Esta página foi traduzida pela API Cloud Translation.

Google Cloud Armor

Este documento fornece orientações para ajudar você a configurar e integrar o Google Cloud Armor ao Google Security Operations.

Pré-requisitos

Conclua todas as etapas de pré-requisito antes de configurar a integração.

Criar e configurar o papel do IAM

No console do Google Cloud , acesse a página Papéis do IAM.

Acessar papéis do IAM
Clique em Criar papel para criar um papel personalizado com as permissões necessárias para a integração.
Para uma nova função personalizada, forneça o Título, a Descrição e um ID exclusivo.
Defina o Estágio de lançamento da função como Disponibilidade geral.
Adicione as seguintes permissões ao papel criado:
- compute.backendBuckets.setSecurityPolicy
- compute.backendServices.setSecurityPolicy
- compute.regionBackendServices.setSecurityPolicy
- compute.regionSecurityPolicies.create
- compute.regionSecurityPolicies.get
- compute.regionSecurityPolicies.list
- compute.regionSecurityPolicies.update
- compute.securityPolicies.create
- compute.securityPolicies.get
- compute.securityPolicies.list
- compute.securityPolicies.update
Clique em Criar.

Criar uma conta de serviço

Para criar uma conta de serviço, siga o procedimento de como criar uma conta de serviço.

Importante: conceda seu papel personalizado do IAM à conta de serviço em Conceder acesso a esta conta de serviço ao projeto.
Depois de criar uma conta de serviço, faça o download dela como um arquivo JSON. Você precisa fornecer o conteúdo de um arquivo JSON baixado ao configurar os parâmetros de integração.

Para usar o endereço de e-mail da Federação de Identidade da Carga de Trabalho para GKE em vez do conteúdo do arquivo JSON da conta de serviço, atribua a função Service Account Token Creator à conta de serviço usada na integração.

Integrar o Cloud Armor ao Google SecOps

Para configurar a integração, use os seguintes parâmetros:

Parâmetros
`API Root`	Obrigatório Raiz da API do serviço Cloud Armor. O valor padrão é `https://compute.googleapis.com/compute/v1/`.
`Project ID`	Opcional ID do projeto a ser usado para a integração do Cloud Armor. Se nenhum valor for fornecido, o ID do projeto será extraído do conteúdo do arquivo JSON fornecido no parâmetro Conta de serviço do usuário.
`Workload Identity Email`	Opcional Endereço de e-mail do cliente da sua conta de serviço. É possível configurar este parâmetro ou o parâmetro Conta de serviço do usuário. Para representar contas de serviço com o endereço de e-mail da Federação de Identidade da Carga de Trabalho para GKE, conceda o papel "Criador de token da conta de serviço" à sua conta de serviço. Para mais detalhes sobre identidades de carga de trabalho e como trabalhar com elas, consulte Identidades para cargas de trabalho.
`User Service Account`	Opcional Conteúdo do arquivo JSON da conta de serviço que você usa para o serviço do Cloud Armor. Forneça o conteúdo completo do arquivo JSON da conta de serviço. É possível configurar este parâmetro ou o parâmetro E-mail da Identidade da carga de trabalho.
`Verify SSL`	Opcional Se selecionado, o parâmetro verifica se o certificado SSL para a conexão com o serviço do Cloud Armor é válido. Essa opção é selecionada por padrão.

Ações

Algumas ações não exigem parâmetros de entrada.

Adicionar uma regra a uma política de segurança

Adicione uma nova regra à política de segurança no serviço do Cloud Armor.

Entidades

Essa ação não é executada em entidades.

Entradas de ação

Para configurar a ação, use os seguintes parâmetros:

Parâmetros

Parâmetros
`Policy Name`	Obrigatório Nome da política de segurança a que uma nova regra será adicionada.
`Region`	Opcional Região da política em que a regra será adicionada. Se nenhum valor for fornecido, a regra será adicionada à política de segurança global.
`Rule JSON`	Obrigatório Definição JSON da regra a ser adicionada. Para mais informações sobre como adicionar uma regra a uma política, consulte Método: securityPolicies.addRule.

Policy Name

Obrigatório

Nome da política de segurança a que uma nova regra será adicionada.

Region

Opcional

Região da política em que a regra será adicionada.

Se nenhum valor for fornecido, a regra será adicionada à política de segurança global.

Rule JSON

Obrigatório

Definição JSON da regra a ser adicionada.

Para mais informações sobre como adicionar uma regra a uma política, consulte Método: securityPolicies.addRule.

Saídas de ação

Tipo de saída da ação
Anexo do Painel de Casos	N/A
Link do Painel de Casos	N/A
Tabela do painel de casos	N/A
Tabela de enriquecimento	N/A
Resultado JSON	Disponível
Resultado do script	Disponível

Resultado do script

Nome do resultado do script	Valor
is_success	True ou false

Resultado JSON

{
   "kind": "compute#securityPolicy",
   "id": "ID",
   "creationTimestamp": "2024-04-14T05:39:05.798-07:00",
   "name": "example",
   "description": "Test for integration",
   "rules": [
       {
           "kind": "compute#securityPolicyRule",
           "description": "test",
           "priority": 100,
           "match": {
               "versionedExpr": "SRC_IPS_V1",
               "config": {
                   "srcIpRanges": [
                       "*"
                   ]
               }
           },
           "action": "allow",
           "preview": false
       },
       {
           "kind": "compute#securityPolicyRule",
           "description": "Default rule, higher priority overrides it",
           "priority": 2147483647,
           "match": {
               "versionedExpr": "SRC_IPS_V1",
               "config": {
                   "srcIpRanges": [
                       "*"
                   ]
               }
           },
           "action": "allow",
           "preview": false
       }
   ],
   "fingerprint": "A3hq2ZQYxj8=",
   "selfLink": "https://www.googleapis.com/compute/v1/projects/PROJECT_NAME/regions/northamerica-northeast1/securityPolicies/example",
   "type": "CLOUD_ARMOR",
   "labelFingerprint": "42WmSpB8rSM=",
   "region": "https://www.googleapis.com/compute/v1/projects/PROJECT_NAME/regions/northamerica-northeast1"
}

Painel de casos

Essa ação fornece as seguintes mensagens de saída:

Mensagem de resposta Descrição da mensagem

Successfully added a new rule to the security policy! A ação foi concluída.

Mensagem de resposta	Descrição da mensagem
`Successfully added a new rule to the security policy!`	A ação foi concluída.
`Error executing action "Add a Rule to a Security Policy". Reason: ERROR_REASON`	Falha na ação. Verifique a conexão com o servidor, os parâmetros de entrada, as credenciais, o nome da região, o conteúdo do arquivo JSON ou o nome de uma política.

Error executing action "Add a Rule to a Security Policy".
      Reason: ERROR_REASON

Falha na ação.

Verifique a conexão com o servidor, os parâmetros de entrada, as credenciais, o nome da região, o conteúdo do arquivo JSON ou o nome de uma política.

Criar uma política de segurança

Crie uma política de segurança no serviço do Cloud Armor.

Entidades

Essa ação não é executada em entidades.

Entradas de ação

Para configurar a ação, use os seguintes parâmetros:

Parâmetros

Parâmetros
`Region`	Opcional A região em que uma política será criada. Se nenhum valor for fornecido, a política de segurança global será criada.
`Policy JSON`	Obrigatório A definição JSON da política a ser criada. Para mais informações sobre políticas, consulte Recurso REST: securityPolicies.

Region

Opcional

A região em que uma política será criada.

Se nenhum valor for fornecido, a política de segurança global será criada.

Policy JSON

Obrigatório

A definição JSON da política a ser criada.

Para mais informações sobre políticas, consulte Recurso REST: securityPolicies.

Saídas de ação

Tipo de saída da ação
Anexo do Painel de Casos	N/A
Link do Painel de Casos	N/A
Tabela do painel de casos	N/A
Tabela de enriquecimento	N/A
Resultado JSON	Disponível
Resultado do script	Disponível

Resultado do script

Nome do resultado do script	Valor
is_success	True ou false

Resultado JSON

{
   "kind": "compute#securityPolicy",
   "id": "ID",
   "creationTimestamp": "2024-04-14T05:39:05.798-07:00",
   "name": "example",
   "description": "Test for integration",
   "rules": [
       {
           "kind": "compute#securityPolicyRule",
           "description": "test",
           "priority": 100,
           "match": {
               "versionedExpr": "SRC_IPS_V1",
               "config": {
                   "srcIpRanges": [
                       "*"
                   ]
               }
           },
           "action": "allow",
           "preview": false
       },
       {
           "kind": "compute#securityPolicyRule",
           "description": "Default rule, higher priority overrides it",
           "priority": 2147483647,
           "match": {
               "versionedExpr": "SRC_IPS_V1",
               "config": {
                   "srcIpRanges": [
                       "*"
                   ]
               }
           },
           "action": "allow",
           "preview": false
       }
   ],
   "fingerprint": "A3hq2ZQYxj8=",
   "selfLink": "https://www.googleapis.com/compute/v1/projects/PROJECT_NAME/regions/northamerica-northeast1/securityPolicies/example",
   "type": "CLOUD_ARMOR",
   "labelFingerprint": "42WmSpB8rSM=",
   "region": "https://www.googleapis.com/compute/v1/projects/PROJECT_NAME/regions/northamerica-northeast1"
}

Painel de casos

Essa ação fornece as seguintes mensagens de saída:

Mensagem de resposta Descrição da mensagem

Successfully created a new security policy! A ação foi concluída.

Mensagem de resposta	Descrição da mensagem
`Successfully created a new security policy!`	A ação foi concluída.
`Error executing action "Create a Security Policy". Reason: ERROR_REASON`	Falha na ação. Verifique a conexão com o servidor, os parâmetros de entrada, as credenciais, o nome da região ou o conteúdo de um arquivo JSON.

Error executing action "Create a Security Policy". Reason:
      ERROR_REASON

Falha na ação.

Verifique a conexão com o servidor, os parâmetros de entrada, as credenciais, o nome da região ou o conteúdo de um arquivo JSON.

Ping

Teste a conectividade com o serviço do Cloud Armor usando os parâmetros fornecidos na página de configuração da integração.

Entidades

Essa ação não é executada em entidades.

Entradas de ação

N/A

Saídas de ação

Tipo de saída da ação
Anexo do Painel de Casos	N/A
Link do Painel de Casos	N/A
Tabela do painel de casos	N/A
Tabela de enriquecimento	N/A
Resultado JSON	N/A
Resultado do script	Disponível

Resultado do script

Nome do resultado do script	Valor
is_success	True ou false

Painel de casos

Essa ação fornece as seguintes mensagens de saída:

Mensagem de resposta Descrição da mensagem

Successfully connected to the Google Cloud Armor service with the provided connection parameters! A ação foi concluída.

Mensagem de resposta	Descrição da mensagem
`Successfully connected to the Google Cloud Armor service with the provided connection parameters!`	A ação foi concluída.
`Failed to connect to the Google Cloud Armor service! Error is ERROR_REASON`	Falha na ação. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.

Failed to connect to the Google Cloud Armor service! Error is
      ERROR_REASON

Falha na ação.

Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.

Atualizar uma política de segurança

Atualize a política de segurança no serviço do Cloud Armor.

Essa ação não pode atualizar regras em uma política. Para adicionar uma regra à política relacionada, use a ação Adicionar uma regra a uma política de segurança.

Entidades

Essa ação não é executada em entidades.

Entradas de ação

Para configurar a ação, use os seguintes parâmetros:

Parâmetros

Parâmetros
`Policy Name`	Obrigatório Nome da política de segurança a que uma nova regra será adicionada.
`Region`	Opcional Região da política atualizada. Se nenhum valor for fornecido, a política de segurança global será criada.
`Rule JSON`	Obrigatório Definição JSON da política a ser atualizada. Para mais informações sobre as atualizações de política, consulte Método: securityPolicies.patch . Não é possível atualizar regras com essa ação. Para adicionar uma regra a uma política, use a ação Adicionar uma regra a uma política de segurança.

Policy Name

Obrigatório

Nome da política de segurança a que uma nova regra será adicionada.

Region

Opcional

Região da política atualizada.

Se nenhum valor for fornecido, a política de segurança global será criada.

Rule JSON

Obrigatório

Definição JSON da política a ser atualizada.

Para mais informações sobre as atualizações de política, consulte Método: securityPolicies.patch .

Não é possível atualizar regras com essa ação. Para adicionar uma regra a uma política, use a ação Adicionar uma regra a uma política de segurança.

Saídas de ação

Tipo de saída da ação
Anexo do Painel de Casos	N/A
Link do Painel de Casos	N/A
Tabela do painel de casos	N/A
Tabela de enriquecimento	N/A
Resultado JSON	Disponível
Resultado do script	Disponível

Resultado do script

Nome do resultado do script	Valor
is_success	True ou false

Resultado JSON

{
   "kind": "compute#securityPolicy",
   "id": "ID",
   "creationTimestamp": "2024-04-14T05:39:05.798-07:00",
   "name": "example",
   "description": "Test for integration",
   "rules": [
       {
           "kind": "compute#securityPolicyRule",
           "description": "test",
           "priority": 100,
           "match": {
               "versionedExpr": "SRC_IPS_V1",
               "config": {
                   "srcIpRanges": [
                       "*"
                   ]
               }
           },
           "action": "allow",
           "preview": false
       },
       {
           "kind": "compute#securityPolicyRule",
           "description": "Default rule, higher priority overrides it",
           "priority": 2147483647,
           "match": {
               "versionedExpr": "SRC_IPS_V1",
               "config": {
                   "srcIpRanges": [
                       "*"
                   ]
               }
           },
           "action": "allow",
           "preview": false
       }
   ],
   "fingerprint": "A3hq2ZQYxj8=",
   "selfLink": "https://www.googleapis.com/compute/v1/projects/PROJECT_NAME/regions/northamerica-northeast1/securityPolicies/example",
   "type": "CLOUD_ARMOR",
   "labelFingerprint": "42WmSpB8rSM=",
   "region": "https://www.googleapis.com/compute/v1/projects/PROJECT_NAME/regions/northamerica-northeast1"
}

Painel de casos

Essa ação fornece as seguintes mensagens de saída:

Mensagem de resposta Descrição da mensagem

Successfully added comment to the identity protection detection with ID DETECTION_ID in CrowdStrike A ação foi concluída.

Mensagem de resposta	Descrição da mensagem
`Successfully added comment to the identity protection detection with ID DETECTION_ID in CrowdStrike`	A ação foi concluída.
`Error executing action "Update a Security Policy". Reason: ERROR_REASON`	Falha na ação. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.

Error executing action "Update a Security Policy". Reason:
      ERROR_REASON

Falha na ação.

Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.