Los perfiles de seguridad te ayudan a definir la política de inspección de la capa 7 de tusGoogle Cloud recursos. Son estructuras de políticas genéricas que usan los endpoints de firewall para analizar el tráfico interceptado y proporcionar servicios de capa de aplicación, como el servicio de filtrado de URLs y el servicio de detección y prevención de intrusos.
En este documento se ofrece una descripción detallada de los perfiles de seguridad y sus funciones.
Especificaciones
Un perfil de seguridad es un recurso a nivel de organización.
Cloud Next Generation Firewall admite perfiles de seguridad de los tipos
url-filteringythreat-prevention.Cada perfil de seguridad se identifica de forma única mediante una URL con los siguientes elementos:
- ID de organización: ID de la organización.
- Ubicación: ámbito del perfil de seguridad. La ubicación siempre se define como
global. - Nombre: nombre del perfil de seguridad con el siguiente formato:
- Una cadena de entre 1 y 63 caracteres
- Solo incluye caracteres alfanuméricos o guiones (-).
- No puede empezar por un número
Para crear un identificador de URL único para un perfil de seguridad, usa el siguiente formato:
organization/ORGANIZATION_ID/locations/LOCATION/securityProfiles/SECURITY_PROFILE_NAMEPor ejemplo, un
globalperfil de seguridadexample-security-profilede la organización2345678432tiene el siguiente identificador único:organization/2345678432/locations/global/securityProfiles/example-security-profileDespués de crear un perfil de seguridad, puedes adjuntarlo a un grupo de perfiles de seguridad o hacerlo más adelante. El perfil de seguridad se referencia en la política de cortafuegos de la red de nube privada virtual (VPC) en la que quieras aplicar la inspección de la capa 7.
Cada perfil de seguridad debe tener un ID de proyecto asociado. El proyecto asociado se usa para las cuotas y las restricciones de acceso a los recursos del perfil de seguridad. Si autenticas tu cuenta de servicio con el comando
gcloud auth activate-service-account, puedes asociar tu cuenta de servicio al perfil de seguridad. Para obtener más información sobre cómo crear un perfil de seguridad, consulta Crear un perfil de seguridad de prevención de amenazas y Crear un perfil de seguridad de filtrado de URLs.
Perfil de seguridad de filtrado de URLs
Cloud NGFW usa un perfil de seguridad de filtrado de URLs para configurar el servicio de filtrado de URLs.
Un perfil de seguridad de filtrado de URL es un tipo de perfil de seguridad que usa uno o varios filtros de URL para definir políticas de seguridad para los endpoints del cortafuegos. Un filtro de URL es una lista de cadenas de coincidencia con una prioridad y una acción únicas. Las cadenas de coincidencia contienen nombres de dominio que Cloud NGFW compara con el mensaje HTTP que se está evaluando. En el caso de los mensajes cifrados, Cloud NGFW compara las cadenas de coincidencia con el SNI enviado durante la negociación de TLS. Si habilitas la inspección TLS, Cloud NGFW descifra el encabezado del mensaje y también evalúa el encabezado del host. En el caso del tráfico sin cifrar, Cloud NGFW siempre compara las cadenas de coincidencia con el encabezado Host del mensaje HTTP.
La prioridad de un filtro de URL se determina mediante el valor único que especifique en el campo priority. El valor de prioridad de un filtro de URL puede oscilar entre 0 y 2147483647. Cloud NGFW procesa primero el valor numérico más bajo (que representa la prioridad más alta), seguido del siguiente valor numérico más alto hasta que encuentra una coincidencia. Cloud NGFW no evalúa los dominios individuales de una lista de filtros de URLs por orden de prioridad.
Para obtener más información sobre cómo crear y gestionar perfiles de seguridad de filtrado de URLs, consulte Crear y gestionar perfiles de seguridad de filtrado de URLs.
Para obtener más información sobre cómo configurar el filtrado de URLs, consulte Configurar el servicio de filtrado de URLs.
Perfil de seguridad de prevención de amenazas
Cloud NGFW usa perfiles de seguridad de prevención de amenazas para ofrecer detección y prevención de intrusos.
Cuando creas un perfil de seguridad de tipo threat-prevention, se añaden al perfil las siguientes firmas de amenazas predeterminadas con la gravedad predeterminada y las acciones asociadas:
- Firmas de detección de vulnerabilidades
- Firmas antispyware
- Firmas de antivirus
- Firmas DNS
Puede añadir anulaciones de gravedad a sus perfiles de seguridad de prevención de amenazas. Cada firma predeterminada tiene un nivel de gravedad de la amenaza. El nivel de gravedad indica el riesgo de la amenaza detectada. Cada nivel de gravedad también tiene una acción predeterminada asociada. La acción predeterminada especifica las medidas que toma Cloud NGFW para gestionar las amenazas con un nivel de gravedad específico. Puedes usar perfiles de seguridad de prevención de amenazas para anular la acción predeterminada de un nivel de gravedad.
Se admiten las siguientes acciones:
- Sin anulación: realiza la acción predeterminada asociada a la amenaza.
- Denegar: registra la amenaza y descarta el paquete.
- Alerta: registra la amenaza y permite la sesión.
- Permitir: ignora la amenaza, si se detecta.
Cuando creas un perfil de seguridad de prevención de amenazas, la acción de anulación predeterminada para todos los niveles de gravedad se define como No override.
También puedes añadir anulaciones de firmas a tus perfiles de seguridad de prevención de amenazas. Cada firma de amenaza tiene una acción predeterminada asociada. Puedes usar perfiles de seguridad de prevención de amenazas para anular las acciones predeterminadas de las firmas de amenazas mediante las acciones anteriores. Las anulaciones de firmas tienen prioridad sobre las anulaciones de gravedad.
Para obtener más información sobre cómo configurar la prevención de amenazas, consulte Configurar el servicio de detección y prevención de intrusiones.
Roles de Gestión de Identidades y Accesos
Los roles de Gestión de Identidades y Accesos (IAM) rigen las siguientes acciones de los perfiles de seguridad:
- Crear un perfil de seguridad en una organización
- Modificar o eliminar un perfil de seguridad
- Ver los detalles de un perfil de seguridad
- Ver una lista de perfiles de seguridad de una organización
- Usar un perfil de seguridad en un grupo de perfiles de seguridad
En la siguiente tabla se describen los roles necesarios para cada paso.
| Habilidad | Rol necesario |
|---|---|
| Crear un perfil de seguridad | Los roles Administrador de redes de Compute (roles/compute.networkAdmin) y Administrador de perfiles de seguridad (roles/networksecurity.securityProfileAdmin) en la organización en la que se crea el perfil de seguridad. |
| Modificar un perfil de seguridad | Los roles Administrador de redes de Compute (roles/compute.networkAdmin) y Administrador de perfiles de seguridad (roles/networksecurity.securityProfileAdmin) en la organización en la que se crea el perfil de seguridad. |
| Eliminar un perfil de seguridad | Rol Administrador de red de Compute (roles/compute.networkAdmin) en la organización en la que se crea el perfil de seguridad. |
| Ver los detalles del perfil de seguridad de una organización | Cualquiera de los siguientes roles de la organización: Administrador de red de Compute ( roles/compute.networkAdmin)Usuario de red de Compute ( roles/compute.networkUser)Lector de red de Compute ( roles/compute.networkViewer)Administrador de perfil de seguridad ( roles/networksecurity.securityProfileAdmin) |
| Ver todos los perfiles de seguridad de una organización | Cualquiera de los siguientes roles de la organización: Administrador de red de Compute ( roles/compute.networkAdmin)Usuario de red de Compute ( roles/compute.networkUser)Lector de red de Compute ( roles/compute.networkViewer)Administrador de perfil de seguridad ( roles/networksecurity.securityProfileAdmin) |
| Usar un perfil de seguridad en un grupo de perfiles de seguridad | Cualquiera de los siguientes roles de la organización: Administrador de red de Compute ( roles/compute.networkAdmin)Usuario de red de Compute ( roles/compute.networkUser)Administrador de perfil de seguridad ( roles/networksecurity.securityProfileAdmin) |
Cuotas
Para ver las cuotas asociadas a los perfiles de seguridad, consulta Cuotas y límites.
Precios
Los precios de los perfiles de seguridad se describen en la página Precios de Cloud NGFW.
Siguientes pasos
- Configurar el servicio de filtrado de URLs
- Configurar el servicio de detección y prevención de intrusos
- Crear y gestionar perfiles de seguridad de prevención de amenazas
- Crear y gestionar perfiles de seguridad de filtrado de URLs