Criar e gerenciar perfis de segurança

Nesta página, explicamos como criar e gerenciar perfis de segurança usando o console do Google Cloud e a CLI do Google Cloud.

Antes de começar

Papéis

Para receber as permissões necessárias de criação, visualização, atualização ou exclusão de perfis de segurança, solicite ao administrador que conceda a você os papéis do IAM necessários na sua organização. Para mais informações sobre como conceder papéis, consulte Gerenciar acesso.

Criar um perfil de segurança

Só é possível criar um perfil de segurança do tipo threat-prevention.

Ao criar um perfil de segurança, é possível especificar o nome dele como uma string ou como um identificador de URL exclusivo. O URL exclusivo de um perfil de segurança com escopo da organização pode ser criado no seguinte formato:

  organization/ORGANIZATION_ID/locations/LOCATION/securityProfiles/SECURITY_PROFILE_NAME

Se você usar um identificador de URL exclusivo para o nome do perfil de segurança, a organização e o local do perfil de segurança já estarão incluídos no identificador de URL. No entanto, se você usar apenas o nome do perfil de segurança, será necessário especificar a organização e o local separadamente. Para mais informações sobre identificadores exclusivos de URL, consulte as especificações do perfil de segurança.

Para executar esta tarefa, é preciso que o recurso tenha as permissões OU um dos papéis do IAM a seguir na sua organização.

Permissões

  • networksecurity.securityProfiles.create

Papéis

  • compute.networkAdmin
  1. No Console do Google Cloud, acesse a página Perfis de segurança.

    Acessar Perfis de segurança

  2. No menu do seletor de projetos, selecione sua organização.

  3. Selecione a guia Perfis de segurança.

Configure um perfil de segurança para prevenção de ameaças:

  1. Clique em Create profile.
  2. Digite um nome no campo Nome. .
  3. Opcional: insira uma descrição no campo Descrição.
  4. Clique em Continuar.

Também é possível adicionar substituições de gravidade e ameaças:

  1. Em Substituições gravidade, clique em Editar ao lado do nível de gravidade que você quer substituir.
  2. Na lista Ação de substituição, selecione a ação apropriada para o nível de gravidade.
  3. Para adicionar uma substituição de assinatura de ameaça, clique em Adicionar assinatura por ID.
  4. No campo ID da assinatura, insira o ID da ameaça que você quer substituir. Você pode ver os IDs no painel de ameaças.
  5. Na lista Substituir ação, selecione a ação apropriada para o ID da ameaça.
  6. Clique em Criar.

Para criar um perfil de segurança para prevenção de ameaças, use o comando gcloud network-security security-profiles threat-prevention create:

gcloud network-security security-profiles threat-prevention \
   create NAME \
   --organization ORGANIZATION_ID \
   --location LOCATION \
   --project PROJECT_ID \
   --description DESCRIPTION

Substitua:

  • NAME: o nome do perfil de segurança; é possível especificar o nome como uma string ou um identificador de URL exclusivo.

    .

  • ORGANIZATION_ID: a organização em que o perfil de segurança é criado. Se você usar um identificador de URL exclusivo para a sinalização name, será possível omitir a sinalização organization.

  • LOCATION: o local do perfil de segurança.

    O local está sempre definido como global. Se você usar um identificador de URL exclusivo para a sinalização name, omita a sinalização location.

  • PROJECT_ID: um ID do projeto opcional a ser usado para cotas e restrições de acesso no perfil de segurança.

  • DESCRIPTION: uma descrição opcional para o perfil de segurança.

Listar perfis de segurança

É possível listar todos os perfis de segurança contra ameaças em uma organização.

Para executar esta tarefa, é preciso que o recurso tenha as permissões OU um dos papéis do IAM a seguir na sua organização.

Permissões

  • networksecurity.securityProfiles.list

Papéis

  • compute.networkAdmin
  • compute.networkUser
  • compute.networkViewer
  1. No Console do Google Cloud, acesse a página Perfis de segurança.

    Acessar Perfis de segurança

  2. Selecione a guia Perfis de segurança. A guia mostra uma lista de perfis de segurança configurados.

Para listar todos os perfis de segurança de prevenção contra ameaças, use o comando gcloud network-security security-profiles threat-prevention list:

gcloud network-security security-profiles threat-prevention list \
   --organization ORGANIZATION_ID \
   --location LOCATION \
   --project PROJECT_ID

Substitua:

  • ORGANIZATION_ID: a organização em que os perfis de segurança são criados.

  • LOCATION: o local dos perfis de segurança. O local está sempre definido como global.

  • PROJECT_ID: um ID do projeto opcional a ser usado para cotas e restrições de acesso no perfil de segurança.

Excluir um perfil de segurança

É possível excluir um perfil de segurança de prevenção a ameaças especificando o nome, o local e a organização dele. No entanto, se um perfil de segurança for referenciado por um grupo de perfis de segurança, ele não poderá ser excluído.

Para executar esta tarefa, é preciso que o recurso tenha as permissões OU um dos papéis do IAM a seguir na sua organização.

Permissões

  • networksecurity.securityProfiles.delete

Papéis

  • compute.networkAdmin
  1. No Console do Google Cloud, acesse a página Perfis de segurança.

    Acessar Perfis de segurança

  2. Selecione a guia Perfis de segurança. A guia mostra uma lista de perfis de segurança configurados.

  3. Selecione o perfil de segurança que você quer excluir e clique em Excluir.

  4. Clique em Excluir novamente para confirmar.

Para excluir um perfil de segurança para prevenção de ameaças, use o comando gcloud network-security security-profiles threat-prevention delete:

gcloud network-security security-profiles threat-prevention \
   delete NAME \
   --organization ORGANIZATION_ID \
   --location LOCATION \
   --project PROJECT_ID

Substitua:

  • NAME: o nome do perfil de segurança que você quer excluir. É possível especificar o nome como uma string ou um identificador de URL exclusivo.

  • ORGANIZATION_ID: a organização em que o perfil de segurança é criado. Se você usar um identificador de URL exclusivo para a sinalização name, será possível omitir a sinalização organization.

  • LOCATION: o local do perfil de segurança.

    O local está sempre definido como global. Se você usar um identificador de URL exclusivo para a sinalização name, omita a sinalização location.

  • PROJECT_ID: um ID do projeto opcional a ser usado para cotas e restrições de acesso no perfil de segurança.

Adicionar ações de substituição a um perfil de segurança

É possível substituir as ações associadas a assinaturas de ameaças ou níveis de gravidade específicos em um perfil de segurança atual.

Para executar esta tarefa, é preciso que o recurso tenha as permissões OU um dos papéis do IAM a seguir na sua organização.

Permissões

  • networksecurity.securityProfiles.update

Papéis

  • compute.networkAdmin
  1. No Console do Google Cloud, acesse a página Perfis de segurança.

    Acessar Perfis de segurança

  2. Selecione a guia Perfis de segurança. A guia mostra uma lista de perfis de segurança configurados.

  3. Selecione o perfil de segurança em que você quer substituir ações e clique em Editar.

  4. Em Substituições gravidade, clique em Editar ao lado do nível de gravidade que você quer substituir.

  5. Na lista Substituir ação, selecione a ação apropriada para o nível de gravidade.

  6. Clique em Confirmar.

  7. Clique em Salvar.

Para adicionar uma substituição a um perfil de segurança de prevenção de ameaças, use o comando gcloud network-security security-profiles threat-prevention add-override:

gcloud network-security security-profiles threat-prevention \
   add-override NAME \
   --organization ORGANIZATION_ID \
   --location LOCATION \
   --project PROJECT_ID \
   [--severities SEVERITIES | --threat-ids THREAT_IDS] \
   --action ACTION

Substitua:

  • NAME: o nome do perfil de segurança; é possível especificar o nome como uma string ou um identificador de URL exclusivo.

  • ORGANIZATION_ID: a organização em que o perfil de segurança é criado.

    Se você usar um identificador de URL exclusivo para a sinalização name, será possível omitir a sinalização organization.

  • LOCATION: o local do perfil de segurança.

    O local está sempre definido como global. Se você usar um identificador de URL exclusivo para a sinalização name, omita a sinalização location.

  • PROJECT_ID: um ID do projeto opcional a ser usado para cotas e restrições de acesso no perfil de segurança.

  • SEVERITIES: uma lista separada por vírgulas de níveis de gravidade para substituir a ação. O endpoint de firewall aplica a sinalização --action configurada a todas as ameaças dos níveis de gravidade especificados. A gravidade pode ser uma das mostradas a seguir:

    • INFORMATIONAL
    • LOW
    • MEDIUM
    • HIGH
    • CRITICAL
  • THREAT_IDS: uma lista separada por vírgulas de IDs de assinatura de ameaça para substituir a ação. O endpoint de firewall aplica a sinalização --action configurada a todas as ameaças dos IDs de ameaça especificados.

  • ACTION: a ação padrão para os IDs de ameaças ou gravidades especificados. O papel pode ser um dos mostrados a seguir:

    • DEFAULT
    • ALLOW
    • DENY
    • ALERT

Listar ações de substituição em um perfil de segurança

É possível listar todas as ações de substituição em um perfil de segurança.

Para executar esta tarefa, é preciso que o recurso tenha as permissões OU um dos papéis do IAM a seguir na sua organização.

Permissões

  • networksecurity.addressGroups.list

Papéis

  • compute.networkAdmin
  • compute.networkUser
  1. No Console do Google Cloud, acesse a página Perfis de segurança.

    Acessar Perfis de segurança

  2. Selecione a guia Perfis de segurança. A guia mostra uma lista de perfis de segurança configurados.

  3. Selecione o perfil de segurança para ver as ações de substituição de gravidade configuradas e ações de substituição de assinatura de ameaça.

Para listar todas as ações de substituição em um perfil de segurança para prevenção de ameaças, use o comando gcloud network-security security-profiles threat-prevention list-overrides:

gcloud network-security security-profiles threat-prevention \
    list-overrides NAME \
    --organization ORGANIZATION_ID \
    --location LOCATION

Substitua:

  • NAME: o nome do perfil de segurança; é possível especificar o nome como uma string ou um identificador de URL exclusivo.

  • ORGANIZATION_ID: a organização em que o perfil de segurança é criado.

    Se você usar um identificador de URL exclusivo para a sinalização name, será possível omitir a sinalização organization.

  • LOCATION: o local do perfil de segurança.

    O local está sempre definido como global. Se você usar um identificador de URL exclusivo para a sinalização name, omita a sinalização location.

Atualizar ações de substituição em um perfil de segurança

É possível atualizar as ações de substituição atuais para níveis de gravidade ou assinaturas de ameaças em um perfil de segurança.

Para executar esta tarefa, é preciso que o recurso tenha as permissões OU um dos papéis do IAM a seguir na sua organização.

Permissões

  • networksecurity.securityProfiles.update

Papéis

  • compute.networkAdmin
  1. No Console do Google Cloud, acesse a página Perfis de segurança.

    Acessar Perfis de segurança

  2. Selecione a guia Perfis de segurança. A guia mostra uma lista de perfis de segurança configurados.

  3. Selecione o perfil de segurança e clique em Editar.

  4. Em Substituições de gravidade, clique em Editar ao lado do nível de gravidade em que você quer atualizar a ação de substituição.

  5. Na lista Ação de substituição, selecione a ação apropriada para o nível de gravidade.

  6. Clique em Confirmar.

  7. Clique em Salvar.

Para atualizar uma ação de substituição em um perfil de segurança para prevenção de ameaças, use o comando gcloud network-security security-profiles threat-prevention update-override:

gcloud network-security security-profiles threat-prevention \
   update-override NAME \
   --organization ORGANIZATION_ID \
   --location LOCATION \
   --project PROJECT_ID \
   [--severities SEVERITIES | --threat-ids THREAT_IDS] \
   --action ACTION

Substitua:

  • NAME: o nome do perfil de segurança; é possível especificar o nome como uma string ou um identificador de URL exclusivo.

  • ORGANIZATION_ID: a organização em que o perfil de segurança é criado.

    Se você usar um identificador de URL exclusivo para a sinalização name, será possível omitir a sinalização organization.

  • LOCATION: o local do perfil de segurança.

    O local está sempre definido como global. Se você usar um identificador de URL exclusivo para a sinalização name, omita a sinalização location.

  • PROJECT_ID: um ID do projeto opcional a ser usado para cotas e restrições de acesso no perfil de segurança.

  • SEVERITIES: uma lista separada por vírgulas dos níveis de gravidade em que você quer atualizar substituições. A gravidade pode ser uma das mostradas a seguir:

    • INFORMATIONAL
    • LOW
    • MEDIUM
    • HIGH
    • CRITICAL
  • THREAT_IDS: uma lista separada por vírgulas dos IDs de assinatura de ameaça em que você quer atualizar substituições.

  • ACTION: a ação padrão para os IDs de ameaças ou gravidades especificados. O papel pode ser um dos mostrados a seguir:

    • DEFAULT
    • ALLOW
    • DENY
    • ALERT

Excluir ações de substituição de um perfil de segurança

É possível excluir as ações de substituição existentes para níveis de gravidade ou assinaturas de ameaças de um perfil de segurança.

Para executar esta tarefa, é preciso que o recurso tenha as permissões OU um dos papéis do IAM a seguir na sua organização.

Permissões

  • networksecurity.securityProfiles.delete

Papéis

  • compute.networkAdmin
  1. No Console do Google Cloud, acesse a página Perfis de segurança.

    Acessar Perfis de segurança

  2. Selecione a guia Perfis de segurança. A guia mostra uma lista de perfis de segurança configurados.

  3. Selecione o perfil de segurança e clique em Editar.

  4. Em Substituições de gravidade, clique em Editar ao lado do nível de gravidade em que você quer excluir a ação de substituição.

  5. Na lista Ação de substituição, selecione Nenhuma substituição.

  6. Clique em Confirmar.

  7. Em Assinaturas, selecione o ID de ameaça que você quer excluir.

  8. Clique em Excluir.

  9. Clique em Salvar.

Para excluir uma ação de substituição de um perfil de segurança para prevenção de ameaças, use o comando gcloud network-security security-profiles threat-prevention delete-override:

gcloud network-security security-profiles threat-prevention \
   delete-override NAME \
   --organization ORGANIZATION_ID \
   --location LOCATION \
   --project PROJECT_ID \
   [--severities SEVERITIES | --threat-ids THREAT_IDS]

Substitua:

  • NAME: o nome do perfil de segurança; é possível especificar o nome como uma string ou um identificador de URL exclusivo.

  • ORGANIZATION_ID: a organização em que o perfil de segurança é criado.

    Se você usar um identificador de URL exclusivo para a sinalização name, será possível omitir a sinalização organization.

  • LOCATION: o local do perfil de segurança.

    O local está sempre definido como global. Se você usar um identificador de URL exclusivo para a sinalização name, omita a sinalização location.

  • PROJECT_ID: um ID do projeto opcional a ser usado para cotas e restrições de acesso no perfil de segurança.

  • SEVERITIES: uma lista separada por vírgulas dos níveis de gravidade em que você quer excluir substituições. A gravidade pode ser uma das mostradas a seguir:

    • INFORMATIONAL
    • LOW
    • MEDIUM
    • HIGH
    • CRITICAL
  • THREAT_IDS: uma lista separada por vírgulas dos IDs de assinatura de ameaça em que você quer excluir substituições.

A seguir