Um grupo de endereços contém vários endereços IP, intervalos de endereços IP no formato CIDR, ou ambos. Cada grupo de endereços pode ser usado por diversos recursos, como regras em políticas de firewall do Cloud NGFW ou regras em políticas de segurança do Cloud Armor.
As atualizações em um grupo de endereços são automaticamente propagadas para os recursos que o referenciam. Por exemplo, é possível criar um grupo de endereços com um conjunto de endereços IP confiáveis. Para alterar o conjunto de endereços IP confiáveis, basta atualizar o grupo de endereços. As atualizações que você fizer no grupo de endereços serão aplicadas automaticamente a todos os recursos associados.
Especificações
Os recursos de um grupo de endereços apresentam as seguintes características:
- Cada grupo de endereços é identificado por um URL exclusivo com
os seguintes elementos:
- Tipo de contêiner: determina o tipo do grupo de endereços, que pode ser
organizationouproject. - ID do contêiner: identificação da organização ou do projeto.
- Localização: especifica se o grupo de endereços é um recurso
globalou regional (comoeurope-west). - Nome: é o nome do grupo de endereços no seguinte formato:
- Uma string de 1 a 63 caracteres
- Contém apenas caracteres alfanuméricos
- Não pode começar com um número
- Tipo de contêiner: determina o tipo do grupo de endereços, que pode ser
É possível criar um identificador de URL exclusivo para um grupo de endereços usando este formato:
<containerType>/<containerId>/locations/<location>/addressGroups/<address-group-name>Por exemplo, o grupo de endereços
example-address-group, que églobal, do projetomyprojecttem o seguinte identificador exclusivo composto por quatro elementos:projects/myproject/locations/global/addressGroups/example-address-groupCada grupo de endereços tem um tipo associado, que deve ser IPv4 ou IPv6, mas não ambos. O tipo do grupo de endereços não pode ser alterado posteriormente.
Cada endereço IP ou intervalo de IP em um grupo de endereços é conhecido como item. A quantidade de itens que você pode adicionar a um grupo de endereços depende da capacidade do grupo. É possível definir a capacidade de itens durante a criação do grupo de endereços. Entretanto, essa capacidade não pode ser alterada posteriormente. A capacidade máxima que você pode configurar para um grupo de endereços varia conforme o produto com o qual o grupo é usado.
Você deve especificar a capacidade e o tipo ao criar um grupo de endereços. Além disso, ao usar o Cloud Armor, é necessário definir o campo
purposecomoCLOUD_ARMOR.Quando um grupo de endereços é criado com uma finalidade diferente de
CLOUD_ARMOR, a capacidade máxima será de 1.000 endereços IP.
Tipos de grupos de endereços
Os grupos de endereços são classificados com base no escopo. Esse escopo determina o nível de aplicação do grupo de endereços na hierarquia de recursos. Existem dois tipos de grupos de endereços:
Um grupo de endereços pode ter o escopo do projeto ou da organização, mas não ambos.
Grupos de endereços com escopo de projeto
Use grupos de endereços com escopo de projeto para definir sua própria lista de endereços IP a ser usada em um projeto ou rede, com o objetivo de bloquear ou permitir endereços IP variáveis. Por exemplo, se desejar configurar uma lista personalizada de inteligência de ameaças e incluí-la em uma regra, crie um grupo de endereços contendo os endereços IP necessários.
Para grupos de endereços com escopo de projeto, o tipo de contêiner é sempre definido comoproject. Para mais informações sobre como criar e modificar
grupos de endereços com escopo de projeto, confira Usar grupos de endereços com escopo de projeto.
Grupos de endereços com escopo de organização
Use grupos de endereços com escopo de organização para definir uma lista central de endereços IP que podem ser usados por regras de alto nível, garantindo controle consistente para toda a organização e reduzindo o overhead de manutenção de listas comuns por cada rede ou proprietário do projeto, como serviços confiáveis e endereços IP internos.Para grupos de endereços com escopo de organização, o tipo de contêiner é sempre definido como
organization. Para mais informações sobre como criar e modificar
grupos de endereços com escopo de organização, confira Usar grupos de endereços com escopo de organização.
Como os grupos de endereços funcionam com as políticas de segurança
Com os grupos de endereços, é mais simples configurar e gerenciar políticas de segurança, já que cada lista de endereços IP pode ser usada em diversas políticas. Considere as seguintes especificações adicionais ao usar grupos de endereços com políticas de segurança:
- Os grupos de endereços estão disponíveis somente para políticas de segurança de back-end com escopo global.
- Os grupos de endereços com escopo de organização podem ser usados tanto em políticas de segurança de serviço quanto em políticas de segurança hierárquicas.
- A capacidade de um grupo de endereços é somada ao total de atributos da política de segurança em que ele é usado. Garanta que a capacidade seja configurada com um valor adequado ao seu caso de uso.
- Para usar grupos de endereços, o projeto precisa estar registrado no Cloud Armor Enterprise. Se você fizer downgrade para o faturamento padrão, não será possível criar novos grupos de endereços nem modificar os existentes. Você também não poderá criar regras que referenciam um grupo de endereços existente, e as políticas de segurança que usam grupos de endereços ficam congeladas. Isso significa que elas continuam ativas, mas não podem ser modificadas até que todas as regras que se referem a um grupo de endereços sejam excluídas.
Recomendamos que você confira as cotas e os limites aplicáveis aos grupos de endereços.
Além de configurar grupos de endereços com escopo de organização para as políticas de segurança de back-end, é possível configurá-los para as políticas de segurança hierárquicas. Não é possível usar grupos de endereços com escopo de projeto em políticas de segurança externas ao projeto em que eles existem, mas é possível compartilhar grupos de endereços com escopo de organização para políticas de segurança em toda a organização. Isso torna os grupos de endereços com escopo de organização especialmente úteis quando usados em políticas de segurança hierárquicas. Para mais informações sobre as políticas de segurança hierárquicas, confira a Visão geral das políticas de segurança hierárquicas.
Exemplos
Os exemplos a seguir demonstram como usar grupos de endereços na configuração de políticas de segurança:
- Imagine que você tem uma configuração de rede com três serviços de back-end,
e cada um conta com uma política de segurança. Você também tem uma lista
de endereços IPs identificados como mal-intencionados. Ao criar uma regra
denyem cada política de segurança, é possível estabelecer um único grupo de endereços e usá-lo com as três políticas, em vez de adicionar a lista de endereços IP a cada uma delas. Dessa forma, sempre que você criar uma política de segurança, é possível usar novamente o grupo de endereços para estabelecer novas regras. - Imagine que você tem uma organização com diversos projetos agrupados em
pastas e três listas de endereços IP que precisam acessar
somente determinadas pastas. Você pode criar três grupos de endereços
com escopo de organização, sendo um para cada lista de endereços IP, e depois definir três
políticas de segurança hierárquicas. Cada política de segurança hierárquica pode ter uma regra
allowque corresponde a um dos três grupos de endereços e associar a política de segurança hierárquica às pastas que o grupo de endereços IP autorizado precisa acessar.