Descripción general del perfil de seguridad (original) (raw)

Los perfiles de seguridad te ayudan a definir la política de inspección de la capa 7 para tus recursos deGoogle Cloud . Son estructuras de políticas genéricas que usan los extremos de firewall para analizar el tráfico interceptado a fin de proporcionar servicios de capa de aplicación, como el servicio de filtrado de URLs y el servicio de detección y prevención de intrusiones.

En este documento, se proporciona una descripción general detallada de los perfiles de seguridad y sus capacidades.

Especificaciones

• Cloud Next Generation Firewall admite perfiles de seguridad de tipos URL_FILTERING y THREAT_PREVENTION.
• Cada perfil de seguridad se identifica de manera inequívoca mediante una URL con los siguientes elementos:
  • ID de la organización o ID del proyecto (Versión preliminar): ID de la organización host o del proyecto host.
  • Ubicación: permiso del perfil de seguridad. La ubicación siempre está configurada como global.
  • Nombre: Nombre del perfil de seguridad con el siguiente formato:
    * Una string de 1 a 63 caracteres
    * Solo incluye caracteres alfanuméricos o guiones (-)
    * No debe comenzar con un número
• A fin de crear un identificador de URL único para un perfil de seguridad, usa el siguiente formato:
  • Para un perfil de seguridad a nivel de la organización, haz lo siguiente:

organizations/ORGANIZATION_ID/locations/global/securityProfiles/SECURITY_PROFILE_NAME  

Por ejemplo, un perfil de seguridad example-security-profile en la organización 2345678432 tiene el siguiente identificador único:

organizations/2345678432/locations/global/securityProfiles/example-security-profile  

• Para un perfil de seguridad a nivel del proyecto (vista previa), haz lo siguiente:

projects/PROJECT_ID/locations/global/securityProfiles/SECURITY_PROFILE_NAME  

Por ejemplo, un perfil de seguridad example-security-profile en el proyecto my-project-123 tiene el siguiente identificador único:

projects/my-project-123/locations/global/securityProfiles/example-security-profile  

• Después de crear un perfil de seguridad, adjúntalo manualmente a un grupo de perfiles de seguridad. La política de firewall de la red de nube privada virtual (VPC) en la que deseas aplicar la inspección de capa 7 hace referencia a este grupo de perfiles de seguridad.
• Cada perfil de seguridad debe tener un ID del proyecto asociado. El proyecto asociado se usa para la facturación, las cuotas y las restricciones de acceso en los recursos del perfil de seguridad. Si autenticas la cuenta de servicio con el comando gcloud auth activate-service-account, puedes asociarla con el perfil de seguridad. Si quieres obtener más información para crear un perfil de seguridad, consulta Crea un perfil de seguridad de prevención de amenazas y Crea un perfil de seguridad de filtrado de URL.
• Cuando agregas perfiles de seguridad a un grupo de perfiles de seguridad, se aplican las siguientes restricciones:
  • Un grupo de perfiles de seguridad a nivel de la organización solo puede hacer referencia a perfiles de seguridad a nivel de la organización.
  • Un grupo de perfiles de seguridad a nivel del proyecto (vista previa) puede hacer referencia a perfiles de seguridad a nivel del proyecto (vista previa) en el mismo proyecto.

Perfil de seguridad de filtrado de URLs

Cloud NGFW usa un perfil de seguridad de filtrado de URLs para configurar el servicio de filtrado de URLs.

Un perfil de seguridad de filtrado de URLs es un tipo de perfil de seguridad que usa uno o más filtros de URL para definir políticas de seguridad para los extremos de firewall. Un filtro de URL es una lista de cadenas de comparador con una prioridad y una acción únicas. Las cadenas de comparador contienen nombres de dominio con los que Cloud NGFW compara el mensaje HTTP que se está evaluando. En el caso de los mensajes encriptados, Cloud NGFW verifica las cadenas de comparador con la SNI enviada durante la negociación de TLS. Si habilitas la inspección de TLS, Cloud NGFW desencripta el encabezado del mensaje y también evalúa el encabezado del host. En el caso del tráfico sin encriptar, Cloud NGFW siempre compara las cadenas de comparador con el encabezado Host del mensaje HTTP.

La prioridad de un filtro de URL se determina por el valor único que especificas con el campo priority. El valor de prioridad de un filtro de URL puede variar de 0 a 2147483647. Cloud NGFW procesa primero el valor numérico más bajo (que representa la prioridad más alta) y, luego, el siguiente valor numérico más alto hasta que encuentra una coincidencia. Cloud NGFW no evalúa los dominios individuales dentro de una lista de filtrado de URL en orden de prioridad.

Si quieres obtener más información para crear y administrar perfiles de seguridad de filtrado de URLs, consulta Crea y administra perfiles de seguridad de filtrado de URLs.

Para obtener más información sobre cómo configurar el filtrado de URLs, consulta Configura el servicio de filtrado de URLs.

Perfil de seguridad de prevención de amenazas

Cloud NGFW usa perfiles de seguridad de prevención de amenazas para proporcionar un servicio de prevención y detección de intrusiones.

Cuando creas un perfil de seguridad de tipo THREAT_PREVENTION, se agregan las siguientes firmas de amenazas predeterminadas con la gravedad predeterminada y las acciones asociadas al perfil:

• Firmas de detección de vulnerabilidades
• Firmas anti software espía
• Firmas antivirus
• Firmas DNS

Tienes la opción de agregar anulaciones de gravedad a tus perfiles de seguridad de prevención de amenazas. Cada firma predeterminada tiene un nivel de gravedad de amenaza. El nivel de gravedad indica el riesgo de las amenazas detectadas. Cada nivel de gravedad también tiene una acción predeterminada asociada. La acción predeterminada especifica las medidas que toma Cloud NGFW para controlar las amenazas con un nivel de gravedad específico. Puedes usar perfiles de seguridad de prevención de amenazas para anular la acción predeterminada de un nivel de gravedad.

Se admiten las siguientes acciones:

• Sin anulación: Realiza la acción predeterminada asociada con la amenaza.
• Denegar: Registra la amenaza y descarta el paquete.
• Alerta: Registra la amenaza y permite la sesión.
• Permitir: Ignora la amenaza si se detecta.

Cuando creas un perfil de seguridad de prevención de amenazas, la acción de anulación predeterminada para todos los niveles de gravedad se establece en No override.

También puedes agregar anulaciones de firma a tus perfiles de seguridad de prevención de amenazas. Cada firma de amenaza tiene una acción predeterminada asociada. Puedes usar perfiles de seguridad de prevención de amenazas para anular las acciones predeterminadas de las firmas de amenazas con las acciones anteriores. Las anulaciones de firma tienen prioridad sobre las anulaciones de gravedad.

Para obtener más información sobre cómo configurar la prevención de amenazas, consulta Configura el servicio de detección y prevención de intrusiones.

Roles de Identity and Access Management

Los roles de Identity and Access Management (IAM) rigen las siguientes acciones de perfiles de seguridad:

• Crear un perfil de seguridad en una organización o un proyecto
• Modifica o borra un perfil de seguridad en una organización o un proyecto
• Visualiza los detalles de un perfil de seguridad en una organización o un proyecto
• Visualizar una lista de los perfiles de seguridad de una organización o un proyecto
• Usar un perfil de seguridad en un grupo de perfiles de seguridad

En la siguiente tabla, se describen los roles necesarios para cada paso.

Cuotas

Para ver las cuotas asociadas con los perfiles de seguridad, consulta Cuotas y límites.

¿Qué sigue?

• Configura el servicio de filtrado de URLs
• Configura el servicio de detección y prevención de intrusiones
• Crea y administra perfiles de seguridad de prevención de amenazas
• Crea y administra perfiles de seguridad de filtrado de URLs