Esta página foi traduzida pela API Cloud Translation.

Informações gerais sobre os grupos de endereços

Um grupo de endereços contém vários endereços IP, intervalos de endereços IP no CIDR ou ambos. Cada grupo de endereços pode ser usado por vários recursos, como regras em políticas de firewall do Cloud NGFW ou regras em políticas de segurança do Cloud Armor.

As atualizações em um grupo de endereços são propagadas automaticamente para os recursos o grupo de endereços. Por exemplo, é possível criar um grupo de endereços que contenha um conjunto de endereços IP confiáveis. Para mudar o conjunto de IPs confiáveis você atualiza o grupo de endereços. Suas atualizações no grupo de endereços são refletidas automaticamente em cada recurso associado.

Especificações

Os recursos do grupo de endereços têm as seguintes características:

Cada grupo de endereços é identificado exclusivamente por um URL com os seguintes elementos:
- Tipo de contêiner: determina o tipo de grupo de endereços: organization ou project.
- ID do contêiner:ID da organização ou do projeto.
- Local: especifica se o grupo de endereços é um global ou recurso regional (como europe-west).
- Nome: é o nome do grupo de endereços com o seguinte formato:
  - Uma string com 1 a 63 caracteres
  - Inclui apenas caracteres alfanuméricos
  - Não pode começar com um número
Você pode criar um identificador de URL exclusivo para um grupo de endereços no seguinte formato:
```
<containerType>/<containerId>/locations/<location>/addressGroups/<address-group-name>
```
Por exemplo, um grupo de endereços global example-address-group no projeto myproject tem o seguinte identificador exclusivo de quatro tuplas:
```
projects/myproject/locations/global/addressGroups/example-address-group
```
Cada grupo de endereços tem um tipo associado que pode ser IPv4 ou IPv6, mas não ambos. O tipo de grupo de endereços não poderá ser alterado posteriormente.
Cada endereço IP ou intervalo de IPs em um grupo de endereços é conhecido como item. O número de itens que você pode adicionar a um grupo de endereços depende da capacidade dele. É possível definir a capacidade do item durante a criação do grupo de endereços. Não é possível alterar essa capacidade depois. A capacidade máxima que você pode configurar para um grupo de endereços varia de acordo com o produto com que você usa o grupo de endereços.
É necessário especificar a capacidade e o tipo ao criar um grupo de endereços. Além disso, ao usar o Cloud Armor, defina os campos purpose como CLOUD_ARMOR.
Quando você cria um grupo de endereços com uma finalidade que não é CLOUD_ARMOR, o grupo de endereços tem uma capacidade máxima de 1.000 endereços IP.

Tipos de grupos de endereços

Os grupos de endereços são classificados com base no escopo. O escopo identifica o nível em que o grupo de endereços é aplicável na hierarquia de recursos. Os grupos de endereços são categorizados nos seguintes tipos:

Grupos de endereços com escopo do projeto
Grupos de endereços no escopo da organização

Um grupo de endereços pode ser definido no escopo do projeto ou da organização, mas não ambos.

Grupos de endereços com escopo do projeto

Use grupos de endereços com escopo de projeto quando quiser definir sua própria lista de endereços IP a serem usados dentro de um projeto ou uma rede para bloquear ou permitir uma lista de endereços IP variáveis. Por exemplo, se você quiser definir sua própria lista de inteligência de ameaças e adicioná-la a uma regra, crie um grupo de endereços com os endereços IP obrigatórios.

O tipo de contêiner para grupos de endereços com escopo do projeto é sempre definido como project. Para mais informações sobre como criar e modificar grupos de endereços com escopo de projeto, consulte Usar grupos de endereços com escopo de projeto.

Grupos de endereços no escopo da organização

Use grupos de endereços com escopo de organização quando quiser definir uma lista central de endereços IP que podem ser usados em regras de alto nível para fornecer controle consistente em toda a organização e reduzir a sobrecarga para proprietários de redes e projetos individuais manterem listas comuns, como serviços confiáveis e endereços IP internos.

O tipo de contêiner para grupos de endereços com escopo da organização é sempre definido como organization. Para mais informações sobre como criar e modificar grupos de endereços no escopo da organização, consulte Usar grupos de endereços com escopo da organização.

Como os grupos de endereços funcionam com as políticas de segurança

Os grupos de endereços simplificam a configuração e a manutenção de políticas de segurança, porque é possível compartilhar cada lista de endereços IP em várias políticas de segurança. Considere as seguintes especificações adicionais ao usar grupos de endereços com políticas de segurança:

Os grupos de endereços estão disponíveis apenas para políticas de segurança de back-end com escopo global.
Os grupos de endereços no escopo da organização estão disponíveis para políticas de segurança no nível do serviço e hierárquicas.
A capacidade de um grupo de endereços é adicionada à contagem total de atributos da política de segurança em que o grupo de endereços é usado. Defina a capacidade com um valor apropriado com base no seu caso de uso.
Para usar grupos de endereços, seu projeto precisa estar inscrito no Cloud Armor Enterprise. Se você fizer downgrade para o faturamento padrão, não será possível criar nem modificar grupos de endereços. Também não é possível criar regras que façam referência a um grupo de endereços existente, e suas políticas de segurança que fazem referência a grupos de endereços são congeladas. Isso significa que eles ainda estão ativos, mas não podem ser modificados até que você exclua todas as regras que fazem referência a um grupo de endereços.

Recomendamos que você consulte as cotas e os limites para grupos de endereços.

Além de configurar grupos de endereços no escopo da organização para suas políticas de segurança de back-end, é possível configurar grupos de endereços no escopo da organização para suas políticas de segurança hierárquicas. Não é possível usar grupos de endereços no escopo do projeto em políticas de segurança fora do projeto em que eles existem, mas é possível compartilhar grupos de endereços no escopo da organização com políticas de segurança em toda a organização. Isso torna os grupos de endereços no escopo da organização com políticas de segurança especialmente úteis quando usados com políticas de segurança hierárquicas. Para mais informações sobre políticas de segurança hierárquicas, consulte a Visão geral das políticas de segurança hierárquicas.

Exemplos

Os exemplos a seguir mostram como usar grupos de endereços para configurar políticas de segurança:

Imagine que você tenha uma configuração de rede com três serviços de back-end, cada um com uma política de segurança. Além disso, você tem uma lista de endereços IP que sabe serem maliciosos. Ao criar uma regra deny em cada política de segurança, é possível criar um grupo de endereços e usá-lo com todas as três políticas de segurança em vez de adicionar a lista de endereços IP a cada política de segurança. Assim, sempre que você criar uma política de segurança, poderá usar o grupo de endereços novamente para criar novas regras.
Imagine que você tem uma organização com muitos projetos agrupados em pastas e três listas de endereços IP que precisam de acesso apenas a algumas dessas pastas. É possível criar três grupos de endereços no escopo da organização, um para cada lista de endereços IP, e depois criar três políticas de segurança hierárquicas. É possível atribuir a cada política de segurança hierárquica uma regra allow que corresponda a um dos três grupos de endereços e associar a política de segurança hierárquica a cada pasta que o grupo de endereços IP permitidos precisa acessar.

A seguir

Configure grupos de endereços.