Panoramica dei gruppi di indirizzi

Un gruppo di indirizzi contiene più indirizzi IP, intervalli di indirizzi IP in formato CIDR o entrambi. Ogni gruppo di indirizzi può essere utilizzato da più risorse, ad esempio regole nelle policy firewall Cloud NGFW o regole nelle policy di sicurezza Cloud Armor.

Gli aggiornamenti a un gruppo di indirizzi vengono propagati automaticamente alle risorse che fanno riferimento al gruppo di indirizzi. Ad esempio, puoi creare un gruppo di indirizzi contenente un insieme di indirizzi IP attendibili. Per modificare l'insieme di indirizzi IP attendibili, aggiorna il gruppo di indirizzi. Gli aggiornamenti al gruppo di indirizzi vengono riflessi automaticamente in ogni risorsa associata.

Specifiche

Le risorse dei gruppi di indirizzi hanno le seguenti caratteristiche:

  • Ogni gruppo di indirizzi è identificato in modo univoco da un URL con i seguenti elementi:
    • Tipo di contenitore: determina il tipo di gruppo di indirizzi: organization o project.
    • ID contenitore: ID dell'organizzazione o del progetto.
    • Località:specifica se il gruppo di indirizzi è una risorsa global o regionale (ad esempio europe-west).
    • Nome:il nome del gruppo di indirizzi nel seguente formato:
      • Una stringa di 1-63 caratteri
      • Include solo caratteri alfanumerici
      • Non può iniziare con un numero
  • Puoi creare un identificatore URL univoco per un gruppo di indirizzi nel seguente formato:

    <containerType>/<containerId>/locations/<location>/addressGroups/<address-group-name>
    

    Ad esempio, un gruppo di indirizzi global example-address-group nel progetto myprojectha il seguente identificatore univoco a 4 tuple:

    projects/myproject/locations/global/addressGroups/example-address-group
    
  • Ogni gruppo di indirizzi ha un tipo associato che può essere IPv4 o IPv6, ma non entrambi. Il tipo di gruppo di indirizzi non può essere modificato in un secondo momento.

  • Ogni indirizzo IP o intervallo IP in un gruppo di indirizzi è chiamato elemento. Il numero di elementi che puoi aggiungere a un gruppo di indirizzi dipende dalla capacità del gruppo di indirizzi. Puoi definire la capacità degli articoli durante la creazione del gruppo di indirizzi. Questa capacità non può essere modificata in un secondo momento. La capacità massima che puoi configurare per un gruppo di indirizzi varia a seconda del prodotto con cui utilizzi il gruppo di indirizzi.

  • Quando crei un gruppo di indirizzi, devi specificare la capacità e il tipo. Inoltre, quando utilizzi Cloud Armor, devi impostare il campo purpose su CLOUD_ARMOR.

  • Quando crei un gruppo di indirizzi con uno scopo diverso da CLOUD_ARMOR, il gruppo di indirizzi ha una capacità massima di 1000 indirizzi IP.

Tipi di gruppi di indirizzi

I gruppi di indirizzi vengono classificati in base all'ambito. L'ambito identifica il livello a cui si applica il gruppo di indirizzi nella gerarchia delle risorse. I gruppi di indirizzi sono suddivisi nei seguenti tipi:

Un gruppo di indirizzi può essere limitato a un progetto o a un'organizzazione, ma non a entrambi.

Gruppi di indirizzi con ambito progetto

Utilizza i gruppi di indirizzi con ambito progetto quando vuoi definire un tuo elenco di indirizzi IP da utilizzare all'interno di un progetto o di una rete per bloccare o consentire un elenco di indirizzi IP in continua evoluzione. Ad esempio, se vuoi definire un tuo elenco di intelligence sulle minacce e aggiungerlo a una regola, crea un gruppo di indirizzi con gli indirizzi IP richiesti.

Il tipo di contenitore per i gruppi di indirizzi con ambito progetto è sempre impostato su project. Per ulteriori informazioni su come creare e modificare gruppi di indirizzi con ambito progetto, consulta Utilizzare gruppi di indirizzi con ambito progetto.

Gruppi di indirizzi con ambito organizzazione

Utilizza i gruppi di indirizzi con ambito organizzazione quando vuoi definire un elenco centrale di indirizzi IP che possono essere utilizzati in regole di alto livello per fornire un controllo coerente per l'intera organizzazione e ridurre il sovraccarico per i singoli proprietari di reti e progetti per mantenere elenchi comuni, come servizi attendibili e indirizzi IP interni.

Il tipo di contenitore per i gruppi di indirizzi con ambito organizzazione è sempre impostato su organization. Per ulteriori informazioni su come creare e modificare gruppi di indirizzi con ambito organizzazione, vedi Utilizzare gruppi di indirizzi con ambito organizzazione.

Come funzionano i gruppi di indirizzi con i criteri di sicurezza

I gruppi di indirizzi semplificano la configurazione e la manutenzione dei criteri di sicurezza perché puoi condividere ogni elenco di indirizzi IP in molti criteri di sicurezza. Quando utilizzi i gruppi di indirizzi con le norme di sicurezza, tieni presenti le seguenti specifiche aggiuntive:

  • I gruppi di indirizzi sono disponibili solo per i criteri di sicurezza del backend con ambito globale.
  • I gruppi di indirizzi con ambito organizzazione sono disponibili sia per i criteri di sicurezza a livello di servizio sia per i criteri di sicurezza gerarchici.
  • La capacità di un gruppo di indirizzi viene aggiunta al conteggio totale degli attributi del criterio di sicurezza in cui viene utilizzato il gruppo di indirizzi. Assicurati di impostare la capacità su un valore appropriato in base al tuo caso d'uso.
  • Per utilizzare i gruppi di indirizzi, il tuo progetto deve essere registrato in Cloud Armor Enterprise. Se esegui il downgrade alla fatturazione standard, non puoi creare nuovi gruppi di indirizzi o modificare quelli esistenti. Inoltre, non puoi creare regole che fanno riferimento a un gruppo di indirizzi esistente e le tue norme di sicurezza che fanno riferimento a gruppi di indirizzi sono bloccate. Ciò significa che sono ancora attivi, ma non puoi modificarli finché non elimini tutte le regole che fanno riferimento a un gruppo di indirizzi.

Ti consigliamo di visualizzare le quote e i limiti per i gruppi di indirizzi.

Oltre a configurare i gruppi di indirizzi con ambito organizzazione per i criteri di sicurezza di backend, puoi configurare i gruppi di indirizzi con ambito organizzazione per i criteri di sicurezza gerarchici. Non puoi utilizzare gruppi di indirizzi con ambito progetto in criteri di sicurezza al di fuori del progetto in cui esistono, ma puoi condividere gruppi di indirizzi con ambito organizzazione con criteri di sicurezza in tutta l'organizzazione. Ciò rende i gruppi di indirizzi con ambito organizzazione con criteri di sicurezza particolarmente utili quando li utilizzi con criteri di sicurezza gerarchici. Per ulteriori informazioni sui criteri di sicurezza gerarchici, consulta la Panoramica dei criteri di sicurezza gerarchici.

Esempi

Gli esempi seguenti mostrano come utilizzare i gruppi di indirizzi per configurare le norme di sicurezza:

  • Immagina di avere una configurazione di rete in cui sono presenti tre servizi di backend, ognuno dei quali ha una policy di sicurezza. Inoltre, hai un elenco di indirizzi IP che sai essere dannosi. Quando crei una regola deny in ogni criterio di sicurezza, puoi creare un gruppo di indirizzi e utilizzarlo con tutti e tre i criteri di sicurezza anziché aggiungere l'elenco di indirizzi IP a ciascun criterio di sicurezza. Poi, ogni volta che crei una nuova norma di sicurezza, puoi utilizzare di nuovo il gruppo di indirizzi per creare nuove regole.
  • Immagina di avere un'organizzazione con molti progetti raggruppati in cartelle e di avere tre elenchi di indirizzi IP che devono accedere solo ad alcune di queste cartelle. Puoi creare tre gruppi di indirizzi con ambito organizzazione, uno per ogni elenco di indirizzi IP, e poi creare tre norme di sicurezza gerarchiche. Puoi assegnare a ogni policy di sicurezza gerarchica una regola allow che corrisponda a uno dei tre gruppi di indirizzi, quindi associare la policy di sicurezza gerarchica a ogni cartella a cui deve accedere il gruppo di indirizzi IP consentiti.

Passaggi successivi