Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Google Cloud Armor

Questo documento fornisce indicazioni per configurare e integrare Google Cloud Armor con Google Security Operations.

Prerequisiti

Assicurati di completare tutti i passaggi preliminari prima di configurare l'integrazione.

Crea e configura il ruolo IAM

Nella console Google Cloud , vai alla pagina Ruoli IAM.

Vai a Ruoli IAM
Fai clic su Crea ruolo per creare un ruolo personalizzato con le autorizzazioni richieste per l'integrazione.
Per un nuovo ruolo personalizzato, fornisci Titolo, Descrizione e un ID univoco.
Imposta Fase di lancio del ruolo su Disponibilità generale.
Aggiungi le seguenti autorizzazioni al ruolo creato:
- compute.backendBuckets.setSecurityPolicy
- compute.backendServices.setSecurityPolicy
- compute.regionBackendServices.setSecurityPolicy
- compute.regionSecurityPolicies.create
- compute.regionSecurityPolicies.get
- compute.regionSecurityPolicies.list
- compute.regionSecurityPolicies.update
- compute.securityPolicies.create
- compute.securityPolicies.get
- compute.securityPolicies.list
- compute.securityPolicies.update
Fai clic su Crea.

Crea un account di servizio

Per creare un account di servizio, segui la procedura per creare un service account.

Importante: assicurati di concedere il ruolo IAM personalizzato al account di servizio in Concedi a questo account di servizio l'accesso al progetto.
Dopo aver creato un account di servizio, scaricalo come file JSON. Devi fornire i contenuti di un file JSON scaricato durante la configurazione dei parametri di integrazione.

Per utilizzare l'indirizzo email di Workload Identity Federation for GKE anziché il contenuto del file JSON dell'account di servizio, assegna il ruolo Service Account Token Creator all'account di servizio che utilizzi nell'integrazione.

Integra Cloud Armor con Google SecOps

Per configurare l'integrazione, utilizza i seguenti parametri:

Parametri
`API Root`	Obbligatorio Radice dell'API del servizio Cloud Armor. Il valore predefinito è `https://compute.googleapis.com/compute/v1/`.
`Project ID`	Optional ID progetto da utilizzare per l'integrazione di Cloud Armor. Se non viene fornito alcun valore, l'ID progetto viene estratto dal contenuto del file JSON fornito nel parametro Account di servizio utente.
`Workload Identity Email`	Optional Indirizzo email client del tuo account di servizio. Puoi configurare questo parametro o il parametro Service account utente. Per rappresentare service account con l'indirizzo email di Workload Identity Federation for GKE, concedi il ruolo "Creatore token service account" al tuo service account. Per maggiori dettagli sulle identità dei workload e su come utilizzarle, consulta Identità per i workload.
`User Service Account`	Optional Contenuti del file JSON dell'account di servizio che utilizzi per il servizio Cloud Armor. Fornisci l'intero contenuto del file JSON dell'account di servizio. Puoi configurare questo parametro o il parametro Email di Workload Identity.
`Verify SSL`	Optional Se selezionato, il parametro verifica che il certificato SSL per la connessione al servizio Cloud Armor sia valido. Questa opzione è selezionata per impostazione predefinita.

Azioni

Alcune azioni non richiedono parametri di input.

Aggiungere una regola a una policy di sicurezza

Aggiungi una nuova regola alla policy di sicurezza nel servizio Cloud Armor.

Entità

Questa azione non viene eseguita sulle entità.

Input azione

Per configurare l'azione, utilizza i seguenti parametri:

Parametri

Parametri
`Policy Name`	Obbligatorio Nome della policy di sicurezza a cui aggiungere una nuova regola.
`Region`	Optional Regione in cui aggiungere la regola alla policy. Se non viene fornito alcun valore, la regola viene aggiunta alla policy di sicurezza a livello globale.
`Rule JSON`	Obbligatorio Definizione JSON della regola da aggiungere. Per saperne di più sull'aggiunta di una regola a una policy, consulta Metodo: securityPolicies.addRule.

Policy Name

Obbligatorio

Nome della policy di sicurezza a cui aggiungere una nuova regola.

Region

Optional

Regione in cui aggiungere la regola alla policy.

Se non viene fornito alcun valore, la regola viene aggiunta alla policy di sicurezza a livello globale.

Rule JSON

Obbligatorio

Definizione JSON della regola da aggiungere.

Per saperne di più sull'aggiunta di una regola a una policy, consulta Metodo: securityPolicies.addRule.

Output dell'azione

Tipo di output dell'azione
Allegato della bacheca casi	N/D
Link alla bacheca casi	N/D
Tabella della bacheca casi	N/D
Tabella di arricchimento	N/D
Risultato JSON	Disponibile
Risultato dello script	Disponibile

Risultato dello script

Nome del risultato dello script	Valore
is_success	Vero o falso

Risultato JSON

{
   "kind": "compute#securityPolicy",
   "id": "ID",
   "creationTimestamp": "2024-04-14T05:39:05.798-07:00",
   "name": "example",
   "description": "Test for integration",
   "rules": [
       {
           "kind": "compute#securityPolicyRule",
           "description": "test",
           "priority": 100,
           "match": {
               "versionedExpr": "SRC_IPS_V1",
               "config": {
                   "srcIpRanges": [
                       "*"
                   ]
               }
           },
           "action": "allow",
           "preview": false
       },
       {
           "kind": "compute#securityPolicyRule",
           "description": "Default rule, higher priority overrides it",
           "priority": 2147483647,
           "match": {
               "versionedExpr": "SRC_IPS_V1",
               "config": {
                   "srcIpRanges": [
                       "*"
                   ]
               }
           },
           "action": "allow",
           "preview": false
       }
   ],
   "fingerprint": "A3hq2ZQYxj8=",
   "selfLink": "https://www.googleapis.com/compute/v1/projects/PROJECT_NAME/regions/northamerica-northeast1/securityPolicies/example",
   "type": "CLOUD_ARMOR",
   "labelFingerprint": "42WmSpB8rSM=",
   "region": "https://www.googleapis.com/compute/v1/projects/PROJECT_NAME/regions/northamerica-northeast1"
}

Bacheca casi

Questa azione fornisce i seguenti messaggi di output:

Messaggio di output Descrizione del messaggio

Successfully added a new rule to the security policy! Azione riuscita.

Messaggio di output	Descrizione del messaggio
`Successfully added a new rule to the security policy!`	Azione riuscita.
`Error executing action "Add a Rule to a Security Policy". Reason: ERROR_REASON`	Azione non riuscita. Controlla la connessione al server, i parametri di input, le credenziali, il nome della regione, il contenuto del file JSON o il nome di un criterio.

Error executing action "Add a Rule to a Security Policy".
      Reason: ERROR_REASON

Azione non riuscita.

Controlla la connessione al server, i parametri di input, le credenziali, il nome della regione, il contenuto del file JSON o il nome di un criterio.

Crea una policy di sicurezza

Crea una policy di sicurezza nel servizio Cloud Armor.

Entità

Questa azione non viene eseguita sulle entità.

Input azione

Per configurare l'azione, utilizza i seguenti parametri:

Parametri

Parametri
`Region`	Optional La regione in cui creare una policy. Se non viene fornito alcun valore, viene creata la policy di sicurezza a livello globale.
`Policy JSON`	Obbligatorio La definizione JSON del criterio da creare. Per saperne di più sulle policy, consulta Risorsa REST: securityPolicies.

Region

Optional

La regione in cui creare una policy.

Se non viene fornito alcun valore, viene creata la policy di sicurezza a livello globale.

Policy JSON

Obbligatorio

La definizione JSON del criterio da creare.

Per saperne di più sulle policy, consulta Risorsa REST: securityPolicies.

Output dell'azione

Tipo di output dell'azione
Allegato della bacheca casi	N/D
Link alla bacheca casi	N/D
Tabella della bacheca casi	N/D
Tabella di arricchimento	N/D
Risultato JSON	Disponibile
Risultato dello script	Disponibile

Risultato dello script

Nome del risultato dello script	Valore
is_success	Vero o falso

Risultato JSON

{
   "kind": "compute#securityPolicy",
   "id": "ID",
   "creationTimestamp": "2024-04-14T05:39:05.798-07:00",
   "name": "example",
   "description": "Test for integration",
   "rules": [
       {
           "kind": "compute#securityPolicyRule",
           "description": "test",
           "priority": 100,
           "match": {
               "versionedExpr": "SRC_IPS_V1",
               "config": {
                   "srcIpRanges": [
                       "*"
                   ]
               }
           },
           "action": "allow",
           "preview": false
       },
       {
           "kind": "compute#securityPolicyRule",
           "description": "Default rule, higher priority overrides it",
           "priority": 2147483647,
           "match": {
               "versionedExpr": "SRC_IPS_V1",
               "config": {
                   "srcIpRanges": [
                       "*"
                   ]
               }
           },
           "action": "allow",
           "preview": false
       }
   ],
   "fingerprint": "A3hq2ZQYxj8=",
   "selfLink": "https://www.googleapis.com/compute/v1/projects/PROJECT_NAME/regions/northamerica-northeast1/securityPolicies/example",
   "type": "CLOUD_ARMOR",
   "labelFingerprint": "42WmSpB8rSM=",
   "region": "https://www.googleapis.com/compute/v1/projects/PROJECT_NAME/regions/northamerica-northeast1"
}

Bacheca casi

Questa azione fornisce i seguenti messaggi di output:

Messaggio di output Descrizione del messaggio

Successfully created a new security policy! Azione riuscita.

Messaggio di output	Descrizione del messaggio
`Successfully created a new security policy!`	Azione riuscita.
`Error executing action "Create a Security Policy". Reason: ERROR_REASON`	Azione non riuscita. Controlla la connessione al server, i parametri di input, le credenziali, il nome della regione o il contenuto di un file JSON.

Error executing action "Create a Security Policy". Reason:
      ERROR_REASON

Azione non riuscita.

Controlla la connessione al server, i parametri di input, le credenziali, il nome della regione o il contenuto di un file JSON.

Dindin

Testa la connettività al servizio Cloud Armor con i parametri forniti nella pagina di configurazione dell'integrazione.

Entità

Questa azione non viene eseguita sulle entità.

Input azione

N/D

Output dell'azione

Tipo di output dell'azione
Allegato della bacheca casi	N/D
Link alla bacheca casi	N/D
Tabella della bacheca casi	N/D
Tabella di arricchimento	N/D
Risultato JSON	N/D
Risultato dello script	Disponibile

Risultato dello script

Nome del risultato dello script	Valore
is_success	Vero o falso

Bacheca casi

Questa azione fornisce i seguenti messaggi di output:

Messaggio di output Descrizione del messaggio

Successfully connected to the Google Cloud Armor service with the provided connection parameters! Azione riuscita.

Messaggio di output	Descrizione del messaggio
`Successfully connected to the Google Cloud Armor service with the provided connection parameters!`	Azione riuscita.
`Failed to connect to the Google Cloud Armor service! Error is ERROR_REASON`	Azione non riuscita. Controlla la connessione al server, i parametri di input o le credenziali.

Failed to connect to the Google Cloud Armor service! Error is
      ERROR_REASON

Azione non riuscita.

Controlla la connessione al server, i parametri di input o le credenziali.

Aggiorna un criterio di sicurezza

Aggiorna la policy di sicurezza esistente nel servizio Cloud Armor.

Questa azione non può aggiornare le regole in una norma. Per aggiungere una regola alla policy correlata, utilizza l'azione Aggiungi una regola a una policy di sicurezza.

Entità

Questa azione non viene eseguita sulle entità.

Input azione

Per configurare l'azione, utilizza i seguenti parametri:

Parametri

Parametri
`Policy Name`	Obbligatorio Nome della policy di sicurezza a cui aggiungere una nuova regola.
`Region`	Optional Regione per le norme aggiornate. Se non viene fornito alcun valore, viene creata la policy di sicurezza a livello globale.
`Rule JSON`	Obbligatorio Definizione JSON del criterio da aggiornare. Per maggiori informazioni sugli aggiornamenti delle norme, consulta Metodo: securityPolicies.patch . Non puoi aggiornare le regole con questa azione. Per aggiungere una regola a una policy, utilizza l'azione Aggiungi una regola a una policy di sicurezza.

Policy Name

Obbligatorio

Nome della policy di sicurezza a cui aggiungere una nuova regola.

Region

Optional

Regione per le norme aggiornate.

Se non viene fornito alcun valore, viene creata la policy di sicurezza a livello globale.

Rule JSON

Obbligatorio

Definizione JSON del criterio da aggiornare.

Per maggiori informazioni sugli aggiornamenti delle norme, consulta Metodo: securityPolicies.patch .

Non puoi aggiornare le regole con questa azione. Per aggiungere una regola a una policy, utilizza l'azione Aggiungi una regola a una policy di sicurezza.

Output dell'azione

Tipo di output dell'azione
Allegato della bacheca casi	N/D
Link alla bacheca casi	N/D
Tabella della bacheca casi	N/D
Tabella di arricchimento	N/D
Risultato JSON	Disponibile
Risultato dello script	Disponibile

Risultato dello script

Nome del risultato dello script	Valore
is_success	Vero o falso

Risultato JSON

{
   "kind": "compute#securityPolicy",
   "id": "ID",
   "creationTimestamp": "2024-04-14T05:39:05.798-07:00",
   "name": "example",
   "description": "Test for integration",
   "rules": [
       {
           "kind": "compute#securityPolicyRule",
           "description": "test",
           "priority": 100,
           "match": {
               "versionedExpr": "SRC_IPS_V1",
               "config": {
                   "srcIpRanges": [
                       "*"
                   ]
               }
           },
           "action": "allow",
           "preview": false
       },
       {
           "kind": "compute#securityPolicyRule",
           "description": "Default rule, higher priority overrides it",
           "priority": 2147483647,
           "match": {
               "versionedExpr": "SRC_IPS_V1",
               "config": {
                   "srcIpRanges": [
                       "*"
                   ]
               }
           },
           "action": "allow",
           "preview": false
       }
   ],
   "fingerprint": "A3hq2ZQYxj8=",
   "selfLink": "https://www.googleapis.com/compute/v1/projects/PROJECT_NAME/regions/northamerica-northeast1/securityPolicies/example",
   "type": "CLOUD_ARMOR",
   "labelFingerprint": "42WmSpB8rSM=",
   "region": "https://www.googleapis.com/compute/v1/projects/PROJECT_NAME/regions/northamerica-northeast1"
}

Bacheca casi

Questa azione fornisce i seguenti messaggi di output:

Messaggio di output Descrizione del messaggio

Successfully added comment to the identity protection detection with ID DETECTION_ID in CrowdStrike Azione riuscita.

Messaggio di output	Descrizione del messaggio
`Successfully added comment to the identity protection detection with ID DETECTION_ID in CrowdStrike`	Azione riuscita.
`Error executing action "Update a Security Policy". Reason: ERROR_REASON`	Azione non riuscita. Controlla la connessione al server, i parametri di input o le credenziali.

Error executing action "Update a Security Policy". Reason:
      ERROR_REASON

Azione non riuscita.

Controlla la connessione al server, i parametri di input o le credenziali.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.