주소 그룹 개요

주소 그룹에는 여러 IP 주소, CIDR 형식의 IP 주소 범위 또는 둘 다 포함됩니다. 각 주소 그룹은 Cloud NGFW 방화벽 정책의 규칙이나 Google Cloud Armor 보안 정책의 규칙과 같은 여러 리소스에서 사용할 수 있습니다.

주소 그룹에 대한 업데이트는 주소 그룹을 참조하는 리소스에 자동으로 전파됩니다. 예를 들어 신뢰할 수 있는 IP 주소 집합이 포함된 주소 그룹을 만들 수 있습니다. 신뢰할 수 있는 IP 주소 집합을 변경하려면 주소 그룹을 업데이트하세요. 주소 그룹에 대한 업데이트는 연결된 각 리소스에 자동으로 반영됩니다.

사양

주소 그룹 리소스는 다음과 같은 특징을 갖습니다.

  • 각 주소 그룹은 다음 요소가 있는 URL로 고유하게 식별됩니다.
    • 컨테이너 유형: 주소 그룹 유형(organization 또는 project)을 결정합니다.
    • 컨테이너 ID: 조직 또는 프로젝트의 ID입니다.
    • 위치: 주소 그룹이 global인지 또는 리전별 리소스(예: europe-west)인지 지정합니다.
    • 이름: 다음 형식의 주소 그룹 이름입니다.
      • 1~63자(영문 기준)의 문자열
      • 영숫자 문자만 포함
      • 숫자로 시작하지 않아야 함
  • 다음 형식으로 주소 그룹에 고유한 URL 식별자를 구성할 수 있습니다.

    <containerType>/<containerId>/locations/<location>/addressGroups/<address-group-name>
    

    예를 들어, myproject 프로젝트의 global 주소 그룹 example-address-group에는 다음과 같은 고유한 4-튜플 식별자가 있습니다.

    projects/myproject/locations/global/addressGroups/example-address-group
    
  • 각 주소 그룹에는 IPv4 또는 IPv6인 1개의 연결된 유형이 있을 수 있지만 둘 다 있을 수는 없습니다. 주소 그룹 유형은 나중에 변경할 수 없습니다.

  • 주소 그룹의 각 IP 주소 또는 IP 범위를 항목이라고 합니다. 주소 그룹에 추가할 수 있는 항목 수는 주소 그룹의 용량에 따라 다릅니다. 주소 그룹을 만드는 동안 항목 용량을 정의할 수 있습니다. 이 용량은 나중에 변경할 수 없습니다. 주소 그룹에 구성할 수 있는 최대 용량은 주소 그룹을 사용하는 제품에 따라 다릅니다.

  • 주소 그룹을 만들 때 용량과 유형을 지정해야 합니다. 또한 Google Cloud Armor를 사용하는 경우 purpose필드를 CLOUD_ARMOR로 설정해야 합니다.

  • CLOUD_ARMOR아닌 용도로 주소 그룹을 만드는 경우 주소 그룹의 최대 IP 주소 용량은 1,000개입니다.

주소 그룹 유형

주소 그룹은 범위에 따라 분류됩니다. 범위는 리소스 계층 구조에서 주소 그룹을 적용할 수 있는 수준을 식별합니다. 주소 그룹은 다음 유형으로 분류됩니다.

주소 그룹은 프로젝트 범위 또는 조직 범위일 수 있지만 둘 다일 수는 없습니다.

프로젝트 범위 주소 그룹

변경되는 IP 주소 목록을 차단하거나 허용하기 위해 프로젝트 또는 네트워크 내에서 사용할 IP 주소 목록을 정의하려는 경우 프로젝트 범위 주소 그룹을 사용합니다. 예를 들어 자체 위협 인텔리전스 목록을 정의하여 규칙에 추가하려면 필요한 IP 주소로 주소 그룹을 만듭니다.

프로젝트 범위 주소 그룹의 컨테이너 유형은 항상 project로 설정됩니다. 프로젝트 범위 주소 그룹을 만들고 수정하는 방법에 대한 자세한 내용은 프로젝트 범위 주소 그룹 사용을 참조하세요.

조직 범위 주소 그룹

개별 네트워크 및 프로젝트 소유자가 신뢰할 수 있는 서비스 및 내부 IP 주소와 같은 공통 목록을 유지관리하도록 전체 조직에 대한 일관된 제어를 제공하고 오버헤드를 줄이기 위해 대략적인 규칙에 사용할 수 있는 중앙 IP 주소 목록을 정의하려면 조직 범위 주소 그룹을 사용합니다.

조직 범위 주소 그룹의 컨테이너 유형은 항상 organization으로 설정됩니다. 조직 범위 주소 그룹을 만들고 수정하는 방법에 대한 자세한 내용은 조직 범위 주소 그룹 사용을 참조하세요.

보안 정책에서 주소 그룹 작동 방식

여러 보안 정책에서 각 IP 주소 목록을 공유할 수 있기 때문에 주소 그룹은 보안 정책의 구성 및 유지보수를 간소화합니다. 보안 정책과 함께 주소 그룹을 사용할 때는 다음과 같은 추가 사양을 고려하세요.

  • 주소 그룹은 전역 범위 백엔드 보안 정책에만 사용할 수 있습니다.
  • 조직 범위 주소 그룹은 서비스 수준 보안 정책과 계층적 보안 정책 모두에 사용할 수 있습니다.
  • 주소 그룹의 용량이 주소 그룹이 사용되는 보안 정책의 총 속성 수에 추가됩니다. 사용 사례에 따라 용량을 적절한 값으로 설정해야 합니다.
  • 주소 그룹을 사용하려면 프로젝트가 Cloud Armor Enterprise에 등록되어 있어야 합니다. 표준 결제로 다운그레이드하면 새 주소 그룹을 만들거나 기존 주소 그룹을 수정할 수 없습니다. 또한 기존 주소 그룹을 참조하는 규칙을 만들 수 없으며 주소 그룹을 참조하는 보안 정책은 동결됩니다. 즉, 주소 그룹은 여전히 활성 상태이지만, 주소 그룹을 참조하는 모든 규칙을 삭제할 때까지는 수정할 수는 없습니다.

주소 그룹에 대한 할당량한도를 확인하는 것이 좋습니다.

백엔드 보안 정책에 조직 범위 주소 그룹을 구성하는 것 외에도 계층적 보안 정책에 조직 범위 주소 그룹을 구성할 수 있습니다. 프로젝트 범위 주소 그룹은 해당 그룹이 있는 프로젝트 외부의 보안 정책에서 사용할 수 없지만, 조직 범위 주소 그룹은 조직 전체의 보안 정책과 공유할 수 있습니다. 따라서 계층적 보안 정책과 함께 사용하는 경우 보안 정책이 있는 조직 범위 주소 그룹이 특히 유용합니다. 계층적 보안 정책에 대한 자세한 내용은 계층적 보안 정책 개요를 참고하세요.

예시

다음 예에서는 주소 그룹을 사용하여 보안 정책을 구성하는 방법을 보여줍니다.

  • 각각 보안 정책이 하나씩 있는 백엔드 서비스가 3개인 네트워크 구성이 있다고 가정해 보겠습니다. 또한 악성으로 알려진 IP 주소 목록이 있다고 합시다. 각 보안 정책에서 deny 규칙을 만들 때 각 보안 정책에 IP 주소 목록을 추가하는 대신 하나의 주소 그룹을 만들어 세 가지 보안 정책 모두에 사용할 수 있습니다. 그런 다음 새 보안 정책을 만들 때마다 주소 그룹을 다시 사용하여 새 규칙을 만들 수 있습니다.
  • 조직에 폴더로 그룹화된 프로젝트가 많이 있고, 각 폴더에만 액세스해야 하는 IP 주소 목록이 3개 있다고 가정해 보겠습니다. IP 주소 목록별로 조직 범위 주소 그룹을 3개 만든 다음 계층적 보안 정책을 3개 만들 수 있습니다. 계층적 보안 정책에 세 가지 주소 그룹 중 하나와 일치하는 allow 규칙을 부여한 다음 허용된 IP 주소 그룹이 액세스해야 하는 각 폴더와 계층식 보안 정책을 연결할 수 있습니다.

다음 단계