Esta página se ha traducido con Cloud Translation API.

Google Cloud Armor

En este documento se explica cómo configurar e integrar Google Cloud Armor con Google Security Operations.

Requisitos previos

Asegúrate de completar todos los pasos necesarios antes de configurar la integración.

Crear y configurar el rol de gestión de identidades y accesos

En la Google Cloud consola, ve a la página Roles de gestión de identidades y accesos.

Ir a Roles de gestión de identidades y accesos
Haz clic en Crear rol para crear un rol personalizado con los permisos necesarios para la integración.
Para crear un rol personalizado, indica el título, la descripción y un ID único.
En Fase de lanzamiento del rol, selecciona Disponibilidad general.
Añade los siguientes permisos al rol creado:
- compute.backendBuckets.setSecurityPolicy
- compute.backendServices.setSecurityPolicy
- compute.regionBackendServices.setSecurityPolicy
- compute.regionSecurityPolicies.create
- compute.regionSecurityPolicies.get
- compute.regionSecurityPolicies.list
- compute.regionSecurityPolicies.update
- compute.securityPolicies.create
- compute.securityPolicies.get
- compute.securityPolicies.list
- compute.securityPolicies.update
Haz clic en Crear.

Crear una cuenta de servicio

Para crear una cuenta de servicio, sigue el procedimiento para crear una cuenta de servicio.

Importante: Asegúrate de asignar tu rol de gestión de identidades y accesos personalizado a la cuenta de servicio en Conceder a esta cuenta de servicio acceso al proyecto.
Una vez que hayas creado una cuenta de servicio, descárgala como archivo JSON. Debe proporcionar el contenido de un archivo JSON descargado al configurar los parámetros de integración.

Para usar la dirección de correo de la federación de identidades de carga de trabajo para GKE en lugar del contenido del archivo JSON de la cuenta de servicio, asigna el rol Service Account Token Creator a la cuenta de servicio que uses en la integración.

Integrar Cloud Armor con Google SecOps

Para configurar la integración, usa los siguientes parámetros:

Parámetros
`API Root`	Obligatorio Raíz de la API del servicio Cloud Armor. El valor predeterminado es `https://compute.googleapis.com/compute/v1/`.
`Project ID`	Optional ID de proyecto que se usará para la integración de Cloud Armor. Si no se proporciona ningún valor, el ID de proyecto se extrae del contenido del archivo JSON proporcionado en el parámetro Cuenta de servicio de usuario.
`Workload Identity Email`	Optional Dirección de correo del cliente de tu cuenta de servicio. Puedes configurar este parámetro o el parámetro Cuenta de servicio de usuario. Para suplantar cuentas de servicio con la dirección de correo de la federación de identidades de carga de trabajo para GKE, asigna el rol `Creador de tokens de cuenta de servicio` a tu cuenta de servicio. Para obtener más información sobre las identidades de carga de trabajo y cómo trabajar con ellas, consulta Identidades de cargas de trabajo.
`User Service Account`	Optional Contenido del archivo JSON de la cuenta de servicio que usas para el servicio Cloud Armor. Proporciona el contenido completo del archivo JSON de la cuenta de servicio. Puedes configurar este parámetro o el parámetro Correo de Workload Identity.
`Verify SSL`	Optional Si se selecciona, el parámetro verifica que el certificado SSL de la conexión al servicio Cloud Armor sea válido. Esta opción está seleccionada de forma predeterminada.

Acciones

Algunas acciones no requieren parámetros de entrada.

Añadir una regla a una política de seguridad

Añade una regla a la política de seguridad en el servicio Cloud Armor.

Entidades

Esta acción no se ejecuta en entidades.

Entradas de acciones

Para configurar la acción, usa los siguientes parámetros:

Parámetros

Parámetros
`Policy Name`	Obligatorio Nombre de la política de seguridad a la que se va a añadir una nueva regla.
`Region`	Optional Región de la política en la que se va a añadir la regla. Si no se proporciona ningún valor, la regla se añade a la política de seguridad de nivel global.
`Rule JSON`	Obligatorio Definición JSON de la regla que se va a añadir. Para obtener más información sobre cómo añadir una regla a una política, consulta el método securityPolicies.addRule.

Policy Name

Obligatorio

Nombre de la política de seguridad a la que se va a añadir una nueva regla.

Region

Optional

Región de la política en la que se va a añadir la regla.

Si no se proporciona ningún valor, la regla se añade a la política de seguridad de nivel global.

Rule JSON

Obligatorio

Definición JSON de la regla que se va a añadir.

Para obtener más información sobre cómo añadir una regla a una política, consulta el método securityPolicies.addRule.

Resultados de la acción

Tipo de salida de la acción
Adjunto del panel de casos	N/A
Enlace del panel de casos	N/A
Tabla del panel de casos	N/A
Tabla de enriquecimiento	N/A
Resultado de JSON	Disponible
Resultado de la secuencia de comandos	Disponible

Resultado de la secuencia de comandos

Nombre del resultado del script	Valor
is_success	Verdadero o falso

Resultado de JSON

{
   "kind": "compute#securityPolicy",
   "id": "ID",
   "creationTimestamp": "2024-04-14T05:39:05.798-07:00",
   "name": "example",
   "description": "Test for integration",
   "rules": [
       {
           "kind": "compute#securityPolicyRule",
           "description": "test",
           "priority": 100,
           "match": {
               "versionedExpr": "SRC_IPS_V1",
               "config": {
                   "srcIpRanges": [
                       "*"
                   ]
               }
           },
           "action": "allow",
           "preview": false
       },
       {
           "kind": "compute#securityPolicyRule",
           "description": "Default rule, higher priority overrides it",
           "priority": 2147483647,
           "match": {
               "versionedExpr": "SRC_IPS_V1",
               "config": {
                   "srcIpRanges": [
                       "*"
                   ]
               }
           },
           "action": "allow",
           "preview": false
       }
   ],
   "fingerprint": "A3hq2ZQYxj8=",
   "selfLink": "https://www.googleapis.com/compute/v1/projects/PROJECT_NAME/regions/northamerica-northeast1/securityPolicies/example",
   "type": "CLOUD_ARMOR",
   "labelFingerprint": "42WmSpB8rSM=",
   "region": "https://www.googleapis.com/compute/v1/projects/PROJECT_NAME/regions/northamerica-northeast1"
}

Panel de casos

Esta acción proporciona los siguientes mensajes de salida:

Mensaje resultante Descripción del mensaje

Successfully added a new rule to the security policy! La acción se ha realizado correctamente.

Mensaje resultante	Descripción del mensaje
`Successfully added a new rule to the security policy!`	La acción se ha realizado correctamente.
`Error executing action "Add a Rule to a Security Policy". Reason: ERROR_REASON`	Ha fallado la acción. Comprueba la conexión al servidor, los parámetros de entrada, las credenciales, el nombre de la región, el contenido del archivo JSON o el nombre de una política.

Error executing action "Add a Rule to a Security Policy".
      Reason: ERROR_REASON

Ha fallado la acción.

Comprueba la conexión al servidor, los parámetros de entrada, las credenciales, el nombre de la región, el contenido del archivo JSON o el nombre de una política.

Crear una política de seguridad

Crea una política de seguridad en el servicio Cloud Armor.

Entidades

Esta acción no se ejecuta en entidades.

Entradas de acciones

Para configurar la acción, usa los siguientes parámetros:

Parámetros

Parámetros
`Region`	Optional Región en la que se va a crear la política. Si no se proporciona ningún valor, se crea la política de seguridad a nivel global.
`Policy JSON`	Obligatorio Definición JSON de la política que se va a crear. Para obtener más información sobre las políticas, consulta Recurso REST: securityPolicies.

Region

Optional

Región en la que se va a crear la política.

Si no se proporciona ningún valor, se crea la política de seguridad a nivel global.

Policy JSON

Obligatorio

Definición JSON de la política que se va a crear.

Para obtener más información sobre las políticas, consulta Recurso REST: securityPolicies.

Resultados de la acción

Tipo de salida de la acción
Adjunto del panel de casos	N/A
Enlace del panel de casos	N/A
Tabla del panel de casos	N/A
Tabla de enriquecimiento	N/A
Resultado de JSON	Disponible
Resultado de la secuencia de comandos	Disponible

Resultado de la secuencia de comandos

Nombre del resultado del script	Valor
is_success	Verdadero o falso

Resultado de JSON

{
   "kind": "compute#securityPolicy",
   "id": "ID",
   "creationTimestamp": "2024-04-14T05:39:05.798-07:00",
   "name": "example",
   "description": "Test for integration",
   "rules": [
       {
           "kind": "compute#securityPolicyRule",
           "description": "test",
           "priority": 100,
           "match": {
               "versionedExpr": "SRC_IPS_V1",
               "config": {
                   "srcIpRanges": [
                       "*"
                   ]
               }
           },
           "action": "allow",
           "preview": false
       },
       {
           "kind": "compute#securityPolicyRule",
           "description": "Default rule, higher priority overrides it",
           "priority": 2147483647,
           "match": {
               "versionedExpr": "SRC_IPS_V1",
               "config": {
                   "srcIpRanges": [
                       "*"
                   ]
               }
           },
           "action": "allow",
           "preview": false
       }
   ],
   "fingerprint": "A3hq2ZQYxj8=",
   "selfLink": "https://www.googleapis.com/compute/v1/projects/PROJECT_NAME/regions/northamerica-northeast1/securityPolicies/example",
   "type": "CLOUD_ARMOR",
   "labelFingerprint": "42WmSpB8rSM=",
   "region": "https://www.googleapis.com/compute/v1/projects/PROJECT_NAME/regions/northamerica-northeast1"
}

Panel de casos

Esta acción proporciona los siguientes mensajes de salida:

Mensaje resultante Descripción del mensaje

Successfully created a new security policy! La acción se ha realizado correctamente.

Mensaje resultante	Descripción del mensaje
`Successfully created a new security policy!`	La acción se ha realizado correctamente.
`Error executing action "Create a Security Policy". Reason: ERROR_REASON`	Ha fallado la acción. Comprueba la conexión al servidor, los parámetros de entrada, las credenciales, el nombre de la región o el contenido de un archivo JSON.

Error executing action "Create a Security Policy". Reason:
      ERROR_REASON

Ha fallado la acción.

Comprueba la conexión al servidor, los parámetros de entrada, las credenciales, el nombre de la región o el contenido de un archivo JSON.

Ping

Prueba la conectividad con el servicio Cloud Armor con los parámetros proporcionados en la página de configuración de la integración.

Entidades

Esta acción no se ejecuta en entidades.

Entradas de acciones

N/A

Resultados de la acción

Tipo de salida de la acción
Adjunto del panel de casos	N/A
Enlace del panel de casos	N/A
Tabla del panel de casos	N/A
Tabla de enriquecimiento	N/A
Resultado de JSON	N/A
Resultado de la secuencia de comandos	Disponible

Resultado de la secuencia de comandos

Nombre del resultado del script	Valor
is_success	Verdadero o falso

Panel de casos

Esta acción proporciona los siguientes mensajes de salida:

Mensaje resultante Descripción del mensaje

Successfully connected to the Google Cloud Armor service with the provided connection parameters! La acción se ha realizado correctamente.

Mensaje resultante	Descripción del mensaje
`Successfully connected to the Google Cloud Armor service with the provided connection parameters!`	La acción se ha realizado correctamente.
`Failed to connect to the Google Cloud Armor service! Error is ERROR_REASON`	Ha fallado la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales.

Failed to connect to the Google Cloud Armor service! Error is
      ERROR_REASON

Ha fallado la acción.

Comprueba la conexión al servidor, los parámetros de entrada o las credenciales.

Actualizar una política de seguridad

Actualiza la política de seguridad en el servicio Cloud Armor.

Esta acción no puede actualizar reglas de una política. Para añadir una regla a la política relacionada, usa la acción Añadir una regla a una política de seguridad.

Entidades

Esta acción no se ejecuta en entidades.

Entradas de acciones

Para configurar la acción, usa los siguientes parámetros:

Parámetros

Parámetros
`Policy Name`	Obligatorio Nombre de la política de seguridad a la que se va a añadir una nueva regla.
`Region`	Optional Región de la política actualizada. Si no se proporciona ningún valor, se crea la política de seguridad a nivel global.
`Rule JSON`	Obligatorio Definición JSON de la política que se va a actualizar. Para obtener más información sobre las actualizaciones de la política, consulta Método: securityPolicies.patch . No puedes actualizar reglas con esta acción. Para añadir una regla a una política, usa la acción Añadir una regla a una política de seguridad.

Policy Name

Obligatorio

Nombre de la política de seguridad a la que se va a añadir una nueva regla.

Region

Optional

Región de la política actualizada.

Si no se proporciona ningún valor, se crea la política de seguridad a nivel global.

Rule JSON

Obligatorio

Definición JSON de la política que se va a actualizar.

Para obtener más información sobre las actualizaciones de la política, consulta Método: securityPolicies.patch .

No puedes actualizar reglas con esta acción. Para añadir una regla a una política, usa la acción Añadir una regla a una política de seguridad.

Resultados de la acción

Tipo de salida de la acción
Adjunto del panel de casos	N/A
Enlace del panel de casos	N/A
Tabla del panel de casos	N/A
Tabla de enriquecimiento	N/A
Resultado de JSON	Disponible
Resultado de la secuencia de comandos	Disponible

Resultado de la secuencia de comandos

Nombre del resultado del script	Valor
is_success	Verdadero o falso

Resultado de JSON

{
   "kind": "compute#securityPolicy",
   "id": "ID",
   "creationTimestamp": "2024-04-14T05:39:05.798-07:00",
   "name": "example",
   "description": "Test for integration",
   "rules": [
       {
           "kind": "compute#securityPolicyRule",
           "description": "test",
           "priority": 100,
           "match": {
               "versionedExpr": "SRC_IPS_V1",
               "config": {
                   "srcIpRanges": [
                       "*"
                   ]
               }
           },
           "action": "allow",
           "preview": false
       },
       {
           "kind": "compute#securityPolicyRule",
           "description": "Default rule, higher priority overrides it",
           "priority": 2147483647,
           "match": {
               "versionedExpr": "SRC_IPS_V1",
               "config": {
                   "srcIpRanges": [
                       "*"
                   ]
               }
           },
           "action": "allow",
           "preview": false
       }
   ],
   "fingerprint": "A3hq2ZQYxj8=",
   "selfLink": "https://www.googleapis.com/compute/v1/projects/PROJECT_NAME/regions/northamerica-northeast1/securityPolicies/example",
   "type": "CLOUD_ARMOR",
   "labelFingerprint": "42WmSpB8rSM=",
   "region": "https://www.googleapis.com/compute/v1/projects/PROJECT_NAME/regions/northamerica-northeast1"
}

Panel de casos

Esta acción proporciona los siguientes mensajes de salida:

Mensaje resultante Descripción del mensaje

Successfully added comment to the identity protection detection with ID DETECTION_ID in CrowdStrike La acción se ha realizado correctamente.

Mensaje resultante	Descripción del mensaje
`Successfully added comment to the identity protection detection with ID DETECTION_ID in CrowdStrike`	La acción se ha realizado correctamente.
`Error executing action "Update a Security Policy". Reason: ERROR_REASON`	Ha fallado la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales.

Error executing action "Update a Security Policy". Reason:
      ERROR_REASON

Ha fallado la acción.

Comprueba la conexión al servidor, los parámetros de entrada o las credenciales.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.