Un grupo de direcciones contiene varias direcciones IP, intervalos de direcciones IP en formato CIDR o ambos. Cada grupo de direcciones puede utilizarse en varios recursos, como reglas de políticas de cortafuegos de Cloud NGFW o reglas de políticas de seguridad de Cloud Armor.
Los cambios que se hagan en un grupo de direcciones se propagarán automáticamente a los recursos que hagan referencia a ese grupo. Por ejemplo, puedes crear un grupo de direcciones que contenga un conjunto de direcciones IP de confianza. Para cambiar el conjunto de direcciones IP de confianza, actualiza el grupo de direcciones. Los cambios que hagas en el grupo de direcciones se reflejarán automáticamente en cada recurso asociado.
Especificaciones
Los recursos de grupos de direcciones tienen las siguientes características:
- Cada grupo de direcciones se identifica de forma única mediante una URL con los siguientes elementos:
- Tipo de contenedor: determina el tipo de grupo de direcciones (
organizationoproject). - ID de contenedor: ID de la organización o del proyecto.
- Ubicación: especifica si el grupo de direcciones es un recurso
globalo regional (comoeurope-west). - Nombre: nombre del grupo de direcciones con el siguiente formato:
- Una cadena de entre 1 y 63 caracteres
- Incluye solo caracteres alfanuméricos
- No puede empezar por un número
- Tipo de contenedor: determina el tipo de grupo de direcciones (
Puede crear un identificador de URL único para un grupo de direcciones con el siguiente formato:
<containerType>/<containerId>/locations/<location>/addressGroups/<address-group-name>Por ejemplo, un
globalgrupo de direccionesexample-address-groupdel proyectomyprojecttiene el siguiente identificador único de 4 tuplas:projects/myproject/locations/global/addressGroups/example-address-groupCada grupo de direcciones tiene un tipo asociado que puede ser IPv4 o IPv6, pero no ambos. El tipo de grupo de direcciones no se puede cambiar más adelante.
Cada dirección IP o intervalo de direcciones IP de un grupo de direcciones se denomina elemento. El número de elementos que puedes añadir a un grupo de direcciones depende de la capacidad del grupo. Puede definir la capacidad de los elementos durante la creación del grupo de direcciones. Esta capacidad no se puede cambiar más adelante. La capacidad máxima que puede configurar para un grupo de direcciones varía en función del producto con el que utilice el grupo de direcciones.
Debe especificar la capacidad y el tipo al crear un grupo de direcciones. Además, cuando uses Cloud Armor, debes definir el campo
purposeenCLOUD_ARMOR.Cuando creas un grupo de direcciones con un propósito que no
CLOUD_ARMOR, el grupo de direcciones tiene una capacidad máxima de 1000 direcciones IP.
Tipos de grupos de direcciones
Los grupos de direcciones se clasifican según su ámbito. El ámbito identifica el nivel en el que se puede aplicar el grupo de direcciones en la jerarquía de recursos. Los grupos de direcciones se clasifican en los siguientes tipos:
Un grupo de direcciones puede tener un ámbito de proyecto o de organización, pero no ambos.
Grupos de direcciones para el ámbito de proyectos
Utiliza grupos de direcciones de ámbito de proyecto cuando quieras definir tu propia lista de direcciones IP que se usará en un proyecto o una red para bloquear o permitir una lista de direcciones IP cambiantes. Por ejemplo, si quiere definir su propia lista de inteligencia de amenazas y añadirla a una regla, cree un grupo de direcciones con las direcciones IP necesarias.
El tipo de contenedor de los grupos de direcciones de ámbito de proyecto siempre esproject. Para obtener más información sobre cómo crear y modificar grupos de direcciones de ámbito de proyecto, consulte el artículo Usar grupos de direcciones de ámbito de proyecto.
Grupos de direcciones en el ámbito de organizaciones
Usa grupos de direcciones con ámbito de organización cuando quieras definir una lista central de direcciones IP que se pueda usar en reglas de alto nivel para proporcionar un control coherente en toda la organización y reducir la carga de los propietarios de redes y proyectos individuales para mantener listas comunes, como servicios de confianza y direcciones IP internas.El tipo de contenedor de los grupos de direcciones con ámbito de organización siempre es organization. Para obtener más información sobre cómo crear y modificar grupos de direcciones de ámbito de organización, consulte el artículo Usar grupos de direcciones de ámbito de organización.
Cómo funcionan los grupos de direcciones con las políticas de seguridad
Los grupos de direcciones simplifican la configuración y el mantenimiento de las políticas de seguridad, ya que puedes compartir cada lista de direcciones IP en muchas políticas de seguridad. Ten en cuenta las siguientes especificaciones adicionales cuando uses grupos de direcciones con políticas de seguridad:
- Los grupos de direcciones solo están disponibles para las políticas de seguridad de backend de ámbito global.
- Los grupos de direcciones con ámbito de organización están disponibles tanto para las políticas de seguridad a nivel de servicio como para las políticas de seguridad jerárquicas.
- La capacidad de un grupo de direcciones se añade al recuento total de atributos de la política de seguridad en la que se usa el grupo de direcciones. Asegúrate de definir la capacidad con un valor adecuado en función de tu caso práctico.
- Para usar grupos de direcciones, tu proyecto debe estar registrado en Cloud Armor Enterprise. Si cambias a la facturación estándar, no podrás crear ni modificar grupos de direcciones. Tampoco puedes crear reglas que hagan referencia a un grupo de direcciones, y las políticas de seguridad que hagan referencia a grupos de direcciones se congelarán. Esto significa que siguen activas, pero que no puedes modificarlas hasta que elimines todas las reglas que hagan referencia a un grupo de direcciones.
Te recomendamos que consultes las cuotas y los límites de los grupos de direcciones.
Además de configurar grupos de direcciones con ámbito de organización para tus políticas de seguridad de backend, puedes configurar grupos de direcciones con ámbito de organización para tus políticas de seguridad jerárquicas. No puedes usar grupos de direcciones con ámbito de proyecto en ninguna política de seguridad fuera del proyecto en el que se encuentran, pero puedes compartir grupos de direcciones con ámbito de organización con políticas de seguridad de toda tu organización. Esto hace que los grupos de direcciones con ámbito de organización y las políticas de seguridad sean especialmente útiles cuando los usas con políticas de seguridad jerárquicas. Para obtener más información sobre las políticas de seguridad jerárquicas, consulta la información general sobre las políticas de seguridad jerárquicas.
Ejemplos
En los siguientes ejemplos se muestra cómo puedes usar los grupos de direcciones para configurar políticas de seguridad:
- Supongamos que tienes una configuración de red en la que hay tres servicios de backend, cada uno de los cuales tiene una política de seguridad. Además, tienes una lista de direcciones IP que sabes que son maliciosas. Cuando creas una
denyregla en cada política de seguridad, puedes crear un grupo de direcciones y usarlo con las tres políticas de seguridad en lugar de añadir la lista de direcciones IP a cada política de seguridad. Después, cada vez que crees una política de seguridad, podrás volver a usar el grupo de direcciones para crear reglas. - Supongamos que tienes una organización con muchos proyectos agrupados en carpetas y tres listas de direcciones IP que solo necesitan acceder a algunas de estas carpetas. Puedes crear tres grupos de direcciones con ámbito de organización, uno para cada lista de direcciones IP, y, a continuación, crear tres políticas de seguridad jerárquicas. Puedes asignar a cada política de seguridad jerárquica una
allowregla que coincida con uno de los tres grupos de direcciones y, a continuación, asociar la política de seguridad jerárquica con cada carpeta a la que necesite acceder el grupo de direcciones IP permitidas.