アドレス グループには、複数の IP アドレス、CIDR 形式の IP アドレス範囲、またはその両方が含まれます。各アドレス グループは、Cloud NGFW ファイアウォール ポリシーのルールや Cloud Armor セキュリティ ポリシーのルールなど、複数のリソースで使用できます。
アドレス グループの更新は、アドレス グループを参照するリソースに自動的に伝播されます。たとえば、信頼できる IP アドレスのセットが含まれるアドレス グループを作成できます。信頼できる IP アドレスのセットを変更するには、アドレス グループを更新します。アドレス グループの更新は、関連付けられている各リソースに自動的に反映されます。
仕様
アドレス グループ リソースには次の特徴があります。
- 各アドレス グループは、次の要素を含む URL で一意に識別されます。
- コンテナのタイプ: アドレス グループのタイプ(
organizationまたはproject)。 - コンテナ ID: 組織またはプロジェクトの ID。
- ロケーション: アドレス グループが
globalかリージョン リソース(europe-westなど)かを表します。 - 名前: 次の形式のアドレス グループ名。
- 1~63 文字の文字列
- 英数字のみを使用
- 先頭は数字以外
- コンテナのタイプ: アドレス グループのタイプ(
アドレス グループの一意の URL 識別子は、次の形式で構成できます。
<containerType>/<containerId>/locations/<location>/addressGroups/<address-group-name>たとえば、プロジェクト
myproject内のglobalアドレス グループexample-address-groupには、次のような固有の 4 タプル識別子があります。projects/myproject/locations/global/addressGroups/example-address-group各アドレス グループには、IPv4 と IPv6 のいずれかに関連するタイプがあります(両方ではありません)。アドレス グループ タイプを後で変更することはできません。
アドレス グループ内の各 IP アドレスまたは IP 範囲は「項目」と呼ばれます。アドレス グループに追加できる項目数は、アドレス グループの容量によって異なります。アドレス グループの作成時に項目の容量を定義できます。この容量を後で変更することはできません。アドレス グループに構成できる最大容量は、そのアドレス グループを使用するサービスによって異なります。
アドレス グループを作成するときに、容量とタイプを指定する必要があります。また、Cloud Armor を使用する場合は、
purposeフィールドをCLOUD_ARMORに設定する必要があります。CLOUD_ARMOR以外の目的でアドレス グループを作成した場合、アドレス グループの最大容量は 1,000 個の IP アドレスです。
アドレス グループのタイプ
アドレス グループはスコープに基づいて分類されます。スコープにより、リソース階層でアドレス グループが適用されるレベルが決まります。アドレス グループは次のタイプに分類されます。
アドレス グループは、プロジェクト スコープと組織スコープのいずれかにできますが、両方に設定することはできません。
プロジェクト スコープのアドレス グループ
プロジェクトまたはネットワーク内で使用する独自の IP アドレスのリストを定義して、変更された IP アドレスリストをブロックまたは許可する場合は、プロジェクト スコープのアドレス グループを使用します。たとえば、独自の脅威インテリジェンス リストを定義してルールに追加する場合は、必要な IP アドレスを含むアドレス グループを作成します。
プロジェクト スコープのアドレス グループのコンテナタイプは、常にproject に設定されます。プロジェクト スコープのアドレス グループの作成、変更の詳細については、プロジェクト スコープのアドレス グループの使用をご覧ください。
組織スコープのアドレス グループ
組織全体を一貫して制御できるようにするため、および個々のネットワーク オーナーやプロジェクト オーナーが共通のリスト(信頼できるサービスや内部 IP アドレスのリストなど)を維持する際のオーバーヘッドを削減するために上位レベルのルールで使用可能な IP アドレスの主要なリストを定義するには、組織スコープのアドレス グループを使用します。組織スコープのアドレス グループのコンテナタイプは、常に organization に設定されます。組織スコープのアドレス グループを作成、変更する方法については、組織スコープのアドレス グループを使用するをご覧ください。
アドレス グループとセキュリティ ポリシーが連携する仕組み
アドレス グループを使用すると、IP アドレスの各リストを多くのセキュリティ ポリシーで共有できるため、セキュリティ ポリシーの構成とメンテナンスが簡単になります。セキュリティ ポリシーでアドレス グループを使用する場合は、次の追加仕様を考慮してください。
- アドレス グループは、グローバル スコープのバックエンド セキュリティ ポリシーでのみ使用できます。
- 組織スコープのアドレス グループは、サービスレベルのセキュリティ ポリシーと階層型セキュリティ ポリシーの両方で使用できます。
- アドレス グループの容量は、アドレス グループが使用されているセキュリティ ポリシーの属性の合計数に追加されます。容量は、ユースケースに基づいて適切な値に設定してください。
- アドレス グループを使用するには、プロジェクトが Cloud Armor Enterprise に登録されている必要があります。標準的な請求にダウングレードすると、新しいアドレス グループの作成や既存のアドレス グループの変更を行えなくなります。また、既存のアドレス グループを参照するルールを作成できなくなり、アドレス グループを参照するセキュリティ ポリシーは固定されます。つまり、そのセキュリティ ポリシーは引き続き有効ですが、アドレス グループを参照するルールをすべて削除するまで変更することはできません。
アドレス グループの割り当てと上限を確認することをおすすめします。
バックエンド セキュリティ ポリシーの組織スコープのアドレス グループを構成するだけでなく、階層型セキュリティ ポリシーの組織スコープのアドレス グループを構成することもできます。プロジェクト スコープのアドレス グループは、存在するプロジェクト以外のセキュリティ ポリシーでは使用できませんが、組織全体のセキュリティ ポリシーで組織スコープのアドレス グループを共有できます。これにより、階層型セキュリティ ポリシーで使用する場合、組織スコープのアドレス グループとセキュリティ ポリシーが特に役立ちます。階層型セキュリティ ポリシーの詳細については、階層型セキュリティ ポリシーの概要をご覧ください。
例
次の例は、アドレス グループを使用してセキュリティ ポリシーを構成する方法を示しています。
- ネットワーク構成に 3 つのバックエンド サービスがあり、それぞれに 1 つのセキュリティ ポリシーがあるとします。また、悪意のある IP アドレスのリストもあります。各セキュリティ ポリシーで
denyルールを作成する際は、IP アドレスのリストを各セキュリティ ポリシーに追加する代わりに、1 つのアドレス グループを作成して 3 つのセキュリティ ポリシーで使用できます。こうすれば、新しいセキュリティ ポリシーを作成するたびに、アドレス グループを再利用して新しいルールを作成できます。 - ある組織で、フォルダにグループ化された多くのプロジェクトがあり、これらのフォルダの一部にのみアクセスする必要がある IP アドレスのリストが 3 つあるとします。IP アドレスのリストごとに 1 つずつ、組織スコープのアドレス グループを 3 つ作成し、3 つの階層型セキュリティ ポリシーを作成できます。各階層型セキュリティ ポリシーに、3 つのアドレス グループのいずれかに一致する
allowルールを指定し、許可された IP アドレス グループがアクセスする必要がある各フォルダに階層型セキュリティ ポリシーを関連付けることができます。