Adressgruppen – Übersicht

Eine Adressgruppe enthält mehrere IP-Adressen, IP-Adressbereiche im CIDR-Format oder beides. Jede Adressgruppe kann von mehreren Ressourcen verwendet werden, z. B. Regeln in Cloud NGFW-Firewallrichtlinien oder Regeln in Cloud Armor-Sicherheitsrichtlinien.

Aktualisierungen einer Adressgruppe werden automatisch an die Ressourcen weitergegeben, die auf die Adressgruppe verweisen. Sie können beispielsweise eine Adressgruppe erstellen, die eine Reihe vertrauenswürdiger IP-Adressen enthält. Wenn Sie den Satz vertrauenswürdiger IP-Adressen ändern möchten, aktualisieren Sie die Adressgruppe. Die Aktualisierungen der Adressgruppe werden automatisch in jeder zugehörigen Ressource übernommen.

Spezifikationen

Ressourcen für Adressgruppen haben die folgenden Eigenschaften:

  • Jede Adressgruppe wird eindeutig durch eine URL mit den folgenden Elementen identifiziert:
    • Containertyp: Bestimmt den Typ der Adressgruppe: organization oder project.
    • Container-ID: ID der Organisation oder des Projekts.
    • Standort: Gibt an, ob die Adressengruppe eine global oder eine regionale Ressource ist (z. B. europe-west).
    • Name:Der Name der Adressgruppe im folgenden Format:
      • Ein String mit 1 bis 63 Zeichen
      • Enthält nur alphanumerische Zeichen
      • Darf nicht mit einer Ziffer beginnen
  • Sie können eine eindeutige URL-ID für eine Adressgruppe im folgenden Format erstellen:

    <containerType>/<containerId>/locations/<location>/addressGroups/<address-group-name>
    

    Eine global-Adressgruppe example-address-group im Projekt myproject hat beispielsweise die folgende eindeutige 4‑Tupel-Kennung:

    projects/myproject/locations/global/addressGroups/example-address-group
    
  • Jeder Adressgruppe ist ein Typ zugeordnet, der entweder IPv4 oder IPv6 sein kann, aber nicht beides. Der Adressgruppentyp kann später nicht mehr geändert werden.

  • Jede IP-Adresse oder jeder IP-Bereich in einer Adressgruppe wird als Element bezeichnet. Die Anzahl der Elemente, die Sie einer Adressgruppe hinzufügen können, hängt von der Kapazität der Adressgruppe ab. Sie können die Elementkapazität beim Erstellen der Adressgruppe definieren. Diese Kapazität kann später nicht mehr geändert werden. Die maximale Kapazität, die Sie für eine Adressgruppe konfigurieren können, hängt vom Produkt ab, mit dem Sie die Adressgruppe verwenden.

  • Sie müssen die Kapazität und den Typ angeben, wenn Sie eine Adressgruppe erstellen. Wenn Sie Cloud Armor verwenden, müssen Sie das Feld purpose auf CLOUD_ARMOR setzen.

  • Wenn Sie eine Adressgruppe mit einem Zweck erstellen, der nicht CLOUD_ARMOR ist,hat die Adressgruppe eine maximale Kapazität von 1.000 IP-Adressen.

Arten von Adressgruppen

Adressgruppen werden nach ihrem Umfang klassifiziert. Der Bereich gibt die Ebene an, auf der die Adressgruppe in der Ressourcenhierarchie gilt. Adressgruppen werden in die folgenden Typen unterteilt:

Eine Adressgruppe kann entweder auf Projektebene oder auf Organisationsebene festgelegt werden, aber nicht beides.

Projektbezogene Adressgruppen

Verwenden Sie adressenbezogene Gruppen auf Projektebene, wenn Sie eine eigene Liste von IP-Adressen definieren möchten, die in einem Projekt oder Netzwerk verwendet werden sollen, um eine Liste sich ändernder IP-Adressen zu blockieren oder zuzulassen. Wenn Sie beispielsweise eine eigene Liste mit Informationen zu Bedrohungen definieren und einer Regel hinzufügen möchten, erstellen Sie eine Adressgruppe mit den erforderlichen IP-Adressen.

Der Containertyp für projektbezogene Adressgruppen ist immer auf project festgelegt. Weitere Informationen zum Erstellen und Ändern von projektbezogenen Adressgruppen finden Sie unter Projektbezogene Adressgruppen verwenden.

Adressgruppen auf Organisationsebene

Verwenden Sie Adressgruppen mit Organisationsbereich, wenn Sie eine zentrale Liste von IP-Adressen definieren möchten, die in Regeln auf hoher Ebene verwendet werden kann, um eine einheitliche Steuerung für die gesamte Organisation zu ermöglichen und den Aufwand für einzelne Netzwerk- und Projektinhaber zu reduzieren, gemeinsame Listen wie vertrauenswürdige Dienste und interne IP-Adressen zu verwalten.

Der Containertyp für organisationsbezogene Adressgruppen ist immer auf organization festgelegt. Weitere Informationen zum Erstellen und Ändern von Adressgruppen auf Organisationsebene finden Sie unter Adressgruppen auf Organisationsebene verwenden.

Funktionsweise von Adressgruppen mit Sicherheitsrichtlinien

Adressgruppen vereinfachen die Konfiguration und Wartung von Sicherheitsrichtlinien, da Sie jede Liste von IP-Adressen für viele Sicherheitsrichtlinien freigeben können. Beachten Sie die folgenden zusätzlichen Spezifikationen, wenn Sie Adressgruppen mit Sicherheitsrichtlinien verwenden:

  • Adressgruppen sind nur für globale Backend-Sicherheitsrichtlinien verfügbar.
  • Adressgruppen mit Organisationsbereich sind sowohl für Sicherheitsrichtlinien auf Dienstebene als auch für hierarchische Sicherheitsrichtlinien verfügbar.
  • Die Kapazität einer Adressgruppe wird der Gesamtzahl der Attribute der Sicherheitsrichtlinie hinzugefügt, in der die Adressgruppe verwendet wird. Achten Sie darauf, dass Sie die Kapazität entsprechend Ihrem Anwendungsfall auf einen geeigneten Wert festlegen.
  • Wenn Sie Adressgruppen verwenden möchten, muss Ihr Projekt für Cloud Armor Enterprise registriert sein. Wenn Sie auf die Standardabrechnung umstellen, können Sie keine neuen Adressgruppen erstellen oder vorhandene Adressgruppen ändern. Außerdem können Sie keine Regeln erstellen, die auf eine vorhandene Adressgruppe verweisen, und Ihre Sicherheitsrichtlinien, die auf Adressgruppen verweisen, sind eingefroren. Das bedeutet, dass sie weiterhin aktiv sind, Sie sie aber erst ändern können, wenn Sie alle Regeln gelöscht haben, in denen auf eine Adressgruppe verwiesen wird.

Wir empfehlen, sich die Kontingente und Limits für Adressgruppen anzusehen.

Zusätzlich zur Konfiguration von Adressgruppen auf Organisationsebene für Ihre Backend-Sicherheitsrichtlinien können Sie Adressgruppen auf Organisationsebene für Ihre hierarchischen Sicherheitsrichtlinien konfigurieren. Sie können Adressgruppen mit Projektbereich nicht in Sicherheitsrichtlinien außerhalb des Projekts verwenden, in dem sie vorhanden sind. Adressgruppen mit Organisationsbereich können Sie jedoch für Sicherheitsrichtlinien in Ihrer gesamten Organisation freigeben. Daher sind Adressgruppen mit Organisationsbereich in Sicherheitsrichtlinien besonders hilfreich, wenn Sie sie mit hierarchischen Sicherheitsrichtlinien verwenden. Weitere Informationen zu hierarchischen Sicherheitsrichtlinien finden Sie unter Übersicht über hierarchische Sicherheitsrichtlinien.

Beispiele

Die folgenden Beispiele zeigen, wie Sie Adressgruppen verwenden können, um Sicherheitsrichtlinien zu konfigurieren:

  • Angenommen, Sie haben eine Netzwerkkonfiguration mit drei Backend-Diensten, die jeweils eine Sicherheitsrichtlinie haben. Außerdem haben Sie eine Liste mit IP-Adressen, die bekanntermaßen schädlich sind. Wenn Sie in jeder Sicherheitsrichtlinie eine deny-Regel erstellen, können Sie eine Adressgruppe erstellen und sie mit allen drei Sicherheitsrichtlinien verwenden, anstatt die Liste der IP-Adressen jeder Sicherheitsrichtlinie hinzuzufügen. Wenn Sie dann eine neue Sicherheitsrichtlinie erstellen, können Sie die Adressgruppe wieder verwenden, um neue Regeln zu erstellen.
  • Stellen Sie sich vor, Sie haben eine Organisation mit vielen Projekten, die in Ordnern gruppiert sind, und drei Listen mit IP-Adressen, die jeweils nur auf einige dieser Ordner zugreifen müssen. Sie können drei organisationsbezogene Adressgruppen erstellen, eine für jede Liste von IP-Adressen, und dann drei hierarchische Sicherheitsrichtlinien. Sie können jeder hierarchischen Sicherheitsrichtlinie eine allow-Regel zuweisen, die mit einer der drei Adressgruppen übereinstimmt, und die hierarchische Sicherheitsrichtlinie dann jedem Ordner zuordnen, auf den die zulässige IP-Adressgruppe zugreifen muss.

Nächste Schritte