Google Cloud Armor

Dokumen ini memberikan panduan untuk membantu Anda mengonfigurasi dan mengintegrasikan Google Cloud Armor dengan Google Security Operations.

Prasyarat

Pastikan Anda menyelesaikan semua langkah prasyarat sebelum mengonfigurasi integrasi.

Membuat dan mengonfigurasi peran IAM

  1. Di konsol Google Cloud , buka halaman IAM Roles.

    Buka Peran IAM

  2. Klik Buat peran untuk membuat peran kustom dengan izin yang diperlukan untuk integrasi.

  3. Untuk peran khusus baru, berikan Judul, Deskripsi, dan ID unik.

  4. Tetapkan Role Launch Stage ke General Availability.

  5. Tambahkan izin berikut ke peran yang dibuat:

    • compute.backendBuckets.setSecurityPolicy
    • compute.backendServices.setSecurityPolicy
    • compute.regionBackendServices.setSecurityPolicy
    • compute.regionSecurityPolicies.create
    • compute.regionSecurityPolicies.get
    • compute.regionSecurityPolicies.list
    • compute.regionSecurityPolicies.update
    • compute.securityPolicies.create
    • compute.securityPolicies.get
    • compute.securityPolicies.list
    • compute.securityPolicies.update

  6. Klik Buat.

Membuat akun layanan

  1. Untuk membuat akun layanan, ikuti prosedur membuat akun layanan.

  2. Setelah membuat akun layanan, download akun tersebut sebagai file JSON. Anda harus memberikan konten file JSON yang didownload saat mengonfigurasi parameter integrasi.

    Untuk menggunakan alamat email Workload Identity Federation for GKE, bukan konten file JSON akun layanan, tetapkan peran Service Account Token Creator ke akun layanan yang Anda gunakan dalam integrasi.

Mengintegrasikan Cloud Armor dengan Google SecOps

Untuk mengonfigurasi integrasi, gunakan parameter berikut:

Parameter
API Root Wajib

Root API layanan Cloud Armor.

Nilai defaultnya adalah https://compute.googleapis.com/compute/v1/.

Project ID Opsional

Project ID yang akan digunakan untuk integrasi Cloud Armor. Jika tidak ada nilai yang diberikan, ID project akan diekstrak dari konten file JSON yang diberikan dalam parameter User Service Account.
Workload Identity Email Opsional

Alamat email klien akun layanan Anda.

Anda dapat mengonfigurasi parameter ini atau parameter Akun Layanan Pengguna.

Untuk meniru identitas akun layanan dengan alamat email Workload Identity Federation for GKE, berikan peran `Service Account Token Creator` ke akun layanan Anda. Untuk mengetahui detail selengkapnya tentang identitas beban kerja dan cara menggunakannya, lihat Identitas untuk beban kerja.
User Service Account Opsional

Konten file JSON akun layanan yang Anda gunakan untuk layanan Cloud Armor.

Berikan konten lengkap file JSON akun layanan.

Anda dapat mengonfigurasi parameter ini atau parameter Email Workload Identity.
Verify SSL Opsional

Jika dipilih, parameter ini akan memverifikasi bahwa sertifikat SSL untuk koneksi ke layanan Cloud Armor valid.

Dipilih secara default.

Tindakan

Beberapa tindakan tidak memerlukan parameter input.

Menambahkan Aturan ke Kebijakan Keamanan

Tambahkan aturan baru ke kebijakan keamanan di layanan Cloud Armor.

Entity

Tindakan ini tidak dijalankan di entity.

Input tindakan

Untuk mengonfigurasi tindakan, gunakan parameter berikut:

Parameter
Policy Name Wajib

Nama kebijakan keamanan untuk menambahkan aturan baru.
Region Opsional

Wilayah untuk kebijakan yang akan ditambahkan aturannya.

Jika tidak ada nilai yang diberikan, aturan akan ditambahkan ke kebijakan keamanan tingkat global.

Rule JSON Wajib

Definisi JSON aturan yang akan ditambahkan.

Untuk mengetahui informasi selengkapnya tentang cara menambahkan aturan ke kebijakan, lihat Metode: securityPolicies.addRule.

Output tindakan

Jenis output tindakan
Lampiran repositori kasus T/A
Link repositori kasus T/A
Tabel repositori kasus T/A
Tabel pengayaan T/A
Hasil JSON Tersedia
Hasil skrip Tersedia
Hasil skrip
Nama hasil skrip Nilai
is_success Benar atau Salah
Hasil JSON
{
   "kind": "compute#securityPolicy",
   "id": "ID",
   "creationTimestamp": "2024-04-14T05:39:05.798-07:00",
   "name": "example",
   "description": "Test for integration",
   "rules": [
       {
           "kind": "compute#securityPolicyRule",
           "description": "test",
           "priority": 100,
           "match": {
               "versionedExpr": "SRC_IPS_V1",
               "config": {
                   "srcIpRanges": [
                       "*"
                   ]
               }
           },
           "action": "allow",
           "preview": false
       },
       {
           "kind": "compute#securityPolicyRule",
           "description": "Default rule, higher priority overrides it",
           "priority": 2147483647,
           "match": {
               "versionedExpr": "SRC_IPS_V1",
               "config": {
                   "srcIpRanges": [
                       "*"
                   ]
               }
           },
           "action": "allow",
           "preview": false
       }
   ],
   "fingerprint": "A3hq2ZQYxj8=",
   "selfLink": "https://www.googleapis.com/compute/v1/projects/PROJECT_NAME/regions/northamerica-northeast1/securityPolicies/example",
   "type": "CLOUD_ARMOR",
   "labelFingerprint": "42WmSpB8rSM=",
   "region": "https://www.googleapis.com/compute/v1/projects/PROJECT_NAME/regions/northamerica-northeast1"
}
Repositori kasus

Tindakan ini memberikan pesan output berikut:

Pesan output Deskripsi pesan
Successfully added a new rule to the security policy! Tindakan berhasil.
Error executing action "Add a Rule to a Security Policy". Reason: ERROR_REASON

Tindakan gagal.

Periksa koneksi ke server, parameter input, kredensial, nama region, konten file JSON, atau nama kebijakan.

Membuat Kebijakan Keamanan

Buat kebijakan keamanan di layanan Cloud Armor.

Entity

Tindakan ini tidak dijalankan di entity.

Input tindakan

Untuk mengonfigurasi tindakan, gunakan parameter berikut:

Parameter
Region Opsional

Region untuk membuat kebijakan.

Jika tidak ada nilai yang diberikan, kebijakan keamanan tingkat global akan dibuat.
Policy JSON Wajib

Definisi JSON dari kebijakan yang akan dibuat.

Untuk mengetahui informasi selengkapnya tentang kebijakan, lihat REST Resource: securityPolicies.

Output tindakan

Jenis output tindakan
Lampiran repositori kasus T/A
Link repositori kasus T/A
Tabel repositori kasus T/A
Tabel pengayaan T/A
Hasil JSON Tersedia
Hasil skrip Tersedia
Hasil skrip
Nama hasil skrip Nilai
is_success Benar atau Salah
Hasil JSON
{
   "kind": "compute#securityPolicy",
   "id": "ID",
   "creationTimestamp": "2024-04-14T05:39:05.798-07:00",
   "name": "example",
   "description": "Test for integration",
   "rules": [
       {
           "kind": "compute#securityPolicyRule",
           "description": "test",
           "priority": 100,
           "match": {
               "versionedExpr": "SRC_IPS_V1",
               "config": {
                   "srcIpRanges": [
                       "*"
                   ]
               }
           },
           "action": "allow",
           "preview": false
       },
       {
           "kind": "compute#securityPolicyRule",
           "description": "Default rule, higher priority overrides it",
           "priority": 2147483647,
           "match": {
               "versionedExpr": "SRC_IPS_V1",
               "config": {
                   "srcIpRanges": [
                       "*"
                   ]
               }
           },
           "action": "allow",
           "preview": false
       }
   ],
   "fingerprint": "A3hq2ZQYxj8=",
   "selfLink": "https://www.googleapis.com/compute/v1/projects/PROJECT_NAME/regions/northamerica-northeast1/securityPolicies/example",
   "type": "CLOUD_ARMOR",
   "labelFingerprint": "42WmSpB8rSM=",
   "region": "https://www.googleapis.com/compute/v1/projects/PROJECT_NAME/regions/northamerica-northeast1"
}
Repositori kasus

Tindakan ini memberikan pesan output berikut:

Pesan output Deskripsi pesan
Successfully created a new security policy! Tindakan berhasil.
Error executing action "Create a Security Policy". Reason: ERROR_REASON

Tindakan gagal.

Periksa koneksi ke server, parameter input, kredensial, nama region, atau konten file JSON.

Ping

Uji konektivitas ke layanan Cloud Armor dengan parameter yang diberikan di halaman konfigurasi integrasi.

Entity

Tindakan ini tidak dijalankan di entity.

Input tindakan

T/A

Output tindakan

Jenis output tindakan
Lampiran repositori kasus T/A
Link repositori kasus T/A
Tabel repositori kasus T/A
Tabel pengayaan T/A
Hasil JSON T/A
Hasil skrip Tersedia
Hasil skrip
Nama hasil skrip Nilai
is_success Benar atau Salah
Repositori kasus

Tindakan ini memberikan pesan output berikut:

Pesan output Deskripsi pesan
Successfully connected to the Google Cloud Armor service with the provided connection parameters! Tindakan berhasil.
Failed to connect to the Google Cloud Armor service! Error is ERROR_REASON

Tindakan gagal.

Periksa koneksi ke server, parameter input, atau kredensial.

Memperbarui Kebijakan Keamanan

Perbarui kebijakan keamanan yang ada di layanan Cloud Armor.

Tindakan ini tidak dapat memperbarui aturan dalam kebijakan. Untuk menambahkan aturan ke kebijakan terkait, gunakan tindakan Tambahkan Aturan ke Kebijakan Keamanan.

Entity

Tindakan ini tidak dijalankan di entity.

Input tindakan

Untuk mengonfigurasi tindakan, gunakan parameter berikut:

Parameter
Policy Name Wajib

Nama kebijakan keamanan untuk menambahkan aturan baru.
Region Opsional

Region untuk kebijakan yang diperbarui.

Jika tidak ada nilai yang diberikan, kebijakan keamanan tingkat global akan dibuat.
Rule JSON Wajib

Definisi JSON kebijakan yang akan diperbarui.

Untuk informasi selengkapnya tentang perubahan kebijakan, lihat Metode: securityPolicies.patch .

Anda tidak dapat memperbarui aturan dengan tindakan ini. Untuk menambahkan aturan ke kebijakan, gunakan tindakan Tambahkan Aturan ke Kebijakan Keamanan.

Output tindakan

Jenis output tindakan
Lampiran repositori kasus T/A
Link repositori kasus T/A
Tabel repositori kasus T/A
Tabel pengayaan T/A
Hasil JSON Tersedia
Hasil skrip Tersedia
Hasil skrip
Nama hasil skrip Nilai
is_success Benar atau Salah
Hasil JSON
{
   "kind": "compute#securityPolicy",
   "id": "ID",
   "creationTimestamp": "2024-04-14T05:39:05.798-07:00",
   "name": "example",
   "description": "Test for integration",
   "rules": [
       {
           "kind": "compute#securityPolicyRule",
           "description": "test",
           "priority": 100,
           "match": {
               "versionedExpr": "SRC_IPS_V1",
               "config": {
                   "srcIpRanges": [
                       "*"
                   ]
               }
           },
           "action": "allow",
           "preview": false
       },
       {
           "kind": "compute#securityPolicyRule",
           "description": "Default rule, higher priority overrides it",
           "priority": 2147483647,
           "match": {
               "versionedExpr": "SRC_IPS_V1",
               "config": {
                   "srcIpRanges": [
                       "*"
                   ]
               }
           },
           "action": "allow",
           "preview": false
       }
   ],
   "fingerprint": "A3hq2ZQYxj8=",
   "selfLink": "https://www.googleapis.com/compute/v1/projects/PROJECT_NAME/regions/northamerica-northeast1/securityPolicies/example",
   "type": "CLOUD_ARMOR",
   "labelFingerprint": "42WmSpB8rSM=",
   "region": "https://www.googleapis.com/compute/v1/projects/PROJECT_NAME/regions/northamerica-northeast1"
}
Repositori kasus

Tindakan ini memberikan pesan output berikut:

Pesan output Deskripsi pesan
Successfully added comment to the identity protection detection with ID DETECTION_ID in CrowdStrike Tindakan berhasil.
Error executing action "Update a Security Policy". Reason: ERROR_REASON

Tindakan gagal.

Periksa koneksi ke server, parameter input, atau kredensial.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.