アドレス グループの概要

アドレス グループを使用して、複数の IP アドレスと IP アドレス範囲を単一の名前付き論理単位に結合します。この単位は、Cloud NGFW や Google Cloud Armor などの複数のプロダクトで使用できます。

アドレス グループを使用することで、ファイアウォール ポリシー ルールやセキュリティ ポリシー ルールなど、複数のファイアウォール ルール全体で使用される IP アドレスセットを手動で維持し、同期する必要がなくなります。必要なすべての IP アドレスまたは IP 範囲を使用し、このアドレス グループを複数のリソースで再利用して、共通のアドレス グループを作成できます。IP アドレスセットに変更があった場合は、関連するすべてのリソースを更新しなくても、アドレス グループを更新できます。

仕様

アドレス グループ リソースには次の特徴があります。

  • 各アドレス グループは、次の要素を含む URL で一意に識別されます。
    • コンテナのタイプ: アドレス グループのタイプ(organization または project)。
    • コンテナ ID: 組織またはプロジェクトの ID。
    • ロケーション: アドレス グループが global かリージョン リソース(europe-west など)かを表します。
    • 名前: 次の形式のアドレス グループ名。
      • 1~63 文字の文字列
      • 英数字のみを使用
      • 先頭は数字以外

  • アドレス グループの一意の URL 識別子は、次の形式で構成できます。

    <containerType>/<containerId>/locations/<location>/addressGroups/<address-group-name>

    たとえば、プロジェクト myproject 内の global アドレス グループ example-address-group には、次のような固有の 4 タプル識別子があります。

    projects/myproject/locations/global/addressGroups/example-address-group

  • 各アドレス グループには、IPv4 と IPv6 のいずれかに関連するタイプがあります(両方ではありません)。アドレス グループ タイプを後で変更することはできません。

  • アドレス グループ内の各 IP アドレスまたは IP 範囲は「項目」と呼ばれます。 アドレス グループに追加できる項目数は、アドレス グループの容量によって異なります。アドレス グループの作成時に項目の容量を定義できます。この容量を後で変更することはできません。アドレス グループに構成できる最大容量は、アドレス グループを使用するプロダクトによって異なります。

  • アドレス グループを作成するときに、容量とタイプを指定する必要があります。 また、Google Cloud Armor を使用する場合は、purpose フィールドを CLOUD_ARMOR に設定する必要があります。

  • CLOUD_ARMOR 以外でアドレス グループを作成すると、そのアドレス グループの最大容量は 1,000 個の IP アドレスになります。

アドレス グループのタイプ

アドレス グループはスコープに基づいて分類されます。スコープにより、リソース階層でアドレス グループが適用されるレベルが決まります。アドレス グループは次のタイプに分類されます。

アドレス グループは、プロジェクト スコープと組織スコープのいずれかにできますが、両方に設定することはできません。

プロジェクト スコープのアドレス グループ

プロジェクトまたはネットワーク内で使用する独自の IP アドレスのリストを定義して、変更された IP アドレスリストをブロックまたは許可する場合は、プロジェクト スコープのアドレス グループを使用します。たとえば、独自の脅威インテリジェンス リストを定義してルールに追加する場合、必要な IP アドレスを含むアドレス グループを作成します。

プロジェクト スコープのアドレス グループのコンテナタイプは、常に project に設定されます。プロジェクト スコープのアドレス グループを作成および変更する方法の詳細については、アドレス グループを構成するをご覧ください。

組織スコープのアドレス グループ

Google Cloud Armor は、組織スコープのアドレス グループをサポートしていません。

アドレス グループとセキュリティ ポリシーが連携する仕組み

アドレス グループを使用すると、IP アドレスの各リストを多数のセキュリティ ポリシー間で共有できるため、セキュリティ ポリシーの構成とメンテナンスを簡素化できます。セキュリティ ポリシーでアドレス グループを使用する場合は、次の追加仕様を検討してください。

  • アドレス グループは、グローバル スコープのバックエンド セキュリティ ポリシーでのみ使用できます。
  • アドレス グループの容量は、アドレス グループが使用されているセキュリティ ポリシーの属性の合計数に追加されます。容量は、ユースケースに基づいて適切な値に設定してください。
  • アドレス グループを使用するには、プロジェクトが Cloud Armor Enterprise に登録されている必要があります。標準的な請求にダウングレードすると、新しいアドレス グループの作成や、既存のアドレス グループの表示や変更はできません。また、既存のアドレス グループを参照するルールを作成することはできず、アドレス グループを参照するルールは固定されます。つまり、これらのエンティティはまだアクティブですが、実行できるアクションは delete のみです。

アドレス グループの割り当て上限を確認することをおすすめします。

ネットワーク構成に 3 つのバックエンド サービスがあり、それぞれに 1 つのセキュリティ ポリシーがあるとします。また、悪意のある IP アドレスのリストも用意されています。各セキュリティ ポリシーで deny ルールを作成する場合は、IP アドレスのリストを各セキュリティ ポリシーに追加するのではなく、1 つのアドレス グループを作成して 3 つのセキュリティ ポリシーすべてで使用できます。その後、新しいセキュリティ ポリシーを作成するたびに、アドレス グループを再度使用して新しいルールを作成できます。

次のステップ