Configurer des groupes d'adresses

Les groupes d'adresses vous permettent de combiner plusieurs adresses IP et plages d'adresses IP dans une seule unité logique nommée, que vous pouvez utiliser sur plusieurs produits. Ce vous explique comment utiliser des groupes d'adresses avec la sécurité Google Cloud Armor règles. Vous devez disposer d'un abonnement Google Cloud Armor Enterprise actif pour utiliser les groupes d'adresses.

Rôles IAM

Pour créer et gérer un groupe d'adresses, vous devez disposer du rôle Administrateur réseau (compute.networkAdmin) ou du rôle Administrateur de sécurité (compute.securityAdmin). Vous pouvez également définir un rôle personnalisé avec un ensemble d'autorisations équivalent.

Le tableau suivant fournit la liste des autorisations IAM (Identity and Access Management) requises pour effectuer un ensemble de tâches sur des groupes d'adresses.

Tâche Nom de rôle IAM Autorisations IAM
Créer et gérer des groupes d'adresses compute.networkAdmin

compute.securityAdmin

networksecurity.addressGroups.*
Découvrir et afficher des groupes d'adresses compute.networkUser networksecurity.addressGroups.list

networksecurity.addressGroups.get

networksecurity.addressGroups.use

Pour en savoir plus sur les rôles qui incluent des rôles IAM spécifiques autorisations, consultez les Documentation de référence sur les autorisations IAM

Créer ou modifier des groupes d'adresses

Les sections suivantes expliquent comment créer des groupes d'adresses, ajouter et supprimer des adresses des groupes d'adresses et comment supprimer des groupes d'adresses.

Créer un groupe d'adresses

Lorsque vous créez un groupe d'adresses, vous devez spécifier sa capacité et son adresse IP à l'aide des options --capacity et --type, respectivement. Vous ne pouvez pas modifier ces valeurs après avoir créé le groupe d'adresses.

En outre, la capacité maximale de Google Cloud Armor peut être supérieure à la capacité maximale d'autres produits, comme Cloud Next Generation Firewall. Par conséquent, si vous souhaitez utiliser le même groupe d'adresses pour plusieurs produits, vous devez définir la capacité de sorte qu'elle soit inférieure ou égale à la capacité maximale la plus basse parmi ces produits.

Console

  1. Dans la console Google Cloud, accédez à la page Groupes d'adresses.

    Accéder à la page "Groupes d'adresses"

  2. Dans le menu de sélection du projet, sélectionnez votre projet, le cas échéant.

  3. Cliquez sur Créer un groupe d'adresses.

  4. Dans le champ Nom, saisissez un nom.

  5. (Facultatif) Dans le champ Description, ajoutez une description.

  6. Pour Champ d'application, sélectionnez Mondial.

  7. Dans le champ Type, sélectionnez IPv4 ou IPv6.

  8. Dans le champ Objectif, sélectionnez Cloud Armor. Sinon, choisissez Firewall et Cloud Armor si vous prévoyez également d'utiliser le groupe d'adresses. avec les stratégies de pare-feu Cloud nouvelle génération.

    Pour en savoir plus sur le choix d’une finalité, consultez spécification de groupe d'adresses.

  9. Dans le champ Capacity (Capacité), saisissez la capacité du groupe d'adresses.

  10. Dans le champ Adresses IP, répertoriez les adresses IP ou les plages d'adresses IP qui que vous souhaitez inclure dans le groupe d'adresses en les séparant par une virgule. Exemple : 1.1.1.0/24,1.2.0.0.

  11. Cliquez sur Créer.

gcloud

Utilisez l'exemple suivant Commande gcloud beta network-security address-groups create pour créer un groupe d'adresses nommé GROUP_NAME, de 1 000 adresses IPv4, qui peut être utilisée avec Google Cloud Armor ou Cloud NGFW:

gcloud beta network-security address-groups create GROUP_NAME \
  --location global \
  --description  "address group description" \
  --capacity 1000 \
  --type IPv4 \
  --purpose DEFAULT,CLOUD_ARMOR

Vous pouvez également créer un groupe d'adresses de plus grande capacité en définissant l'objectif exclusivement à CLOUD_ARMOR. Dans l'exemple suivant, vous créez Un groupe d'adresses d'une capacité de 10 000 plages d'adresses IP IPv6:

gcloud beta network-security address-groups create GROUP_NAME \
  --location global \
  --description  "address group description" \
  --capacity 10000 \
  --type IPv6 \
  --purpose CLOUD_ARMOR

Ajouter des éléments à un groupe d'adresses

Après avoir créé un groupe d'adresses, vous pouvez ajouter des éléments à l'aide de la console Google Cloud ou Commande gcloud beta network-security address-groups add-items

Console

  1. Dans la console Google Cloud, accédez à la page Groupes d'adresses.

    Accéder à la page "Groupes d'adresses"

  2. Dans le menu de sélection du projet, sélectionnez votre projet, le cas échéant.

  3. Pour modifier un groupe d'adresses, cliquez sur son nom.

  4. Cliquez sur Modifier.

  5. Dans le champ Adresses IP, ajoutez les nouveaux éléments au fichier liste d'adresses IP. Vous pouvez également cliquer sur Importer des adresses pour importez un fichier CSV contenant une liste d'adresses IP.

  6. Cliquez sur Enregistrer.

gcloud

Dans l'exemple suivant, vous ajoutez les adresses IP 192.168.1.2, 192.168.1.8 et 192.168.1.9 au groupe d'adresses GROUP_NAME. Vous fournissez une liste d'éléments séparés par une virgule avec l'option --item:

gcloud beta network-security address-groups add-items GROUP_NAME \
  --location global \
  --items 192.168.1.2,192.168.1.8,192.168.1.9

Supprimer des éléments d'un groupe d'adresses

Vous pouvez supprimer des éléments d'un groupe d'adresses à l'aide de la console Google Cloud ou Commande gcloud beta network-security address-groups remove-items

Console

  1. Dans la console Google Cloud, accédez à la page Groupes d'adresses.

    Accéder à la page "Groupes d'adresses"

  2. Dans le menu de sélection du projet, sélectionnez votre projet, le cas échéant.

  3. Pour modifier un groupe d'adresses, cliquez sur son nom.

  4. Cliquez sur Modifier.

  5. Dans le champ Adresses IP, supprimez les éléments à supprimer. à partir de la liste d'adresses IP séparées par une virgule.

  6. Cliquez sur Enregistrer.

gcloud

La commande suivante supprime les adresses IP 192.168.1.2, 192.168.1.8, et 192.168.1.9 que vous avez ajoutés dans la commande précédente:

gcloud beta network-security address-groups remove-items GROUP_NAME \
  --location global \
  --items 192.168.1.2,192.168.1.8,192.168.1.9

Supprimer un groupe d'adresses

Vous ne pouvez pas supprimer un groupe d'adresses référencé par une ressource, y compris un groupe stratégie de pare-feu ou de sécurité. Pour supprimer une adresse, procédez comme suit : groupe:

Console

  1. Dans la console Google Cloud, accédez à la page Groupes d'adresses.

    Accéder à la page "Groupes d'adresses"

  2. Dans le menu de sélection du projet, sélectionnez votre projet, le cas échéant.

  3. Cochez la case à côté du groupe d'adresses que vous souhaitez supprimer. Assurez-vous que le groupe d'adresses sélectionné n'est référencé par aucune une stratégie de pare-feu ou de sécurité.

  4. Cliquez sur Supprimer, puis à nouveau sur Supprimer pour confirmer l'opération.

gcloud

L'exemple suivant utilise la classe Commande gcloud beta network-security address-groups delete pour supprimer un groupe d'adresses appelé GROUP_NAME.

gcloud beta network-security address-groups delete GROUP_NAME \
  --location global

Utiliser des groupes d'adresses avec des règles de sécurité

Après avoir créé un groupe d'adresses et y avoir ajouté des adresses IP, vous pouvez : utilisez-le avec n'importe quelle stratégie de sécurité de backend Google Cloud Armor existante. La Les exemples suivants illustrent deux façons différentes d'utiliser les groupes d'adresses.

Refuser un groupe d'adresses IP

Pour cet exemple, imaginez que vous avez un groupe d'adresses IP appelé BAD_IPS avec 10 000 adresses IP dont vous savez qu'elles sont malveillantes. Toi peuvent refuser toutes ces adresses IP en utilisant une seule stratégie de sécurité deny avec la condition de correspondance suivante:

evaluateAddressGroup('BAD_IPS', origin.ip)

Réutiliser un groupe de plages d'adresses IP dans plusieurs règles de sécurité

Pour cet exemple, imaginez que vous avez la même liste de 10 000 adresses IP que dans l'exemple précédent, mais que certaines des adresses IP les robots d'exploration. Vous voulez bloquer toutes ces adresses IP mais permettent aux robots d'exploration d'accéder à d'autres services de backend l'optimisation du référencement (SEO). Procédez comme suit pour refuser tous les adresse l'accès à BACKEND_SERVICE_1, tout en autorisant l'adresse IP plages 66.249.77.32/27 et 66.249.77.64/27 pour accéder BACKEND_SERVICE_2:

  1. Créez une stratégie de sécurité du backend appelée POLICY_1, puis associez-la. à BACKEND_SERVICE_1.

  2. Dans POLICY_1, créez une règle deny avec la correspondance suivante : condition:

    evaluateAddressGroup('BAD_IPS', origin.ip)

  3. Créez une deuxième stratégie de sécurité de backend appelée POLICY_2. associez-le à BACKEND_SERVICE_2.

  4. Dans POLICY_2, créez une règle deny avec la correspondance suivante : , qui exclut 66.249.77.32/27 et 66.249.77.64/27:

    evaluateAddressGroup('BAD_IPS', origin.ip, [66.249.77.32/27, 66.249.77.64/27])

Utiliser un groupe d'adresses à mettre en correspondance avec les adresses IP des utilisateurs

Pour cet exemple, imaginez que vous avez un groupe d'adresses IP appelé BAD_IPS avec 10 000 adresses IP dont vous savez qu'elles sont malveillantes. Dans En outre, vous utilisez un proxy en amont, qui inclut des informations sur clients d'origine dans l'en-tête. Vous pouvez refuser toutes ces adresses IP en utilisant une seule règle de stratégie de sécurité deny avec la correspondance suivante condition:

evaluateAddressGroup('BAD_IPS', origin.user_ip)

Pour en savoir plus sur les adresses IP des utilisateurs, consultez Attributs de langue des règles.

Étape suivante