Se usó la API de Cloud Translation para traducir esta página.

Descripción general de los grupos de direcciones

Un grupo de direcciones contiene varias direcciones IP, rangos de direcciones IP en CIDR o ambos. Cada grupo de direcciones puede ser utilizado por varios recursos, como reglas en las políticas de firewall de Cloud NGFW o reglas en las políticas de seguridad de Google Cloud Armor.

Las actualizaciones de un grupo de direcciones se propagan automáticamente a los recursos que hacen referencia al grupo de direcciones. Por ejemplo, puedes crear un grupo de direcciones que contenga un conjunto de direcciones IP de confianza. Para cambiar el conjunto de direcciones IP de confianza, debes actualizar el grupo de direcciones. Las actualizaciones del grupo de direcciones se reflejan automáticamente en cada recurso asociado.

Especificaciones

Los recursos del grupo de direcciones tienen las siguientes características:

Cada grupo de direcciones se identifica de forma única con una URL con los siguientes elementos:
- Tipo de contenedor: Determina el tipo de grupo de direcciones: organization o project.
- ID del contenedor: ID de la organización o el proyecto.
- Ubicación: Especifica si el grupo de direcciones es un recurso global o regional (como europe-west).
- Nombre: El nombre del grupo de direcciones con el siguiente formato:
  - Una string de 1 a 63 caracteres
  - Solo incluye caracteres alfanuméricos
  - No debe comenzar con un número
Puedes construir un identificador de URL único para un grupo de direcciones en el siguiente formato:
```
<containerType>/<containerId>/locations/<location>/addressGroups/<address-group-name>
```
Por ejemplo, un grupo de direcciones global example-address-group en el proyecto myproject tiene el siguiente identificador único de 4 tuplas:
```
projects/myproject/locations/global/addressGroups/example-address-group
```
Cada grupo de direcciones tiene un tipo asociado que puede ser IPv4 o IPv6, pero no ambos. El tipo de grupo de direcciones no se puede cambiar más adelante.
Cada dirección IP o rango de IP en un grupo de direcciones se conoce como un elemento. La cantidad de elementos que puedes agregar a un grupo de direcciones depende de la capacidad del grupo de direcciones. Puedes definir la capacidad del elemento durante la creación del grupo de direcciones. Esta capacidad no se puede cambiar más adelante. La capacidad máxima que puedes configurar para un grupo de direcciones varía según el producto con el que uses el grupo.
Debes especificar la capacidad y el tipo cuando creas un grupo de direcciones. Además, cuando uses Google Cloud Armor, debes establecer el campo purpose en CLOUD_ARMOR.
Cuando creas un grupo de direcciones con un propósito que no es CLOUD_ARMOR, el grupo de direcciones tiene una capacidad máxima de 1,000 direcciones IP.

Tipos de grupos de direcciones

Los grupos de direcciones se clasifican según el permiso. En el permiso se identifica el nivel en el que el grupo de direcciones es aplicable en la jerarquía de recursos. Los grupos de direcciones se clasifican en los siguientes tipos:

Grupos de direcciones con permiso del proyecto
Grupos de direcciones con permiso de la organización

Un grupo de direcciones puede ser con permiso del proyecto o de la organización, pero no ambos.

Grupos de direcciones con permiso del proyecto

Usa grupos de direcciones con permiso del proyecto cuando desees definir tu propia lista de direcciones IP que se usarán dentro de un proyecto o una red para bloquear o permitir una lista de direcciones IP que cambian. Por ejemplo, si deseas definir tu propia lista de inteligencia de amenazas y agregarla a una regla, crea un grupo de direcciones con las direcciones IP requeridas.

El tipo de contenedor para los grupos de direcciones con permiso del proyecto siempre se establece en project. Para obtener más información sobre cómo crear y modificar grupos de direcciones con alcance de proyecto, consulta Cómo configurar grupos de direcciones.

Grupos de direcciones con permiso de la organización

Google Cloud Armor no es compatible con los grupos de direcciones con permisos de la organización.

Cómo funcionan los grupos de direcciones con las políticas de seguridad

Los grupos de direcciones simplifican la configuración y el mantenimiento de las políticas de seguridad porque puede compartir cada lista de direcciones IP en muchas políticas de seguridad. Ten en cuenta las siguientes especificaciones adicionales cuando utilices grupos de direcciones con las políticas de seguridad:

Los grupos de direcciones solo están disponibles para las direcciones políticas de seguridad de backend.
La capacidad de un grupo de direcciones se suma al recuento total de atributos del la política de seguridad en la que se usa el grupo de direcciones. Asegúrate de establecer la capacidad a un valor adecuado según tu caso de uso.
Para usar grupos de direcciones, tu proyecto debe estar inscrito en Cloud Armor Enterprise. Si cambias a la opción de facturación estándar, no puede crear grupos de direcciones nuevos ni ver ni modificar grupos de direcciones existentes. Tampoco puedes crear reglas que hagan referencia a un grupo de direcciones existente y tu las reglas que hacen referencia a grupos de direcciones están inmovilizadas. Esto significa que todavía activas, pero la única acción que puedes realizar con ellas es delete.

Te recomendamos que consultes las cuotas y los límites de los grupos de direcciones.

Ejemplo

Imagina que tienes una configuración de red en la que hay tres reglas de de Google Cloud, cada uno de los cuales tiene una política de seguridad. Además, tienes una lista de direcciones IP que sabes que son maliciosas. Cuando creas una regla deny en cada política de seguridad, puede crear un grupo de direcciones y usarlo con las tres políticas de seguridad en lugar de agregar la lista de direcciones IP a cada estado . Así, cada vez que crees una nueva política de seguridad, podrás usar el grupo de direcciones para crear reglas nuevas.

¿Qué sigue?

Configura grupos de direcciones.