de amenazas, usa el comando gcloud network-security security-profiles threat-prevention delete:

gcloud network-security security-profiles threat-prevention \
   delete NAME \
   --organization ORGANIZATION_ID \
   --location LOCATION \
   --project PROJECT_ID

Reemplaza lo siguiente:

  • NAME: es el nombre del perfil de seguridad que deseas borrar. Puedes especificar el nombre como una cadena o como un identificador de URL único.

  • ORGANIZATION_ID: es la organización en la que se crea el perfil de seguridad. Si usas un identificador de URL único para la marca name, puedes omitir la marca organization.

  • LOCATION: es la ubicación del perfil de seguridad.

    La ubicación siempre está configurada como global. Si usas un identificador de URL único para la marca name, puedes omitir la marca location.

  • PROJECT_ID: Es un ID del proyecto opcional que se usará para las cuotas y las restricciones de acceso en el perfil de seguridad.

Agrega acciones de anulación en un perfil de seguridad

Puedes anular las acciones asociadas con firmas de amenazas específicas o niveles de gravedad en un perfil de seguridad existente.

Consola

  1. En la consola de Google Cloud, ve a la página Perfiles de seguridad.

    Ir a Perfiles de seguridad

  2. Selecciona la pestaña Perfiles de seguridad. En esta pestaña, se muestra una lista de los perfiles de seguridad configurados.

  3. Selecciona el perfil de seguridad en el que deseas anular las acciones y, luego, haz clic en Editar.

  4. En Anulaciones de gravedad, haz clic en Editar junto a la gravedad que desees anular.

  5. En la lista Anular acción, selecciona la acción adecuada para el nivel de gravedad.

  6. Haz clic en Confirmar.

  7. Haz clic en Guardar.

gcloud

Para agregar una anulación a un perfil de seguridad de prevención de amenazas, usa el comando gcloud network-security security-profiles threat-prevention add-override:

gcloud network-security security-profiles threat-prevention \
   add-override NAME \
   --organization ORGANIZATION_ID \
   --location LOCATION \
   --project PROJECT_ID \
   [--severities SEVERITIES | --threat-ids THREAT_IDS] \
   --action ACTION

Reemplaza lo siguiente:

  • NAME: es el nombre del perfil de seguridad. puedes especificar el nombre como una cadena o como un identificador de URL único.

  • ORGANIZATION_ID: es la organización en la que se crea el perfil de seguridad.

    Si usas un identificador de URL único para la marca name, puedes omitir la marca organization.

  • LOCATION: es la ubicación del perfil de seguridad.

    La ubicación siempre está configurada como global. Si usas un identificador de URL único para la marca name, puedes omitir la marca location.

  • PROJECT_ID: Es un ID del proyecto opcional que se usará para las cuotas y las restricciones de acceso en el perfil de seguridad.

  • SEVERITIES: es una lista de niveles de gravedad separados por comas para anular la acción. El extremo del firewall aplica la marca --action configurada a todas las amenazas de los niveles de gravedad especificados. La gravedad puede ser cualquiera de las siguientes:

    • INFORMATIONAL
    • LOW
    • MEDIUM
    • HIGH
    • CRITICAL
  • THREAT_IDS: es una lista de IDs de firmas de amenazas separados por comas para anular la acción. El extremo del firewall aplica la marca --action configurada a todas las amenazas de los IDs de amenazas especificados.

  • ACTION: es la acción predeterminada para los IDs o las gravedades de amenazas especificados. La acción puede ser una de las siguientes:

    • DEFAULT
    • ALLOW
    • DENY
    • ALERT

Enumera acciones de anulación en un perfil de seguridad

Puedes enumerar todas las acciones de anulación en un perfil de seguridad.

Consola

  1. En la consola de Google Cloud, ve a la página Perfiles de seguridad.

    Ir a Perfiles de seguridad

  2. Selecciona la pestaña Perfiles de seguridad. En esta pestaña, se muestra una lista de los perfiles de seguridad configurados.

  3. Selecciona el perfil de seguridad para ver las acciones configuradas de anulación de gravedad y de anulación de firmas de amenazas.

gcloud

Para enumerar todas las acciones de anulación en un perfil de seguridad de prevención de amenazas, usa el comando gcloud network-security security-profiles threat-prevention list-overrides:

gcloud network-security security-profiles threat-prevention \
    list-overrides NAME \
    --organization ORGANIZATION_ID \
    --location LOCATION

Reemplaza lo siguiente:

  • NAME: es el nombre del perfil de seguridad. puedes especificar el nombre como una cadena o como un identificador de URL único.

  • ORGANIZATION_ID: es la organización en la que se crea el perfil de seguridad.

    Si usas un identificador de URL único para la marca name, puedes omitir la marca organization.

  • LOCATION: es la ubicación del perfil de seguridad.

    La ubicación siempre está configurada como global. Si usas un identificador de URL único para la marca name, puedes omitir la marca location.

Actualiza acciones de anulación en un perfil de seguridad

Puedes actualizar las acciones de anulación existentes para los niveles de gravedad o las firmas de amenazas en un perfil de seguridad.

Consola

  1. En la consola de Google Cloud, ve a la página Perfiles de seguridad.

    Ir a Perfiles de seguridad

  2. Selecciona la pestaña Perfiles de seguridad. En la pestaña, se muestra una lista de los perfiles de seguridad configurados.

  3. Selecciona el perfil de seguridad y, luego, haz clic en Editar.

  4. En Anulaciones de gravedad, haz clic en Editar junto al nivel de gravedad en el que deseas actualizar la acción de anulación.

  5. En la lista Anular acción, selecciona la acción adecuada para el nivel de gravedad.

  6. Haz clic en Confirmar.

  7. Haz clic en Guardar.

gcloud

Para actualizar una acción de anulación en un perfil de seguridad de prevención de amenazas, usa el comando gcloud network-security security-profiles threat-prevention update-override:

gcloud network-security security-profiles threat-prevention \
   update-override NAME \
   --organization ORGANIZATION_ID \
   --location LOCATION \
   --project PROJECT_ID \
   [--severities SEVERITIES | --threat-ids THREAT_IDS] \
   --action ACTION

Reemplaza lo siguiente:

  • NAME: es el nombre del perfil de seguridad. puedes especificar el nombre como una cadena o como un identificador de URL único.

  • ORGANIZATION_ID: es la organización en la que se crea el perfil de seguridad.

    Si usas un identificador de URL único para la marca name, puedes omitir la marca organization.

  • LOCATION: es la ubicación del perfil de seguridad.

    La ubicación siempre está configurada como global. Si usas un identificador de URL único para la marca name, puedes omitir la marca location.

  • PROJECT_ID: Es un ID del proyecto opcional que se usará para las cuotas y las restricciones de acceso en el perfil de seguridad.

  • SEVERITIES: es una lista separada por comas de los niveles de gravedad para los que deseas actualizar las anulaciones. La gravedad puede ser cualquiera de las siguientes:

    • INFORMATIONAL
    • LOW
    • MEDIUM
    • HIGH
    • CRITICAL
  • THREAT_IDS: es una lista separada por comas de los IDs de firma de amenazas para los que deseas actualizar las anulaciones.

  • ACTION: es la acción predeterminada para los IDs o las gravedades de amenazas especificados. La acción puede ser una de las siguientes:

    • DEFAULT
    • ALLOW
    • DENY
    • ALERT

Borra acciones de anulación de un perfil de seguridad

Puedes borrar acciones de anulación existentes para los niveles de gravedad o las firmas de amenazas de un perfil de seguridad.

Consola

  1. En la consola de Google Cloud, ve a la página Perfiles de seguridad.

    Ir a Perfiles de seguridad

  2. Selecciona la pestaña Perfiles de seguridad. En la pestaña, se muestra una lista de los perfiles de seguridad configurados.

  3. Selecciona el perfil de seguridad y, luego, haz clic en Editar.

  4. En Anulaciones de gravedad, haz clic en Editar junto al nivel de gravedad en el que deseas borrar la acción de anulación.

  5. En la lista Anular acción, selecciona Sin anulación.

  6. Haz clic en Confirmar.

  7. En Anulaciones de firma, selecciona el ID de amenaza que deseas borrar.

  8. Haz clic en Borrar.

  9. Haz clic en Guardar.

gcloud

Para borrar una acción de anulación de un perfil de seguridad de prevención de amenazas, usa el comando gcloud network-security security-profiles threat-prevention delete-override:

gcloud network-security security-profiles threat-prevention \
   delete-override NAME \
   --organization ORGANIZATION_ID \
   --location LOCATION \
   --project PROJECT_ID \
   [--severities SEVERITIES | --threat-ids THREAT_IDS]

Reemplaza lo siguiente:

  • NAME: es el nombre del perfil de seguridad. puedes especificar el nombre como una cadena o como un identificador de URL único.

  • ORGANIZATION_ID: es la organización en la que se crea el perfil de seguridad.

    Si usas un identificador de URL único para la marca name, puedes omitir la marca organization.

  • LOCATION: es la ubicación del perfil de seguridad.

    La ubicación siempre está configurada como global. Si usas un identificador de URL único para la marca name, puedes omitir la marca location.

  • PROJECT_ID: Es un ID del proyecto opcional que se usará para las cuotas y las restricciones de acceso en el perfil de seguridad.

  • SEVERITIES: es una lista separada por comas de los niveles de gravedad para los que deseas borrar las anulaciones. La gravedad puede ser cualquiera de las siguientes:

    • INFORMATIONAL
    • LOW
    • MEDIUM
    • HIGH
    • CRITICAL
  • THREAT_IDS: es una lista separada por comas de los IDs de firmas de amenazas para los que deseas borrar anulaciones.

¿Qué sigue?