Google Cloud Armor
이 문서에서는 Google Cloud Armor를 Google Security Operations와 구성하고 통합하는 데 도움이 되는 안내를 제공합니다.
기본 요건
통합을 구성하기 전에 모든 기본 요건 단계를 완료해야 합니다.
IAM 역할 만들기 및 구성
Google Cloud 콘솔에서 IAM 역할 페이지로 이동합니다.
역할 만들기를 클릭하여 통합에 필요한 권한이 있는 커스텀 역할을 만듭니다.
새 커스텀 역할의 경우 제목, 설명, 고유 ID를 제공합니다.
역할 출시 단계를 정식 버전으로 설정합니다.
생성된 역할에 다음 권한을 추가합니다.
compute.backendBuckets.setSecurityPolicycompute.backendServices.setSecurityPolicycompute.regionBackendServices.setSecurityPolicycompute.regionSecurityPolicies.createcompute.regionSecurityPolicies.getcompute.regionSecurityPolicies.listcompute.regionSecurityPolicies.updatecompute.securityPolicies.createcompute.securityPolicies.getcompute.securityPolicies.listcompute.securityPolicies.update
만들기를 클릭합니다.
서비스 계정 만들기
서비스 계정을 만들려면 서비스 계정 만들기 절차를 따르세요.
서비스 계정을 만든 후 JSON 파일로 다운로드합니다. 통합 매개변수를 구성할 때 다운로드한 JSON 파일의 콘텐츠를 제공해야 합니다.
서비스 계정 JSON 파일 콘텐츠 대신 GKE용 워크로드 아이덴티티 제휴 이메일 주소를 사용하려면 통합에 사용하는 서비스 계정에
Service Account Token Creator역할을 할당합니다.
Cloud Armor를 Google SecOps와 통합
통합을 구성하려면 다음 매개변수를 사용하세요.
| 매개변수 | |
|---|---|
API Root |
필수 Cloud Armor 서비스의 API 루트입니다. 기본값은 |
Project ID |
선택사항 Cloud Armor 통합에 사용할 프로젝트 ID입니다. 값이 제공되지 않으면 프로젝트 ID가 사용자 서비스 계정 매개변수에 제공된 JSON 파일 콘텐츠에서 추출됩니다. |
Workload Identity Email |
선택사항 서비스 계정의 클라이언트 이메일 주소입니다. 이 매개변수 또는 사용자 서비스 계정 매개변수를 구성할 수 있습니다. GKE용 워크로드 아이덴티티 제휴 이메일 주소로 서비스 계정을 가장하려면 서비스 계정에 `서비스 계정 토큰 생성자` 역할을 부여하세요. 워크로드 아이덴티티 및 워크로드 아이덴티티 사용 방법에 관한 자세한 내용은 워크로드용 아이덴티티를 참고하세요. |
User Service Account |
선택사항 Cloud Armor 서비스에 사용하는 서비스 계정 JSON 파일의 콘텐츠입니다. 서비스 계정 JSON 파일의 전체 콘텐츠를 제공합니다. 이 매개변수 또는 워크로드 아이덴티티 이메일 매개변수를 구성할 수 있습니다. |
Verify SSL |
선택사항 선택하면 이 매개변수는 Cloud Armor 서비스에 대한 연결의 SSL 인증서가 유효한지 확인합니다. 기본적으로 선택되어 있습니다. |
작업
일부 작업에는 입력 매개변수가 필요하지 않습니다.
보안 정책에 규칙 추가
Cloud Armor 서비스의 보안 정책에 새 규칙을 추가합니다.
항목
이 작업은 항목에서 실행되지 않습니다.
작업 입력
작업을 구성하려면 다음 매개변수를 사용하세요.
| 매개변수 | |
|---|---|
Policy Name |
필수 새 규칙을 추가할 보안 정책 이름입니다. |
Region |
선택사항 규칙을 추가할 정책의 리전입니다. 값을 제공하지 않으면 규칙이 전역 수준 보안 정책에 추가됩니다. |
Rule JSON |
필수 추가할 규칙의 JSON 정의입니다. 정책에 규칙을 추가하는 방법에 관한 자세한 내용은 메서드: securityPolicies.addRule을 참고하세요. |
작업 출력
| 작업 출력 유형 | |
|---|---|
| 케이스 월 연결 | 해당 사항 없음 |
| 케이스 월 링크 | 해당 사항 없음 |
| 케이스 월 테이블 | 해당 사항 없음 |
| 보강 테이블 | 해당 사항 없음 |
| JSON 결과 | 사용 가능 |
| 스크립트 결과 | 사용 가능 |
스크립트 결과
| 스크립트 결과 이름 | 값 |
|---|---|
| is_success | True 또는 False |
JSON 결과
{
"kind": "compute#securityPolicy",
"id": "ID",
"creationTimestamp": "2024-04-14T05:39:05.798-07:00",
"name": "example",
"description": "Test for integration",
"rules": [
{
"kind": "compute#securityPolicyRule",
"description": "test",
"priority": 100,
"match": {
"versionedExpr": "SRC_IPS_V1",
"config": {
"srcIpRanges": [
"*"
]
}
},
"action": "allow",
"preview": false
},
{
"kind": "compute#securityPolicyRule",
"description": "Default rule, higher priority overrides it",
"priority": 2147483647,
"match": {
"versionedExpr": "SRC_IPS_V1",
"config": {
"srcIpRanges": [
"*"
]
}
},
"action": "allow",
"preview": false
}
],
"fingerprint": "A3hq2ZQYxj8=",
"selfLink": "https://www.googleapis.com/compute/v1/projects/PROJECT_NAME/regions/northamerica-northeast1/securityPolicies/example",
"type": "CLOUD_ARMOR",
"labelFingerprint": "42WmSpB8rSM=",
"region": "https://www.googleapis.com/compute/v1/projects/PROJECT_NAME/regions/northamerica-northeast1"
}
케이스 월
이 작업은 다음과 같은 출력 메시지를 제공합니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
Successfully added a new rule to the security policy! |
작업이 완료되었습니다. |
Error executing action "Add a Rule to a Security Policy".
Reason: ERROR_REASON |
작업이 실패했습니다. 서버 연결, 입력 매개변수, 사용자 인증 정보, 리전 이름, JSON 파일의 콘텐츠 또는 정책 이름을 확인합니다. |
보안 정책 만들기
Cloud Armor 서비스에서 보안 정책을 만듭니다.
항목
이 작업은 항목에서 실행되지 않습니다.
작업 입력
작업을 구성하려면 다음 매개변수를 사용하세요.
| 매개변수 | |
|---|---|
Region |
선택사항 정책을 만들 리전입니다. 값을 제공하지 않으면 전역 수준 보안 정책이 생성됩니다. |
Policy JSON |
필수 생성할 정책의 JSON 정의입니다. 정책에 관한 자세한 내용은 REST 리소스: securityPolicies를 참고하세요. |
작업 출력
| 작업 출력 유형 | |
|---|---|
| 케이스 월 연결 | 해당 사항 없음 |
| 케이스 월 링크 | 해당 사항 없음 |
| 케이스 월 테이블 | 해당 사항 없음 |
| 보강 테이블 | 해당 사항 없음 |
| JSON 결과 | 사용 가능 |
| 스크립트 결과 | 사용 가능 |
스크립트 결과
| 스크립트 결과 이름 | 값 |
|---|---|
| is_success | True 또는 False |
JSON 결과
{
"kind": "compute#securityPolicy",
"id": "ID",
"creationTimestamp": "2024-04-14T05:39:05.798-07:00",
"name": "example",
"description": "Test for integration",
"rules": [
{
"kind": "compute#securityPolicyRule",
"description": "test",
"priority": 100,
"match": {
"versionedExpr": "SRC_IPS_V1",
"config": {
"srcIpRanges": [
"*"
]
}
},
"action": "allow",
"preview": false
},
{
"kind": "compute#securityPolicyRule",
"description": "Default rule, higher priority overrides it",
"priority": 2147483647,
"match": {
"versionedExpr": "SRC_IPS_V1",
"config": {
"srcIpRanges": [
"*"
]
}
},
"action": "allow",
"preview": false
}
],
"fingerprint": "A3hq2ZQYxj8=",
"selfLink": "https://www.googleapis.com/compute/v1/projects/PROJECT_NAME/regions/northamerica-northeast1/securityPolicies/example",
"type": "CLOUD_ARMOR",
"labelFingerprint": "42WmSpB8rSM=",
"region": "https://www.googleapis.com/compute/v1/projects/PROJECT_NAME/regions/northamerica-northeast1"
}
케이스 월
이 작업은 다음과 같은 출력 메시지를 제공합니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
Successfully created a new security policy! |
작업이 완료되었습니다. |
Error executing action "Create a Security Policy". Reason:
ERROR_REASON |
작업이 실패했습니다. 서버 연결, 입력 매개변수, 사용자 인증 정보, 리전 이름 또는 JSON 파일의 콘텐츠를 확인합니다. |
핑
통합 구성 페이지에서 제공된 매개변수를 사용하여 Cloud Armor 서비스에 대한 연결을 테스트합니다.
항목
이 작업은 항목에서 실행되지 않습니다.
작업 입력
해당 사항 없음
작업 출력
| 작업 출력 유형 | |
|---|---|
| 케이스 월 연결 | 해당 사항 없음 |
| 케이스 월 링크 | 해당 사항 없음 |
| 케이스 월 테이블 | 해당 사항 없음 |
| 보강 테이블 | 해당 사항 없음 |
| JSON 결과 | 해당 사항 없음 |
| 스크립트 결과 | 사용 가능 |
스크립트 결과
| 스크립트 결과 이름 | 값 |
|---|---|
| is_success | True 또는 False |
케이스 월
이 작업은 다음과 같은 출력 메시지를 제공합니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
Successfully connected to the Google Cloud Armor service with
the provided connection parameters! |
작업이 완료되었습니다. |
Failed to connect to the Google Cloud Armor service! Error is
ERROR_REASON |
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
보안 정책 업데이트
Cloud Armor 서비스에서 기존 보안 정책을 업데이트합니다.
이 작업으로는 정책의 규칙을 업데이트할 수 없습니다. 관련 정책에 규칙을 추가하려면 보안 정책에 규칙 추가 작업을 사용하세요.
항목
이 작업은 항목에서 실행되지 않습니다.
작업 입력
작업을 구성하려면 다음 매개변수를 사용하세요.
| 매개변수 | |
|---|---|
Policy Name |
필수 새 규칙을 추가할 보안 정책 이름입니다. |
Region |
선택사항 업데이트된 정책의 리전입니다. 값이 제공되지 않으면 전역 수준 보안 정책이 생성됩니다. |
Rule JSON |
필수 업데이트할 정책의 JSON 정의입니다. 정책 업데이트에 관한 자세한 내용은 메서드: securityPolicies.patch 를 참고하세요. 이 작업으로는 규칙을 업데이트할 수 없습니다. 정책에 규칙을 추가하려면 보안 정책에 규칙 추가 작업을 사용합니다. |
작업 출력
| 작업 출력 유형 | |
|---|---|
| 케이스 월 연결 | 해당 사항 없음 |
| 케이스 월 링크 | 해당 사항 없음 |
| 케이스 월 테이블 | 해당 사항 없음 |
| 보강 테이블 | 해당 사항 없음 |
| JSON 결과 | 사용 가능 |
| 스크립트 결과 | 사용 가능 |
스크립트 결과
| 스크립트 결과 이름 | 값 |
|---|---|
| is_success | True 또는 False |
JSON 결과
{
"kind": "compute#securityPolicy",
"id": "ID",
"creationTimestamp": "2024-04-14T05:39:05.798-07:00",
"name": "example",
"description": "Test for integration",
"rules": [
{
"kind": "compute#securityPolicyRule",
"description": "test",
"priority": 100,
"match": {
"versionedExpr": "SRC_IPS_V1",
"config": {
"srcIpRanges": [
"*"
]
}
},
"action": "allow",
"preview": false
},
{
"kind": "compute#securityPolicyRule",
"description": "Default rule, higher priority overrides it",
"priority": 2147483647,
"match": {
"versionedExpr": "SRC_IPS_V1",
"config": {
"srcIpRanges": [
"*"
]
}
},
"action": "allow",
"preview": false
}
],
"fingerprint": "A3hq2ZQYxj8=",
"selfLink": "https://www.googleapis.com/compute/v1/projects/PROJECT_NAME/regions/northamerica-northeast1/securityPolicies/example",
"type": "CLOUD_ARMOR",
"labelFingerprint": "42WmSpB8rSM=",
"region": "https://www.googleapis.com/compute/v1/projects/PROJECT_NAME/regions/northamerica-northeast1"
}
케이스 월
이 작업은 다음과 같은 출력 메시지를 제공합니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
Successfully added comment to the
identity protection detection with ID
DETECTION_ID in CrowdStrike |
작업이 완료되었습니다. |
Error executing action "Update a Security Policy". Reason:
ERROR_REASON |
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.