Esta página foi traduzida pela API Cloud Translation.

Google Cloud Armor

Este documento fornece orientações para ajudar a configurar e integrar o Google Cloud Armor com o Google Security Operations.

Pré-requisitos

Certifique-se de que conclui todos os passos pré-requisitos antes de configurar a integração.

Crie e configure a função IAM

Na Google Cloud consola, aceda à página Funções da IAM.

Aceda a Funções de IAM
Clique em Criar função para criar uma função personalizada com as autorizações necessárias para a integração.
Para uma nova função personalizada, indique o Título, a Descrição e um ID exclusivo.
Defina o Role Launch Stage como General Availability.
Adicione as seguintes autorizações à função criada:
- compute.backendBuckets.setSecurityPolicy
- compute.backendServices.setSecurityPolicy
- compute.regionBackendServices.setSecurityPolicy
- compute.regionSecurityPolicies.create
- compute.regionSecurityPolicies.get
- compute.regionSecurityPolicies.list
- compute.regionSecurityPolicies.update
- compute.securityPolicies.create
- compute.securityPolicies.get
- compute.securityPolicies.list
- compute.securityPolicies.update
Clique em Criar.

Criar uma conta de serviço

Para criar uma conta de serviço, siga o procedimento para criar uma conta de serviço.

Importante: certifique-se de que concede a sua função do IAM personalizada à conta de serviço em Conceda acesso a esta conta de serviço ao projeto.
Depois de criar uma conta de serviço, transfira-a como um ficheiro JSON. Tem de fornecer o conteúdo de um ficheiro JSON transferido quando configurar os parâmetros de integração.

Para usar o endereço de email da Workload Identity Federation para o GKE em vez do conteúdo do ficheiro JSON da conta de serviço, atribua a função Service Account Token Creator à conta de serviço que usa na integração.

Integre o Cloud Armor com o Google SecOps

Para configurar a integração, use os seguintes parâmetros:

Parâmetros
`API Root`	Obrigatório Raiz da API do serviço Cloud Armor. O valor predefinido é `https://compute.googleapis.com/compute/v1/`.
`Project ID`	Opcional ID do projeto a usar para a integração do Cloud Armor. Se não for fornecido nenhum valor, o ID do projeto é extraído do conteúdo do ficheiro JSON fornecido no parâmetro Conta de serviço do utilizador.
`Workload Identity Email`	Opcional Endereço de email do cliente da sua conta de serviço. Pode configurar este parâmetro ou o parâmetro Conta de serviço do utilizador. Para usar a identidade de contas de serviço com a federação de identidades da carga de trabalho para o endereço de email do GKE, conceda a função `Service Account Token Creator` à sua conta de serviço. Para mais detalhes sobre as identidades de cargas de trabalho e como trabalhar com elas, consulte o artigo Identidades para cargas de trabalho.
`User Service Account`	Opcional Conteúdo do ficheiro JSON da conta de serviço que usa para o serviço Cloud Armor. Forneça o conteúdo completo do ficheiro JSON da conta de serviço. Pode configurar este parâmetro ou o parâmetro Email do Workload Identity.
`Verify SSL`	Opcional Se selecionado, o parâmetro verifica se o certificado SSL para a ligação ao serviço Cloud Armor é válido. Selecionado por predefinição.

Ações

Algumas ações não requerem parâmetros de entrada.

Adicione uma regra a uma política de segurança

Adicione uma nova regra à política de segurança no serviço Cloud Armor.

Entidades

Esta ação não é executada em entidades.

Dados de ações

Para configurar a ação, use os seguintes parâmetros:

Parâmetros

Parâmetros
`Policy Name`	Obrigatório Nome da política de segurança à qual adicionar uma nova regra.
`Region`	Opcional Região para a política na qual a regra vai ser adicionada. Se não for indicado nenhum valor, a regra é adicionada à política de segurança ao nível global.
`Rule JSON`	Obrigatório Definição JSON da regra a adicionar. Para mais informações sobre como adicionar uma regra a uma política, consulte o Método: securityPolicies.addRule.

Policy Name

Obrigatório

Nome da política de segurança à qual adicionar uma nova regra.

Region

Opcional

Região para a política na qual a regra vai ser adicionada.

Se não for indicado nenhum valor, a regra é adicionada à política de segurança ao nível global.

Rule JSON

Obrigatório

Definição JSON da regra a adicionar.

Para mais informações sobre como adicionar uma regra a uma política, consulte o Método: securityPolicies.addRule.

Resultados da ação

Tipo de saída da ação
Fixação à parede da caixa	N/A
Link da parede da caixa	N/A
Mesa de parede para caixas	N/A
Tabela de enriquecimento	N/A
Resultado JSON	Disponível
Resultado do script	Disponível

Resultado do script

Nome do resultado do script	Valor
is_success	Verdadeiro ou falso

Resultado JSON

{
   "kind": "compute#securityPolicy",
   "id": "ID",
   "creationTimestamp": "2024-04-14T05:39:05.798-07:00",
   "name": "example",
   "description": "Test for integration",
   "rules": [
       {
           "kind": "compute#securityPolicyRule",
           "description": "test",
           "priority": 100,
           "match": {
               "versionedExpr": "SRC_IPS_V1",
               "config": {
                   "srcIpRanges": [
                       "*"
                   ]
               }
           },
           "action": "allow",
           "preview": false
       },
       {
           "kind": "compute#securityPolicyRule",
           "description": "Default rule, higher priority overrides it",
           "priority": 2147483647,
           "match": {
               "versionedExpr": "SRC_IPS_V1",
               "config": {
                   "srcIpRanges": [
                       "*"
                   ]
               }
           },
           "action": "allow",
           "preview": false
       }
   ],
   "fingerprint": "A3hq2ZQYxj8=",
   "selfLink": "https://www.googleapis.com/compute/v1/projects/PROJECT_NAME/regions/northamerica-northeast1/securityPolicies/example",
   "type": "CLOUD_ARMOR",
   "labelFingerprint": "42WmSpB8rSM=",
   "region": "https://www.googleapis.com/compute/v1/projects/PROJECT_NAME/regions/northamerica-northeast1"
}

Parede da caixa

Esta ação apresenta as seguintes mensagens de saída:

Mensagem de saída Descrição da mensagem

Successfully added a new rule to the security policy! Ação efetuada com êxito.

Mensagem de saída	Descrição da mensagem
`Successfully added a new rule to the security policy!`	Ação efetuada com êxito.
`Error executing action "Add a Rule to a Security Policy". Reason: ERROR_REASON`	Falha na ação. Verifique a ligação ao servidor, os parâmetros de entrada, as credenciais, o nome da região, o conteúdo do ficheiro JSON ou o nome de uma política.

Error executing action "Add a Rule to a Security Policy".
      Reason: ERROR_REASON

Falha na ação.

Verifique a ligação ao servidor, os parâmetros de entrada, as credenciais, o nome da região, o conteúdo do ficheiro JSON ou o nome de uma política.

Crie uma política de segurança

Crie uma política de segurança no serviço Cloud Armor.

Entidades

Esta ação não é executada em entidades.

Dados de ações

Para configurar a ação, use os seguintes parâmetros:

Parâmetros

Parâmetros
`Region`	Opcional A região na qual criar uma política. Se não for indicado nenhum valor, é criada a política de segurança ao nível global.
`Policy JSON`	Obrigatório A definição JSON da política a criar. Para mais informações sobre políticas, consulte o artigo Recurso REST: securityPolicies.

Region

Opcional

A região na qual criar uma política.

Se não for indicado nenhum valor, é criada a política de segurança ao nível global.

Policy JSON

Obrigatório

A definição JSON da política a criar.

Para mais informações sobre políticas, consulte o artigo Recurso REST: securityPolicies.

Resultados da ação

Tipo de saída da ação
Fixação à parede da caixa	N/A
Link da parede da caixa	N/A
Mesa de parede para caixas	N/A
Tabela de enriquecimento	N/A
Resultado JSON	Disponível
Resultado do script	Disponível

Resultado do script

Nome do resultado do script	Valor
is_success	Verdadeiro ou falso

Resultado JSON

{
   "kind": "compute#securityPolicy",
   "id": "ID",
   "creationTimestamp": "2024-04-14T05:39:05.798-07:00",
   "name": "example",
   "description": "Test for integration",
   "rules": [
       {
           "kind": "compute#securityPolicyRule",
           "description": "test",
           "priority": 100,
           "match": {
               "versionedExpr": "SRC_IPS_V1",
               "config": {
                   "srcIpRanges": [
                       "*"
                   ]
               }
           },
           "action": "allow",
           "preview": false
       },
       {
           "kind": "compute#securityPolicyRule",
           "description": "Default rule, higher priority overrides it",
           "priority": 2147483647,
           "match": {
               "versionedExpr": "SRC_IPS_V1",
               "config": {
                   "srcIpRanges": [
                       "*"
                   ]
               }
           },
           "action": "allow",
           "preview": false
       }
   ],
   "fingerprint": "A3hq2ZQYxj8=",
   "selfLink": "https://www.googleapis.com/compute/v1/projects/PROJECT_NAME/regions/northamerica-northeast1/securityPolicies/example",
   "type": "CLOUD_ARMOR",
   "labelFingerprint": "42WmSpB8rSM=",
   "region": "https://www.googleapis.com/compute/v1/projects/PROJECT_NAME/regions/northamerica-northeast1"
}

Parede da caixa

Esta ação apresenta as seguintes mensagens de saída:

Mensagem de saída Descrição da mensagem

Successfully created a new security policy! Ação efetuada com êxito.

Mensagem de saída	Descrição da mensagem
`Successfully created a new security policy!`	Ação efetuada com êxito.
`Error executing action "Create a Security Policy". Reason: ERROR_REASON`	Falha na ação. Verifique a ligação ao servidor, os parâmetros de entrada, as credenciais, o nome da região ou o conteúdo de um ficheiro JSON.

Error executing action "Create a Security Policy". Reason:
      ERROR_REASON

Falha na ação.

Verifique a ligação ao servidor, os parâmetros de entrada, as credenciais, o nome da região ou o conteúdo de um ficheiro JSON.

Tchim-tchim

Teste a conetividade ao serviço Cloud Armor com os parâmetros fornecidos na página de configuração da integração.

Entidades

Esta ação não é executada em entidades.

Dados de ações

N/A

Resultados da ação

Tipo de saída da ação
Fixação à parede da caixa	N/A
Link da parede da caixa	N/A
Mesa de parede para caixas	N/A
Tabela de enriquecimento	N/A
Resultado JSON	N/A
Resultado do script	Disponível

Resultado do script

Nome do resultado do script	Valor
is_success	Verdadeiro ou falso

Parede da caixa

Esta ação apresenta as seguintes mensagens de saída:

Mensagem de saída Descrição da mensagem

Successfully connected to the Google Cloud Armor service with the provided connection parameters! Ação efetuada com êxito.

Mensagem de saída	Descrição da mensagem
`Successfully connected to the Google Cloud Armor service with the provided connection parameters!`	Ação efetuada com êxito.
`Failed to connect to the Google Cloud Armor service! Error is ERROR_REASON`	Falha na ação. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais.

Failed to connect to the Google Cloud Armor service! Error is
      ERROR_REASON

Falha na ação.

Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais.

Atualize uma política de segurança

Atualize a política de segurança existente no serviço Cloud Armor.

Esta ação não pode atualizar regras numa política. Para adicionar uma regra à política relacionada, use a ação Adicionar uma regra a uma política de segurança.

Entidades

Esta ação não é executada em entidades.

Dados de ações

Para configurar a ação, use os seguintes parâmetros:

Parâmetros

Parâmetros
`Policy Name`	Obrigatório Nome da política de segurança à qual adicionar uma nova regra.
`Region`	Opcional Região para a política atualizada. Se não for indicado nenhum valor, é criada a política de segurança ao nível global.
`Rule JSON`	Obrigatório Definição JSON da política a atualizar. Para mais informações sobre as atualizações da política, consulte Método: securityPolicies.patch . Não pode atualizar regras com esta ação. Para adicionar uma regra a uma política, use a ação Adicionar uma regra a uma política de segurança.

Policy Name

Obrigatório

Nome da política de segurança à qual adicionar uma nova regra.

Region

Opcional

Região para a política atualizada.

Se não for indicado nenhum valor, é criada a política de segurança ao nível global.

Rule JSON

Obrigatório

Definição JSON da política a atualizar.

Para mais informações sobre as atualizações da política, consulte Método: securityPolicies.patch .

Não pode atualizar regras com esta ação. Para adicionar uma regra a uma política, use a ação Adicionar uma regra a uma política de segurança.

Resultados da ação

Tipo de saída da ação
Fixação à parede da caixa	N/A
Link da parede da caixa	N/A
Mesa de parede para caixas	N/A
Tabela de enriquecimento	N/A
Resultado JSON	Disponível
Resultado do script	Disponível

Resultado do script

Nome do resultado do script	Valor
is_success	Verdadeiro ou falso

Resultado JSON

{
   "kind": "compute#securityPolicy",
   "id": "ID",
   "creationTimestamp": "2024-04-14T05:39:05.798-07:00",
   "name": "example",
   "description": "Test for integration",
   "rules": [
       {
           "kind": "compute#securityPolicyRule",
           "description": "test",
           "priority": 100,
           "match": {
               "versionedExpr": "SRC_IPS_V1",
               "config": {
                   "srcIpRanges": [
                       "*"
                   ]
               }
           },
           "action": "allow",
           "preview": false
       },
       {
           "kind": "compute#securityPolicyRule",
           "description": "Default rule, higher priority overrides it",
           "priority": 2147483647,
           "match": {
               "versionedExpr": "SRC_IPS_V1",
               "config": {
                   "srcIpRanges": [
                       "*"
                   ]
               }
           },
           "action": "allow",
           "preview": false
       }
   ],
   "fingerprint": "A3hq2ZQYxj8=",
   "selfLink": "https://www.googleapis.com/compute/v1/projects/PROJECT_NAME/regions/northamerica-northeast1/securityPolicies/example",
   "type": "CLOUD_ARMOR",
   "labelFingerprint": "42WmSpB8rSM=",
   "region": "https://www.googleapis.com/compute/v1/projects/PROJECT_NAME/regions/northamerica-northeast1"
}

Parede da caixa

Esta ação apresenta as seguintes mensagens de saída:

Mensagem de saída Descrição da mensagem

Successfully added comment to the identity protection detection with ID DETECTION_ID in CrowdStrike Ação efetuada com êxito.

Mensagem de saída	Descrição da mensagem
`Successfully added comment to the identity protection detection with ID DETECTION_ID in CrowdStrike`	Ação efetuada com êxito.
`Error executing action "Update a Security Policy". Reason: ERROR_REASON`	Falha na ação. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais.

Error executing action "Update a Security Policy". Reason:
      ERROR_REASON

Falha na ação.

Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.