Un grupo de direcciones contiene varias direcciones IP, rangos de direcciones IP en CIDR o ambos. Cada grupo de direcciones puede ser utilizado por varios recursos, como reglas en las políticas de firewall de Cloud NGFW o reglas en las políticas de seguridad de Google Cloud Armor.
Las actualizaciones de un grupo de direcciones se propagan automáticamente a los recursos que hacen referencia al grupo de direcciones. Por ejemplo, puedes crear un grupo de direcciones que contenga un conjunto de direcciones IP de confianza. Para cambiar el conjunto de direcciones IP de confianza, debes actualizar el grupo de direcciones. Las actualizaciones del grupo de direcciones se reflejan automáticamente en cada recurso asociado.
Especificaciones
Los recursos del grupo de direcciones tienen las siguientes características:
- Cada grupo de direcciones se identifica de forma única con una URL con los siguientes elementos:
- Tipo de contenedor: Determina el tipo de grupo de direcciones:
organization
oproject
. - ID del contenedor: ID de la organización o el proyecto.
- Ubicación: Especifica si el grupo de direcciones es un recurso
global
o regional (comoeurope-west
). - Nombre: El nombre del grupo de direcciones con el siguiente formato:
- Una string de 1 a 63 caracteres
- Solo incluye caracteres alfanuméricos
- No debe comenzar con un número
- Tipo de contenedor: Determina el tipo de grupo de direcciones:
Puedes construir un identificador de URL único para un grupo de direcciones en el siguiente formato:
<containerType>/<containerId>/locations/<location>/addressGroups/<address-group-name>
Por ejemplo, un grupo de direcciones
global
example-address-group
en el proyectomyproject
tiene el siguiente identificador único de 4 tuplas:projects/myproject/locations/global/addressGroups/example-address-group
Cada grupo de direcciones tiene un tipo asociado que puede ser IPv4 o IPv6, pero no ambos. El tipo de grupo de direcciones no se puede cambiar más adelante.
Cada dirección IP o rango de IP en un grupo de direcciones se conoce como un elemento. La cantidad de elementos que puedes agregar a un grupo de direcciones depende de la capacidad del grupo de direcciones. Puedes definir la capacidad del elemento durante la creación del grupo de direcciones. Esta capacidad no se puede cambiar más adelante. La capacidad máxima que puedes configurar para un grupo de direcciones varía según el producto con el que uses el grupo.
Debes especificar la capacidad y el tipo cuando creas un grupo de direcciones. Además, cuando uses Google Cloud Armor, debes establecer el campo
purpose
enCLOUD_ARMOR
.Cuando creas un grupo de direcciones con un propósito que no es
CLOUD_ARMOR
, el grupo de direcciones tiene una capacidad máxima de 1,000 direcciones IP.
Tipos de grupos de direcciones
Los grupos de direcciones se clasifican según el permiso. En el permiso se identifica el nivel en el que el grupo de direcciones es aplicable en la jerarquía de recursos. Los grupos de direcciones se clasifican en los siguientes tipos:
Un grupo de direcciones puede ser con permiso del proyecto o de la organización, pero no ambos.
Grupos de direcciones con permiso del proyecto
Usa grupos de direcciones con permiso del proyecto cuando desees definir tu propia lista de direcciones IP que se usarán dentro de un proyecto o una red para bloquear o permitir una lista de direcciones IP que cambian. Por ejemplo, si deseas definir tu propia lista de inteligencia de amenazas y agregarla a una regla, crea un grupo de direcciones con las direcciones IP requeridas.
El tipo de contenedor para los grupos de direcciones con permiso del proyecto siempre se establece enproject
. Para obtener más información sobre cómo crear y modificar
grupos de direcciones con alcance de proyecto, consulta Cómo configurar grupos de direcciones.
Grupos de direcciones con permiso de la organización
Google Cloud Armor no admite grupos de direcciones centrados en la organización.Cómo funcionan los grupos de direcciones con las políticas de seguridad
Los grupos de direcciones simplifican la configuración y el mantenimiento de las políticas de seguridad porque puede compartir cada lista de direcciones IP en muchas políticas de seguridad. Ten en cuenta las siguientes especificaciones adicionales cuando uses grupos de direcciones con políticas de seguridad:
- Los grupos de direcciones solo están disponibles para cuentas con alcance global políticas de seguridad de backend.
- La capacidad de un grupo de direcciones se agrega al recuento total de atributos de la política de seguridad en la que se usa el grupo de direcciones. Asegúrate de establecer la capacidad a un valor adecuado según tu caso de uso.
- Para usar grupos de direcciones, tu proyecto debe estar inscrito en
Cloud Armor Enterprise.
Si cambias a la opción de facturación estándar,
no puede crear grupos de direcciones nuevos ni ver ni modificar grupos de direcciones existentes.
Tampoco puedes crear reglas que hagan referencia a un grupo de direcciones existente, y las
reglas que hacen referencia a grupos de direcciones se inhabilitan. Esto significa que todavía
activas, pero la única acción que puedes realizar con ellas es
delete
.
Te recomendamos que veas las cuotas y los límites de los grupos de direcciones.
Ejemplo
Imagina que tienes una configuración de red en la que tienes tres servicios de backend, cada uno de los cuales tiene una política de seguridad. Además, tienes una lista de direcciones IP que sabes que son maliciosas. Cuando creas una regla deny
en cada política de seguridad, puedes crear un grupo de direcciones y usarlo con las tres políticas de seguridad en lugar de agregar la lista de direcciones IP a cada política de seguridad. Así, cada vez que crees una nueva política de seguridad, podrás usar el
grupo de direcciones para crear reglas nuevas.