Google Cloud Armor
En este documento, se proporciona orientación para ayudarte a configurar e integrar Google Cloud Armor con Google Security Operations.
Requisitos previos
Asegúrate de completar todos los pasos de los requisitos previos antes de configurar la integración.
Crea y configura el rol de IAM
En la consola de Google Cloud , ve a la página Roles de IAM.
Haz clic en Crear rol para crear un rol personalizado con los permisos necesarios para la integración.
Para un nuevo rol personalizado, proporciona el Título, la Descripción y un ID único.
Establece la etapa de lanzamiento del rol en Disponibilidad general.
Agrega los siguientes permisos al rol creado:
compute.backendBuckets.setSecurityPolicycompute.backendServices.setSecurityPolicycompute.regionBackendServices.setSecurityPolicycompute.regionSecurityPolicies.createcompute.regionSecurityPolicies.getcompute.regionSecurityPolicies.listcompute.regionSecurityPolicies.updatecompute.securityPolicies.createcompute.securityPolicies.getcompute.securityPolicies.listcompute.securityPolicies.update
Haz clic en Crear.
Crea una cuenta de servicio
Para crear una cuenta de servicio, sigue el procedimiento para crear una cuenta de servicio.
Después de crear una cuenta de servicio, descárgala como un archivo JSON. Debes proporcionar el contenido de un archivo JSON descargado cuando configures los parámetros de integración.
Para usar la dirección de correo electrónico de Workload Identity Federation for GKE en lugar del contenido del archivo JSON de la cuenta de servicio, asigna el rol de
Service Account Token Creatora la cuenta de servicio que usas en la integración.
Integra Cloud Armor en Google SecOps
Para configurar la integración, usa los siguientes parámetros:
| Parámetros | |
|---|---|
API Root |
Obligatorio Es la raíz de la API del servicio de Cloud Armor. El valor predeterminado es |
Project ID |
Optional ID del proyecto que se usará para la integración de Cloud Armor. Si no se proporciona ningún valor, el ID del proyecto se extrae del contenido del archivo JSON proporcionado en el parámetro User Service Account. |
Workload Identity Email |
Optional Es la dirección de correo electrónico del cliente de tu cuenta de servicio. Puedes configurar este parámetro o el parámetro User Service Account. Para suplantar cuentas de servicio con la dirección de correo electrónico de Workload Identity Federation for GKE, otorga el rol de "Creador de tokens de cuenta de servicio" a tu cuenta de servicio. Para obtener más detalles sobre las identidades de cargas de trabajo y cómo trabajar con ellas, consulta Identidades para cargas de trabajo. |
User Service Account |
Optional Contenido del archivo JSON de la cuenta de servicio que usas para el servicio de Cloud Armor. Proporciona el contenido completo del archivo JSON de la cuenta de servicio. Puedes configurar este parámetro o el parámetro Correo electrónico de Workload Identity. |
Verify SSL |
Optional Si se selecciona, el parámetro verifica que el certificado SSL para la conexión al servicio de Cloud Armor sea válido. Esta opción se selecciona de forma predeterminada. |
Acciones
Algunas acciones no requieren parámetros de entrada.
Agrega una regla a una política de seguridad
Agrega una regla nueva a la política de seguridad en el servicio de Cloud Armor.
Entidades
Esta acción no se ejecuta en entidades.
Entradas de acción
Para configurar la acción, usa los siguientes parámetros:
| Parámetros | |
|---|---|
Policy Name |
Obligatorio Nombre de la política de seguridad a la que se agregará una regla nueva. |
Region |
Optional Es la región de la política en la que se agregará la regla. Si no se proporciona ningún valor, la regla se agrega a la política de seguridad a nivel global. |
Rule JSON |
Obligatorio Es la definición en JSON de la regla que se agregará. Para obtener más información sobre cómo agregar una regla a una política, consulta Método: securityPolicies.addRule. |
Resultados de la acción
| Tipo de salida de la acción | |
|---|---|
| Adjunto del muro de casos | N/A |
| Vínculo al muro de casos | N/A |
| Tabla del muro de casos | N/A |
| Tabla de enriquecimiento | N/A |
| Resultado de JSON | Disponible |
| Resultado de secuencia de comandos | Disponible |
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
| is_success | Verdadero o falso |
Resultado de JSON
{
"kind": "compute#securityPolicy",
"id": "ID",
"creationTimestamp": "2024-04-14T05:39:05.798-07:00",
"name": "example",
"description": "Test for integration",
"rules": [
{
"kind": "compute#securityPolicyRule",
"description": "test",
"priority": 100,
"match": {
"versionedExpr": "SRC_IPS_V1",
"config": {
"srcIpRanges": [
"*"
]
}
},
"action": "allow",
"preview": false
},
{
"kind": "compute#securityPolicyRule",
"description": "Default rule, higher priority overrides it",
"priority": 2147483647,
"match": {
"versionedExpr": "SRC_IPS_V1",
"config": {
"srcIpRanges": [
"*"
]
}
},
"action": "allow",
"preview": false
}
],
"fingerprint": "A3hq2ZQYxj8=",
"selfLink": "https://www.googleapis.com/compute/v1/projects/PROJECT_NAME/regions/northamerica-northeast1/securityPolicies/example",
"type": "CLOUD_ARMOR",
"labelFingerprint": "42WmSpB8rSM=",
"region": "https://www.googleapis.com/compute/v1/projects/PROJECT_NAME/regions/northamerica-northeast1"
}
Muro de casos
Esta acción proporciona los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
Successfully added a new rule to the security policy! |
La acción se completó correctamente. |
Error executing action "Add a Rule to a Security Policy".
Reason: ERROR_REASON |
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada, las credenciales, el nombre de la región, el contenido del archivo JSON o el nombre de una política. |
Crea una política de seguridad
Crea una política de seguridad en el servicio de Cloud Armor.
Entidades
Esta acción no se ejecuta en entidades.
Entradas de acción
Para configurar la acción, usa los siguientes parámetros:
| Parámetros | |
|---|---|
Region |
Optional Es la región en la que se creará una política. Si no se proporciona ningún valor, se crea la política de seguridad a nivel global. |
Policy JSON |
Obligatorio Es la definición en JSON de la política que se creará. Para obtener más información sobre las políticas, consulta Recurso de REST: securityPolicies. |
Resultados de la acción
| Tipo de salida de la acción | |
|---|---|
| Adjunto del muro de casos | N/A |
| Vínculo al muro de casos | N/A |
| Tabla del muro de casos | N/A |
| Tabla de enriquecimiento | N/A |
| Resultado de JSON | Disponible |
| Resultado de secuencia de comandos | Disponible |
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
| is_success | Verdadero o falso |
Resultado de JSON
{
"kind": "compute#securityPolicy",
"id": "ID",
"creationTimestamp": "2024-04-14T05:39:05.798-07:00",
"name": "example",
"description": "Test for integration",
"rules": [
{
"kind": "compute#securityPolicyRule",
"description": "test",
"priority": 100,
"match": {
"versionedExpr": "SRC_IPS_V1",
"config": {
"srcIpRanges": [
"*"
]
}
},
"action": "allow",
"preview": false
},
{
"kind": "compute#securityPolicyRule",
"description": "Default rule, higher priority overrides it",
"priority": 2147483647,
"match": {
"versionedExpr": "SRC_IPS_V1",
"config": {
"srcIpRanges": [
"*"
]
}
},
"action": "allow",
"preview": false
}
],
"fingerprint": "A3hq2ZQYxj8=",
"selfLink": "https://www.googleapis.com/compute/v1/projects/PROJECT_NAME/regions/northamerica-northeast1/securityPolicies/example",
"type": "CLOUD_ARMOR",
"labelFingerprint": "42WmSpB8rSM=",
"region": "https://www.googleapis.com/compute/v1/projects/PROJECT_NAME/regions/northamerica-northeast1"
}
Muro de casos
Esta acción proporciona los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
Successfully created a new security policy! |
La acción se completó correctamente. |
Error executing action "Create a Security Policy". Reason:
ERROR_REASON |
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada, las credenciales, el nombre de la región o el contenido de un archivo JSON. |
Ping
Prueba la conectividad con el servicio de Cloud Armor con los parámetros proporcionados en la página de configuración de la integración.
Entidades
Esta acción no se ejecuta en entidades.
Entradas de acción
N/A
Resultados de la acción
| Tipo de salida de la acción | |
|---|---|
| Adjunto del muro de casos | N/A |
| Vínculo al muro de casos | N/A |
| Tabla del muro de casos | N/A |
| Tabla de enriquecimiento | N/A |
| Resultado de JSON | N/A |
| Resultado de secuencia de comandos | Disponible |
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
| is_success | Verdadero o falso |
Muro de casos
Esta acción proporciona los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
Successfully connected to the Google Cloud Armor service with
the provided connection parameters! |
La acción se completó correctamente. |
Failed to connect to the Google Cloud Armor service! Error is
ERROR_REASON |
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Actualiza una política de seguridad
Actualiza la política de seguridad existente en el servicio de Cloud Armor.
Esta acción no puede actualizar reglas en una política. Para agregar una regla a la política relacionada, usa la acción Agregar una regla a una política de seguridad.
Entidades
Esta acción no se ejecuta en entidades.
Entradas de acción
Para configurar la acción, usa los siguientes parámetros:
| Parámetros | |
|---|---|
Policy Name |
Obligatorio Nombre de la política de seguridad a la que se agregará una regla nueva. |
Region |
Optional Es la región de la política actualizada. Si no se proporciona ningún valor, se crea la política de seguridad a nivel global. |
Rule JSON |
Obligatorio Es la definición JSON de la política que se actualizará. Para obtener más información sobre las actualizaciones de políticas, consulta Método: securityPolicies.patch . Con esta acción, no puedes actualizar reglas. Para agregar una regla a una política, usa la acción Agregar una regla a una política de seguridad. |
Resultados de la acción
| Tipo de salida de la acción | |
|---|---|
| Adjunto del muro de casos | N/A |
| Vínculo al muro de casos | N/A |
| Tabla del muro de casos | N/A |
| Tabla de enriquecimiento | N/A |
| Resultado de JSON | Disponible |
| Resultado de secuencia de comandos | Disponible |
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
| is_success | Verdadero o falso |
Resultado de JSON
{
"kind": "compute#securityPolicy",
"id": "ID",
"creationTimestamp": "2024-04-14T05:39:05.798-07:00",
"name": "example",
"description": "Test for integration",
"rules": [
{
"kind": "compute#securityPolicyRule",
"description": "test",
"priority": 100,
"match": {
"versionedExpr": "SRC_IPS_V1",
"config": {
"srcIpRanges": [
"*"
]
}
},
"action": "allow",
"preview": false
},
{
"kind": "compute#securityPolicyRule",
"description": "Default rule, higher priority overrides it",
"priority": 2147483647,
"match": {
"versionedExpr": "SRC_IPS_V1",
"config": {
"srcIpRanges": [
"*"
]
}
},
"action": "allow",
"preview": false
}
],
"fingerprint": "A3hq2ZQYxj8=",
"selfLink": "https://www.googleapis.com/compute/v1/projects/PROJECT_NAME/regions/northamerica-northeast1/securityPolicies/example",
"type": "CLOUD_ARMOR",
"labelFingerprint": "42WmSpB8rSM=",
"region": "https://www.googleapis.com/compute/v1/projects/PROJECT_NAME/regions/northamerica-northeast1"
}
Muro de casos
Esta acción proporciona los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
Successfully added comment to the
identity protection detection with ID
DETECTION_ID in CrowdStrike |
La acción se completó correctamente. |
Error executing action "Update a Security Policy". Reason:
ERROR_REASON |
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.