Un groupe d'adresses contient plusieurs adresses IP, plusieurs plages d'adresses IP au format CIDR, ou les deux. Chaque groupe d'adresses peut être utilisé par plusieurs ressources, telles que les règles des stratégies de pare-feu Cloud NGFW ou les règles des stratégies de sécurité Google Cloud Armor.
Les modifications apportées à un groupe d'adresses sont automatiquement propagées aux ressources qui font référence à ce groupe. Par exemple, vous pouvez créer un groupe d'adresses contenant un ensemble d'adresses IP approuvées. Pour modifier l'ensemble des adresses IP approuvées, vous devez mettre à jour le groupe d'adresses. Vos modifications apportées au groupe d'adresses sont automatiquement répercutées dans chaque ressource associée.
Spécifications
Les ressources des groupes d'adresses présentent les caractéristiques suivantes :
- Chaque groupe d'adresses est identifié de manière unique par une URL comprenant les éléments suivants :
- Type de conteneur : détermine le type de groupe d'adresses (
organizationouproject). - ID du conteneur : ID de l'organisation ou du projet.
- Emplacement : indique si le groupe d'adresses est une ressource
globalou régionale (par exempleeurope-west). - Nom : nom du groupe d'adresses au format suivant :
- Chaîne de 1 à 63 caractères.
- Ne comprend que des caractères alphanumériques.
- Ne doit pas commencer par un chiffre.
- Type de conteneur : détermine le type de groupe d'adresses (
Vous pouvez créer un identifiant d'URL unique pour un groupe d'adresses au format suivant :
<containerType>/<containerId>/locations/<location>/addressGroups/<address-group-name>Par exemple, un groupe d'adresses
globalexample-address-groupdans le projetmyprojectpossède l'identifiant unique à quatre tuples suivant :projects/myproject/locations/global/addressGroups/example-address-groupChaque groupe d'adresses est associé à un type dont la valeur peut être IPv4 ou IPv6, mais pas les deux. Le type de groupe d'adresses ne peut pas être modifié ultérieurement.
Chaque adresse IP ou plage d'adresses IP d'un groupe d'adresses est appelée élément. Le nombre d'éléments que vous pouvez ajouter à un groupe d'adresses dépend de la capacité de celui-ci. Vous pouvez définir la capacité en éléments lors de la création du groupe d'adresses. Vous ne pourrez pas modifier cette capacité par la suite. La capacité maximale que vous pouvez configurer pour un groupe d'adresses varie en fonction du produit avec lequel vous utilisez le groupe d'adresses.
Vous devez spécifier la capacité et le type lorsque vous créez un groupe d'adresses. De plus, lorsque vous utilisez Google Cloud Armor, vous devez définir le champ
purposesurCLOUD_ARMOR.Lorsque vous créez un groupe d'adresses dont l'usage n'est pas
CLOUD_ARMOR, sa capacité maximale est de 1 000 adresses IP.
Types de groupes d'adresses
Les groupes d'adresses sont classés en fonction de leur champ d'application. Le champ d'application identifie le niveau auquel le groupe d'adresses s'applique dans la hiérarchie des ressources. Les groupes d'adresses sont classés selon les types suivants :
Un groupe d'adresses peut être au niveau du projet ou au niveau de l'organisation, mais pas les deux.
Groupes d'adresses au niveau du projet
Utilisez des groupes d'adresses au niveau du projet lorsque vous souhaitez définir votre propre liste d'adresses IP à utiliser dans un projet ou un réseau afin de bloquer ou d'autoriser une liste d'adresses IP qui sont susceptibles de changer. Par exemple, si vous souhaitez définir votre propre liste de renseignements sur les menaces et l'ajouter à une règle, créez un groupe d'adresses avec les adresses IP requises.
Le type de conteneur des groupes d'adresses au niveau du projet est toujours défini surproject. Pour en savoir plus sur la création et la modification de groupes d'adresses au niveau du projet, consultez la section Configurer des groupes d'adresses.
Groupes d'adresses au niveau de l'organisation
Google Cloud Armor n'est pas compatible avec les groupes d'adresses de portée organisation.Fonctionnement des groupes d'adresses avec les règles de sécurité
Les groupes d'adresses simplifient la configuration et la maintenance des stratégies de sécurité, car vous pouvez partager chaque liste d'adresses IP dans de nombreuses stratégies de sécurité. Tenez compte des spécifications supplémentaires suivantes lorsque vous utilisez des groupes d'adresses avec des règles de sécurité:
- Les groupes d'adresses ne sont disponibles que pour les règles de sécurité de backend à portée globale.
- La capacité d'un groupe d'adresses est ajoutée au nombre total d'attributs de la stratégie de sécurité dans laquelle le groupe d'adresses est utilisé. Assurez-vous de définir la capacité sur une valeur appropriée en fonction de votre cas d'utilisation.
- Pour utiliser des groupes d'adresses, votre projet doit être enregistré dans Cloud Armor Enterprise. Si vous passez à la facturation standard, vous ne pourrez plus créer de groupes d'adresses ni modifier les groupes d'adresses existants. Vous ne pouvez pas non plus créer de règles qui font référence à un groupe d'adresses existant, et vos règles de sécurité qui font référence à des groupes d'adresses sont figées. Cela signifie qu'ils sont toujours actifs, mais que vous ne pouvez pas les modifier tant que vous n'avez pas supprimé toutes les règles qui font référence à un groupe d'adresses.
Nous vous recommandons de consulter les quotas et les limites applicables aux groupes d'adresses.
Exemple
Imaginez que vous disposiez d'une configuration réseau dans laquelle vous avez trois services de backend, chacun disposant d'une stratégie de sécurité. De plus, vous disposez d'une liste d'adresses IP que vous savez être malveillantes. Lorsque vous créez une règle deny dans chaque stratégie de sécurité, vous pouvez créer un groupe d'adresses et l'utiliser avec les trois stratégies de sécurité au lieu d'ajouter la liste des adresses IP à chaque stratégie de sécurité. Ensuite, chaque fois que vous créez une stratégie de sécurité, vous pouvez réutiliser le groupe d'adresses pour créer de nouvelles règles.