Cette page a été traduite par l'API Cloud Translation.

Google Cloud Armor

Ce document vous explique comment configurer et intégrer Google Cloud Armor à Google Security Operations.

Prérequis

Assurez-vous d'avoir effectué toutes les étapes préalables avant de configurer l'intégration.

Créer et configurer le rôle IAM

Dans la console Google Cloud , accédez à la page Rôles IAM.

Accéder aux rôles IAM
Cliquez sur Créer un rôle pour créer un rôle personnalisé avec les autorisations requises pour l'intégration.
Pour un nouveau rôle personnalisé, indiquez le titre, la description et un ID unique.
Définissez l'étape de lancement du rôle sur Disponibilité générale.
Ajoutez les autorisations suivantes au rôle créé :
- compute.backendBuckets.setSecurityPolicy
- compute.backendServices.setSecurityPolicy
- compute.regionBackendServices.setSecurityPolicy
- compute.regionSecurityPolicies.create
- compute.regionSecurityPolicies.get
- compute.regionSecurityPolicies.list
- compute.regionSecurityPolicies.update
- compute.securityPolicies.create
- compute.securityPolicies.get
- compute.securityPolicies.list
- compute.securityPolicies.update
Cliquez sur Créer.

Créer un compte de service

Pour créer un compte de service, suivez la procédure de création d'un compte de service.

Important : Assurez-vous d'attribuer votre rôle IAM personnalisé au compte de service sous Accorder l'accès de ce compte de service au projet.
Une fois le compte de service créé, téléchargez-le sous forme de fichier JSON. Vous devez fournir le contenu d'un fichier JSON téléchargé lorsque vous configurez les paramètres d'intégration.

Pour utiliser l'adresse e-mail Workload Identity Federation for GKE au lieu du contenu du fichier JSON du compte de service, attribuez le rôle Service Account Token Creator au compte de service que vous utilisez dans l'intégration.

Intégrer Cloud Armor à Google SecOps

Pour configurer l'intégration, utilisez les paramètres suivants :

Paramètres
`API Root`	Obligatoire Racine de l'API du service Cloud Armor. La valeur par défaut est `https://compute.googleapis.com/compute/v1/`.
`Project ID`	Optional ID de projet à utiliser pour l'intégration Cloud Armor. Si aucune valeur n'est fournie, l'ID du projet est extrait du contenu du fichier JSON fourni dans le paramètre Compte de service utilisateur.
`Workload Identity Email`	Optional Adresse e-mail du client de votre compte de service. Vous pouvez configurer ce paramètre ou le paramètre Compte de service utilisateur. Pour emprunter l'identité de comptes de service avec l'adresse e-mail Workload Identity Federation for GKE, accordez le rôle "Créateur de jetons du compte de service" à votre compte de service. Pour en savoir plus sur les identités de charge de travail et sur la façon de les utiliser, consultez Identités pour les charges de travail.
`User Service Account`	Optional Contenu du fichier JSON du compte de service que vous utilisez pour le service Cloud Armor. Fournissez le contenu complet du fichier JSON du compte de service. Vous pouvez configurer ce paramètre ou le paramètre Adresse e-mail Workload Identity.
`Verify SSL`	Optional Si cette option est sélectionnée, le paramètre vérifie que le certificat SSL pour la connexion au service Cloud Armor est valide. Cette option est sélectionnée par défaut.

Actions

Certaines actions ne nécessitent aucun paramètre d'entrée.

Ajouter une règle à une stratégie de sécurité

Ajoutez une règle à la stratégie de sécurité dans le service Cloud Armor.

Entités

Cette action ne s'applique pas aux entités.

Entrées d'action

Pour configurer l'action, utilisez les paramètres suivants :

Paramètres

Paramètres
`Policy Name`	Obligatoire Nom de la stratégie de sécurité à laquelle ajouter une règle.
`Region`	Optional Région de la règle à ajouter à la stratégie. Si aucune valeur n'est fournie, la règle est ajoutée à la stratégie de sécurité au niveau mondial.
`Rule JSON`	Obligatoire Définition JSON de la règle à ajouter. Pour en savoir plus sur l'ajout d'une règle à une stratégie, consultez Méthode : securityPolicies.addRule.

Policy Name

Obligatoire

Nom de la stratégie de sécurité à laquelle ajouter une règle.

Region

Optional

Région de la règle à ajouter à la stratégie.

Si aucune valeur n'est fournie, la règle est ajoutée à la stratégie de sécurité au niveau mondial.

Rule JSON

Obligatoire

Définition JSON de la règle à ajouter.

Pour en savoir plus sur l'ajout d'une règle à une stratégie, consultez Méthode : securityPolicies.addRule.

Sorties d'action

Type de sortie de l'action
Pièce jointe au mur des cas	N/A
Lien vers le mur des cas	N/A
Table du mur des cas	N/A
Table d'enrichissement	N/A
Résultat JSON	Disponible
Résultat du script	Disponible

Résultat du script

Nom du résultat du script	Valeur
is_success	Vrai ou faux

Résultat JSON

{
   "kind": "compute#securityPolicy",
   "id": "ID",
   "creationTimestamp": "2024-04-14T05:39:05.798-07:00",
   "name": "example",
   "description": "Test for integration",
   "rules": [
       {
           "kind": "compute#securityPolicyRule",
           "description": "test",
           "priority": 100,
           "match": {
               "versionedExpr": "SRC_IPS_V1",
               "config": {
                   "srcIpRanges": [
                       "*"
                   ]
               }
           },
           "action": "allow",
           "preview": false
       },
       {
           "kind": "compute#securityPolicyRule",
           "description": "Default rule, higher priority overrides it",
           "priority": 2147483647,
           "match": {
               "versionedExpr": "SRC_IPS_V1",
               "config": {
                   "srcIpRanges": [
                       "*"
                   ]
               }
           },
           "action": "allow",
           "preview": false
       }
   ],
   "fingerprint": "A3hq2ZQYxj8=",
   "selfLink": "https://www.googleapis.com/compute/v1/projects/PROJECT_NAME/regions/northamerica-northeast1/securityPolicies/example",
   "type": "CLOUD_ARMOR",
   "labelFingerprint": "42WmSpB8rSM=",
   "region": "https://www.googleapis.com/compute/v1/projects/PROJECT_NAME/regions/northamerica-northeast1"
}

Mur des cas

Cette action fournit les messages de sortie suivants :

Message affiché Description du message

Successfully added a new rule to the security policy! Action effectuée.

Message affiché	Description du message
`Successfully added a new rule to the security policy!`	Action effectuée.
`Error executing action "Add a Rule to a Security Policy". Reason: ERROR_REASON`	Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée, les identifiants, le nom de la région, le contenu du fichier JSON ou le nom d'une règle.

Error executing action "Add a Rule to a Security Policy".
      Reason: ERROR_REASON

Échec de l'action.

Vérifiez la connexion au serveur, les paramètres d'entrée, les identifiants, le nom de la région, le contenu du fichier JSON ou le nom d'une règle.

Créer une règle de sécurité

Créez une stratégie de sécurité dans le service Cloud Armor.

Entités

Cette action ne s'applique pas aux entités.

Entrées d'action

Pour configurer l'action, utilisez les paramètres suivants :

Paramètres

Paramètres
`Region`	Optional Région dans laquelle créer une règle. Si aucune valeur n'est fournie, la règle de sécurité au niveau mondial est créée.
`Policy JSON`	Obligatoire Définition JSON de la règle à créer. Pour en savoir plus sur les règles, consultez Ressource REST : securityPolicies.

Region

Optional

Région dans laquelle créer une règle.

Si aucune valeur n'est fournie, la règle de sécurité au niveau mondial est créée.

Policy JSON

Obligatoire

Définition JSON de la règle à créer.

Pour en savoir plus sur les règles, consultez Ressource REST : securityPolicies.

Sorties d'action

Type de sortie de l'action
Pièce jointe au mur des cas	N/A
Lien vers le mur des cas	N/A
Table du mur des cas	N/A
Table d'enrichissement	N/A
Résultat JSON	Disponible
Résultat du script	Disponible

Résultat du script

Nom du résultat du script	Valeur
is_success	Vrai ou faux

Résultat JSON

{
   "kind": "compute#securityPolicy",
   "id": "ID",
   "creationTimestamp": "2024-04-14T05:39:05.798-07:00",
   "name": "example",
   "description": "Test for integration",
   "rules": [
       {
           "kind": "compute#securityPolicyRule",
           "description": "test",
           "priority": 100,
           "match": {
               "versionedExpr": "SRC_IPS_V1",
               "config": {
                   "srcIpRanges": [
                       "*"
                   ]
               }
           },
           "action": "allow",
           "preview": false
       },
       {
           "kind": "compute#securityPolicyRule",
           "description": "Default rule, higher priority overrides it",
           "priority": 2147483647,
           "match": {
               "versionedExpr": "SRC_IPS_V1",
               "config": {
                   "srcIpRanges": [
                       "*"
                   ]
               }
           },
           "action": "allow",
           "preview": false
       }
   ],
   "fingerprint": "A3hq2ZQYxj8=",
   "selfLink": "https://www.googleapis.com/compute/v1/projects/PROJECT_NAME/regions/northamerica-northeast1/securityPolicies/example",
   "type": "CLOUD_ARMOR",
   "labelFingerprint": "42WmSpB8rSM=",
   "region": "https://www.googleapis.com/compute/v1/projects/PROJECT_NAME/regions/northamerica-northeast1"
}

Mur des cas

Cette action fournit les messages de sortie suivants :

Message affiché Description du message

Successfully created a new security policy! Action effectuée.

Message affiché	Description du message
`Successfully created a new security policy!`	Action effectuée.
`Error executing action "Create a Security Policy". Reason: ERROR_REASON`	Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée, les identifiants, le nom de la région ou le contenu d'un fichier JSON.

Error executing action "Create a Security Policy". Reason:
      ERROR_REASON

Échec de l'action.

Vérifiez la connexion au serveur, les paramètres d'entrée, les identifiants, le nom de la région ou le contenu d'un fichier JSON.

Ping

Testez la connectivité au service Cloud Armor avec les paramètres fournis sur la page de configuration de l'intégration.

Entités

Cette action ne s'applique pas aux entités.

Entrées d'action

N/A

Sorties d'action

Type de sortie de l'action
Pièce jointe au mur des cas	N/A
Lien vers le mur des cas	N/A
Table du mur des cas	N/A
Table d'enrichissement	N/A
Résultat JSON	N/A
Résultat du script	Disponible

Résultat du script

Nom du résultat du script	Valeur
is_success	Vrai ou faux

Mur des cas

Cette action fournit les messages de sortie suivants :

Message affiché Description du message

Successfully connected to the Google Cloud Armor service with the provided connection parameters! Action effectuée.

Message affiché	Description du message
`Successfully connected to the Google Cloud Armor service with the provided connection parameters!`	Action effectuée.
`Failed to connect to the Google Cloud Armor service! Error is ERROR_REASON`	Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants.

Failed to connect to the Google Cloud Armor service! Error is
      ERROR_REASON

Échec de l'action.

Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants.

Mettre à jour une règle de sécurité

Mettez à jour la stratégie de sécurité existante dans le service Cloud Armor.

Cette action ne permet pas de modifier les règles d'un règlement. Pour ajouter une règle à la stratégie associée, utilisez l'action Ajouter une règle à une stratégie de sécurité.

Entités

Cette action ne s'applique pas aux entités.

Entrées d'action

Pour configurer l'action, utilisez les paramètres suivants :

Paramètres

Paramètres
`Policy Name`	Obligatoire Nom de la stratégie de sécurité à laquelle ajouter une règle.
`Region`	Optional Région pour la stratégie mise à jour. Si aucune valeur n'est fournie, la règle de sécurité au niveau mondial est créée.
`Rule JSON`	Obligatoire Définition JSON de la règle à modifier. Pour en savoir plus sur les modifications apportées aux règles, consultez Méthode : securityPolicies.patch . Vous ne pouvez pas mettre à jour les règles avec cette action. Pour ajouter une règle à une stratégie, utilisez l'action Ajouter une règle à une stratégie de sécurité.

Policy Name

Obligatoire

Nom de la stratégie de sécurité à laquelle ajouter une règle.

Region

Optional

Région pour la stratégie mise à jour.

Si aucune valeur n'est fournie, la règle de sécurité au niveau mondial est créée.

Rule JSON

Obligatoire

Définition JSON de la règle à modifier.

Pour en savoir plus sur les modifications apportées aux règles, consultez Méthode : securityPolicies.patch .

Vous ne pouvez pas mettre à jour les règles avec cette action. Pour ajouter une règle à une stratégie, utilisez l'action Ajouter une règle à une stratégie de sécurité.

Sorties d'action

Type de sortie de l'action
Pièce jointe au mur des cas	N/A
Lien vers le mur des cas	N/A
Table du mur des cas	N/A
Table d'enrichissement	N/A
Résultat JSON	Disponible
Résultat du script	Disponible

Résultat du script

Nom du résultat du script	Valeur
is_success	Vrai ou faux

Résultat JSON

{
   "kind": "compute#securityPolicy",
   "id": "ID",
   "creationTimestamp": "2024-04-14T05:39:05.798-07:00",
   "name": "example",
   "description": "Test for integration",
   "rules": [
       {
           "kind": "compute#securityPolicyRule",
           "description": "test",
           "priority": 100,
           "match": {
               "versionedExpr": "SRC_IPS_V1",
               "config": {
                   "srcIpRanges": [
                       "*"
                   ]
               }
           },
           "action": "allow",
           "preview": false
       },
       {
           "kind": "compute#securityPolicyRule",
           "description": "Default rule, higher priority overrides it",
           "priority": 2147483647,
           "match": {
               "versionedExpr": "SRC_IPS_V1",
               "config": {
                   "srcIpRanges": [
                       "*"
                   ]
               }
           },
           "action": "allow",
           "preview": false
       }
   ],
   "fingerprint": "A3hq2ZQYxj8=",
   "selfLink": "https://www.googleapis.com/compute/v1/projects/PROJECT_NAME/regions/northamerica-northeast1/securityPolicies/example",
   "type": "CLOUD_ARMOR",
   "labelFingerprint": "42WmSpB8rSM=",
   "region": "https://www.googleapis.com/compute/v1/projects/PROJECT_NAME/regions/northamerica-northeast1"
}

Mur des cas

Cette action fournit les messages de sortie suivants :

Message affiché Description du message

Successfully added comment to the identity protection detection with ID DETECTION_ID in CrowdStrike Action effectuée.

Message affiché	Description du message
`Successfully added comment to the identity protection detection with ID DETECTION_ID in CrowdStrike`	Action effectuée.
`Error executing action "Update a Security Policy". Reason: ERROR_REASON`	Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants.

Error executing action "Update a Security Policy". Reason:
      ERROR_REASON

Échec de l'action.

Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.