Mengonfigurasi grup alamat

Grup alamat memungkinkan Anda menggabungkan beberapa alamat IP dan rentang alamat IP ke dalam satu unit logis bernama, yang dapat Anda gunakan di beberapa produk. Dokumen ini menunjukkan cara menggunakan grup alamat dengan kebijakan keamanan Google Cloud Armor. Anda memerlukan langganan Google Cloud Armor Enterprise yang aktif untuk menggunakan grup alamat.

Sebelum memulai

Sebelum mengonfigurasi grup alamat, Anda harus mengaktifkan Network Security API networksecurity.googleapis.com terlebih dahulu.

Peran IAM

Untuk membuat dan mengelola grup alamat, Anda memerlukan peran Admin Jaringan Compute (roles/compute.networkAdmin). Anda juga dapat menentukan peran khusus dengan serangkaian izin yang setara.

Tabel berikut berisi daftar izin Identity and Access Management (IAM) yang diperlukan untuk melakukan serangkaian tugas pada grup alamat.

Tugas Nama peran IAM Izin IAM
Membuat dan mengelola grup alamat

Admin Jaringan Compute (roles/compute.networkAdmin)

 
networksecurity.addressGroups.*
Menemukan dan melihat grup alamat

Compute Network User (roles/compute.networkUser)

 
networksecurity.addressGroups.list
networksecurity.addressGroups.get
networksecurity.addressGroups.use

Untuk mengetahui informasi selengkapnya tentang peran yang mencakup izin IAM tertentu, lihat indeks peran dan izin IAM.

Menggunakan grup alamat cakupan project

Bagian berikut menjelaskan cara menggunakan konsol Google Cloud atau Google Cloud CLI untuk membuat dan mengubah grup alamat cakupan project, serta cara menggunakan grup alamat cakupan project dengan kebijakan keamanan Anda.

Membuat atau mengubah grup alamat yang tercakup dalam project

Bagian berikut menjelaskan cara membuat grup alamat cakupan project, cara menambahkan dan menghapus alamat dari grup alamat cakupan project, dan cara menghapus grup alamat cakupan project.

Membuat grup alamat yang tercakup dalam project

Saat membuat grup alamat, Anda harus menentukan kapasitas dan versi alamat IP-nya menggunakan flag --capacity dan --type. Anda tidak dapat mengubah nilai ini setelah membuat grup alamat.

Selain itu, kapasitas maksimum untuk Cloud Armor mungkin lebih tinggi daripada kapasitas maksimum untuk produk lain, seperti Cloud Next Generation Firewall. Oleh karena itu, jika Anda ingin menggunakan grup alamat yang sama di lebih dari satu produk, Anda harus menetapkan kapasitas agar kurang dari atau sama dengan kapasitas maksimum terendah di antara produk tersebut.

Konsol

  1. Di konsol Google Cloud , buka halaman Address groups.

    Buka Grup alamat

  2. Di menu pemilih project, jika tersedia, pilih project Anda.
  3. Klik Buat Grup Alamat.
  4. Di kolom Name, masukkan nama.
  5. (Opsional): Di kolom Deskripsi, tambahkan deskripsi.
  6. Untuk Cakupan, pilih Global.
  7. Untuk Type, pilih IPv4 atau IPv6.

  8. Untuk Tujuan, pilih Cloud Armor; atau, pilih Firewall dan Cloud Armor jika Anda juga berencana menggunakan grup alamat dengan kebijakan Cloud Next Generation Firewall.

    Untuk mengetahui informasi selengkapnya tentang memilih tujuan, lihat spesifikasi grup alamat.

  9. Di kolom Kapasitas, masukkan kapasitas grup alamat.

  10. Di kolom Alamat IP, cantumkan alamat IP atau rentang IP yang ingin Anda sertakan dalam grup alamat yang dipisahkan dengan koma. Contoh, 1.1.1.0/24,1.2.0.0.

    Jumlah alamat IP atau rentang IP tidak boleh melebihi kapasitas yang dikonfigurasi.

  11. Klik Buat.

gcloud

Contoh berikut menggunakan perintah gcloud network-security address-groups create untuk membuat grup alamat bernama GROUP_NAME dengan kapasitas 1.000 alamat IPv4, yang dapat digunakan dengan Cloud Armor atau Cloud NGFW:

 gcloud network-security address-groups create GROUP_NAME \
     --location global \
     --description  "address group description" \
     --capacity 1000 \
     --type IPv4 \
     --purpose DEFAULT,CLOUD_ARMOR

Atau, Anda dapat membuat grup alamat dengan kapasitas yang lebih besar dengan menetapkan tujuan secara eksklusif ke CLOUD_ARMOR. Pada contoh berikut, Anda membuat grup alamat dengan kapasitas 10.000 rentang alamat IP IPv6:

 gcloud network-security address-groups create GROUP_NAME \
     --location global \
     --description  "address group description" \
     --capacity 10000 \
     --type IPv6 \
     --purpose CLOUD_ARMOR

Menambahkan item ke grup alamat yang tercakup dalam project

Setelah membuat grup alamat, Anda dapat menambahkan item.

Konsol

  1. Di konsol Google Cloud , buka halaman Address groups.

    Buka Grup alamat

  2. Di menu pemilih project, jika tersedia, pilih project Anda.
  3. Untuk mengedit grup alamat, klik nama grup alamat Anda.
  4. Klik Edit.
  5. Di kolom Alamat IP, tambahkan item baru ke daftar alamat IP yang dipisahkan koma. Atau, Anda dapat mengklik Impor alamat untuk mengupload file CSV yang berisi daftar alamat IP.
  6. Klik Simpan.

gcloud

Dalam contoh berikut, Anda menggunakan perintah gcloud network-security address-groups add-items untuk menambahkan alamat IP 192.168.1.2, 192.168.1.8, dan 192.168.1.9 ke grup alamat GROUP_NAME. Anda memberikan daftar item yang dipisahkan koma dengan tanda --item:

 gcloud network-security address-groups add-items GROUP_NAME \
     --location global \
     --items 192.168.1.2,192.168.1.8,192.168.1.9

Menghapus item dari grup alamat cakupan project

Gunakan langkah-langkah berikut untuk menghapus item dari grup alamat:

Konsol

  1. Di konsol Google Cloud , buka halaman Address groups.

    Buka Grup alamat

  2. Di menu pemilih project, jika tersedia, pilih project Anda.
  3. Untuk mengedit grup alamat, klik nama grup alamat Anda.
  4. Klik Edit.
  5. Di kolom Alamat IP, hapus item yang ingin Anda hapus dari daftar alamat IP yang dipisahkan koma.
  6. Klik Simpan.

gcloud

Contoh berikut menggunakan perintah gcloud network-security address-groups remove-items untuk menghapus alamat IP 192.168.1.2, 192.168.1.8, dan 192.168.1.9 yang Anda tambahkan pada perintah sebelumnya:

 gcloud network-security address-groups remove-items GROUP_NAME \
     --location global \
     --items 192.168.1.2,192.168.1.8,192.168.1.9

Meng-clone grup alamat cakupan project

Gunakan langkah-langkah berikut untuk meng-clone item dari grup alamat:

Konsol

  1. Di konsol Google Cloud , buka halaman Address groups.

    Buka Grup alamat

  2. Di menu pemilih project, jika tersedia, pilih project Anda.
  3. Untuk meng-clone grup alamat, klik nama grup alamat Anda.
  4. Klik Clone.
  5. Di kolom Nama, masukkan nama grup alamat yang dikloning yang akan dibuat.
  6. Klik Clone.

gcloud

Dalam contoh berikut, Anda menggunakan perintah gcloud network-security address-groups clone-items untuk meng-clone alamat IP dari grup alamat sumber SOURCE_GROUP_NAME ke dalam grup alamat target GROUP_NAME:

 gcloud network-security address-groups clone-items GROUP_NAME \
     --location global \
     --source SOURCE_GROUP_NAME

Menghapus grup alamat cakupan project

Anda tidak dapat menghapus grup alamat jika grup tersebut direferensikan oleh resource, termasuk kebijakan firewall atau kebijakan keamanan. Gunakan langkah-langkah berikut untuk menghapus grup alamat:

Konsol

  1. Di konsol Google Cloud , buka halaman Address groups.

    Buka Grup alamat

  2. Di menu pemilih project, jika tersedia, pilih project Anda.
  3. Centang kotak di samping grup alamat yang ingin Anda hapus. Pastikan grup alamat yang dipilih tidak dirujuk oleh kebijakan keamanan atau firewall apa pun.
  4. Klik Delete, lalu klik Delete lagi untuk mengonfirmasi.

gcloud

Contoh berikut menggunakan perintah gcloud network-security address-groups delete untuk menghapus grup alamat yang disebut GROUP_NAME.

 gcloud network-security address-groups delete GROUP_NAME \
     --location global

Menggunakan grup alamat cakupan project dengan kebijakan keamanan

Setelah membuat grup alamat dan menambahkan alamat IP ke dalamnya, Anda dapat menggunakannya dengan kebijakan keamanan backend Cloud Armor yang ada. Contoh berikut menunjukkan dua cara berbeda untuk menggunakan grup alamat.

Menolak sekelompok alamat IP

Untuk contoh ini, bayangkan Anda memiliki grup alamat IP bernama MALICIOUS_IPS dengan 10.000 alamat IP yang Anda ketahui bersifat berbahaya. Anda dapat menolak semua alamat IP ini menggunakan satu aturan deny kebijakan keamanan dengan kondisi kecocokan berikut:

evaluateAddressGroup('MALICIOUS_IPS', origin.ip)

Menggunakan kembali grup rentang alamat IP dalam beberapa kebijakan keamanan

Untuk contoh ini, bayangkan Anda memiliki daftar 10.000 alamat IP yang sama seperti pada contoh sebelumnya, tetapi beberapa alamat IP diketahui sebagai crawler web. Anda ingin memblokir semua alamat IP ini dari beberapa layanan backend, tetapi mengizinkan crawler web mengakses layanan backend lainnya untuk meningkatkan pengoptimalan mesin telusur (SEO). Gunakan langkah-langkah berikut untuk menolak akses semua alamat ke BACKEND_SERVICE_1, sekaligus mengizinkan rentang alamat IP 66.249.77.32/27 dan 66.249.77.64/27 mengakses BACKEND_SERVICE_2:

  1. Buat kebijakan keamanan backend bernama POLICY_1, dan lampirkan ke BACKEND_SERVICE_1.

  2. Di POLICY_1, buat aturan deny dengan kondisi kecocokan berikut:

    evaluateAddressGroup('MALICIOUS_IPS', origin.ip)

  3. Buat kebijakan keamanan backend kedua yang disebut POLICY_2, lalu lampirkan ke BACKEND_SERVICE_2.

  4. Di POLICY_2, buat aturan deny dengan kondisi pencocokan berikut, yang mengecualikan 66.249.77.32/27 dan 66.249.77.64/27:

    evaluateAddressGroup('MALICIOUS_IPS', origin.ip, [66.249.77.32/27, 66.249.77.64/27])

Menggunakan grup alamat untuk mencocokkan alamat IP pengguna

Untuk menggunakan grup alamat agar cocok dengan alamat IP klien ("pengguna") asal, Anda harus mengonfigurasi userIpRequestHeaders[] dalam kebijakan keamanan.

Penting untuk diperhatikan bahwa dalam kondisi berikut, Anda menerima alamat IP sumber permintaan, bukan alamat IP klien asal karena nilai origin.user_ip secara default adalah nilai origin.ip:

  • Anda tidak mengonfigurasi opsi userIpRequestHeaders[].
  • Header yang dikonfigurasi tidak ada.
  • Header yang dikonfigurasi berisi nilai alamat IP yang tidak valid.

Untuk contoh ini, bayangkan Anda memiliki grup alamat IP bernama MALICIOUS_IPS dengan 10.000 alamat IP yang Anda ketahui bersifat berbahaya. Selain itu, Anda menggunakan proxy upstream, yang menyertakan informasi tentang klien asal di header. Anda dapat menolak semua alamat IP ini menggunakan satu aturan deny kebijakan keamanan dengan kondisi kecocokan berikut:

evaluateAddressGroup('MALICIOUS_IPS', origin.user_ip)

Untuk mengetahui informasi selengkapnya tentang alamat IP pengguna, lihat Atribut.

Menggunakan grup alamat cakupan organisasi

Bagian berikut menjelaskan cara membuat dan mengubah grup alamat cakupan organisasi menggunakan konsol Google Cloud atau Google Cloud CLI, dan cara menggunakan grup alamat cakupan organisasi dengan kebijakan keamanan Anda.

Membuat atau mengubah grup alamat cakupan organisasi

Anda dapat menggunakan grup alamat cakupan organisasi dengan kebijakan keamanan tingkat layanan dan kebijakan keamanan hierarkis.

Bagian berikut menjelaskan cara membuat grup alamat cakupan organisasi, cara menambahkan dan menghapus alamat dari grup alamat cakupan organisasi, dan cara menghapus grup alamat cakupan organisasi.

Membuat grup alamat cakupan organisasi

Saat membuat grup alamat, Anda harus menentukan kapasitas dan versi alamat IP-nya menggunakan flag --capacity dan --type. Anda tidak dapat mengubah nilai ini setelah membuat grup alamat.

Selain itu, kapasitas maksimum untuk Cloud Armor mungkin lebih tinggi daripada kapasitas maksimum untuk produk lain, seperti Cloud Next Generation Firewall. Oleh karena itu, jika Anda ingin menggunakan grup alamat yang sama di lebih dari satu produk, Anda harus menetapkan kapasitas agar kurang dari atau sama dengan kapasitas maksimum terendah di antara produk tersebut.

Konsol

  1. Di konsol Google Cloud , buka halaman Address groups.

    Buka Grup alamat

  2. Di menu pemilih project, jika tersedia, pilih organisasi Anda.
  3. Klik Buat Grup Alamat.
  4. Di kolom Name, masukkan nama.
  5. Opsional: Di kolom Deskripsi, tambahkan deskripsi.
  6. Untuk Cakupan, pilih Global.
  7. Untuk Type, pilih IPv4 atau IPv6.

  8. Untuk Tujuan, pilih Cloud Armor; atau, pilih Cloud NGFW dan Cloud Armor jika Anda juga berencana menggunakan grup alamat dengan kebijakan Cloud Next Generation Firewall.

    Untuk mengetahui informasi selengkapnya tentang cara memilih tujuan untuk grup alamat, lihat Spesifikasi.

  9. Di kolom Kapasitas, masukkan kapasitas grup alamat.

  10. Di kolom Alamat IP, cantumkan alamat IP atau rentang IP yang ingin Anda sertakan dalam grup alamat yang dipisahkan dengan koma. Contoh, 1.1.1.0/24,1.2.0.0.

    Jumlah alamat IP atau rentang IP tidak boleh melebihi kapasitas yang dikonfigurasi.

  11. Klik Buat.

gcloud

Contoh berikut menggunakan perintah gcloud network-security org-address-groups create untuk membuat grup alamat cakupan organisasi bernama GROUP_NAME dengan kapasitas 1.000 alamat IPv4, yang dapat digunakan dengan Cloud Armor atau Cloud NGFW:

 gcloud beta network-security org-address-groups create GROUP_NAME \
     --location global \
     --description  "org address group description" \
     --capacity 1000 \
     --type IPv4 \
     --purpose DEFAULT,CLOUD_ARMOR

Atau, Anda dapat membuat grup alamat cakupan organisasi dengan kapasitas yang lebih besar dengan menetapkan tujuan secara eksklusif ke CLOUD_ARMOR. Pada contoh berikut, Anda membuat grup alamat dengan kapasitas 10.000 rentang alamat IP IPv6:

 gcloud beta network-security org-address-groups create GROUP_NAME \
     --location global \
     --description  "org address group description" \
     --capacity 10000 \
     --type IPv6 \
     --purpose CLOUD_ARMOR

Menambahkan item ke grup alamat cakupan organisasi

Setelah membuat grup alamat cakupan organisasi, Anda dapat menambahkan item.

Konsol

  1. Di konsol Google Cloud , buka halaman Address groups.

    Buka Grup alamat

  2. Di menu pemilih project, jika tersedia, pilih organisasi Anda.
  3. Untuk mengedit grup alamat, klik nama grup alamat Anda.
  4. Klik Edit.
  5. Di kolom Alamat IP, tambahkan item baru ke daftar alamat IP yang dipisahkan koma. Atau, Anda dapat mengklik Impor alamat untuk mengupload file CSV yang berisi daftar alamat IP.
  6. Klik Simpan.

gcloud

Dalam contoh berikut, Anda menggunakan perintah gcloud network-security org-address-groups add-items untuk menambahkan alamat IP 192.168.1.2, 192.168.1.8, dan 192.168.1.9 ke grup alamat cakupan organisasi GROUP_NAME. Anda memberikan daftar item yang dipisahkan koma dengan tanda --items:

 gcloud network-security org-address-groups add-items GROUP_NAME \
     --location global \
     --items 192.168.1.2,192.168.1.8,192.168.1.9

Menghapus item dari grup alamat cakupan organisasi

Gunakan langkah-langkah berikut untuk menghapus item dari grup alamat cakupan organisasi:

Konsol

  1. Di konsol Google Cloud , buka halaman Address groups.

    Buka Grup alamat

  2. Di menu pemilih project, jika tersedia, pilih organisasi Anda.
  3. Untuk mengedit grup alamat, klik nama grup alamat Anda.
  4. Klik Edit.
  5. Di kolom Alamat IP, hapus item yang ingin Anda hapus dari daftar alamat IP yang dipisahkan koma.
  6. Klik Simpan.

gcloud

Contoh berikut menggunakan perintah gcloud network-security org-address-groups remove-items untuk menghapus alamat IP 192.168.1.2, 192.168.1.8, dan 192.168.1.9 yang Anda tambahkan pada perintah sebelumnya:

 gcloud network-security org-address-groups remove-items GROUP_NAME \
     --location global \
     --items 192.168.1.2,192.168.1.8,192.168.1.9

Meng-clone grup alamat cakupan organisasi

Gunakan langkah-langkah berikut untuk meng-clone item dari grup alamat:

Konsol

  1. Di konsol Google Cloud , buka halaman Address groups.

    Buka Grup alamat

  2. Di menu pemilih project, jika tersedia, pilih organisasi Anda.
  3. Untuk meng-clone grup alamat, klik nama grup alamat Anda.
  4. Klik Clone.
  5. Di kolom Nama, masukkan nama grup alamat yang dikloning yang akan dibuat.
  6. Klik Clone.

gcloud

Dalam contoh berikut, Anda menggunakan perintah gcloud network-security org-address-groups clone-items untuk meng-clone alamat IP dari grup alamat sumber SOURCE_GROUP_NAME ke grup alamat target GROUP_NAME:

 gcloud network-security org-address-groups clone-items GROUP_NAME \
     --location global \
     --source SOURCE_GROUP_NAME

Menghapus grup alamat cakupan organisasi

Anda tidak dapat menghapus grup alamat cakupan organisasi jika direferensikan oleh resource, termasuk kebijakan firewall atau kebijakan keamanan. Gunakan langkah-langkah berikut untuk menghapus grup alamat:

Konsol

  1. Di konsol Google Cloud , buka halaman Address groups.

    Buka Grup alamat

  2. Di menu pemilih project, jika tersedia, pilih organisasi Anda.
  3. Centang kotak di samping grup alamat yang ingin Anda hapus. Pastikan grup alamat yang dipilih tidak dirujuk oleh kebijakan keamanan atau firewall apa pun.
  4. Klik Delete, lalu klik Delete lagi untuk mengonfirmasi.

gcloud

Contoh berikut menggunakan perintah gcloud network-security org-address-groups delete untuk menghapus grup alamat yang disebut GROUP_NAME.

 gcloud network-security org-address-groups delete GROUP_NAME \
     --location global

Menggunakan grup alamat cakupan organisasi dengan kebijakan keamanan

Setelah membuat grup alamat dan menambahkan alamat IP ke dalamnya, Anda dapat menggunakannya dengan kebijakan keamanan backend Cloud Armor yang ada. Contoh berikut menunjukkan dua cara berbeda untuk menggunakan grup alamat.

Menolak sekelompok alamat IP untuk semua layanan backend dalam organisasi

Untuk contoh ini, bayangkan Anda memiliki grup alamat IP cakupan organisasi yang disebut MALICIOUS_IPS dengan 10.000 alamat IP yang Anda ketahui berbahaya. Anda dapat menolak semua alamat IP ini untuk semua layanan backend di organisasi Anda menggunakan satu kebijakan keamanan hierarkis. Buat kebijakan keamanan hierarkis, lalu tambahkan aturan deny dengan kondisi kecocokan berikut:

evaluateOrganizationAddressGroup('MALICIOUS_IPS', origin.ip)

Terakhir, kaitkan kebijakan keamanan hierarkis ke semua layanan backend di organisasi Anda, dengan mengganti POLICY_NAME dengan nama kebijakan keamanan hierarkis Anda dan ORGANIZATION_ID dengan ID organisasi Anda:

  gcloud beta compute org-security-policies associations create \
      --security-policy=POLICY_NAME \
      --organization=ORGANIZATION_ID

Menggunakan kembali grup rentang alamat IP untuk semua layanan backend dalam organisasi

Untuk contoh ini, bayangkan Anda memiliki daftar 10.000 alamat IP yang sama seperti pada contoh sebelumnya, tetapi beberapa alamat IP diketahui sebagai crawler web. Anda ingin memblokir alamat IP crawler non-web agar tidak mengakses semua layanan backend di organisasi Anda, tetapi Anda ingin mengizinkan kebijakan keamanan cakupan project untuk menentukan apakah crawler web dapat mengakses layanan backend Anda untuk meningkatkan pengoptimalan mesin telusur (SEO).

Gunakan langkah-langkah berikut untuk menolak akses semua alamat ke BACKEND_SERVICE_1, sekaligus mengizinkan rentang alamat IP 66.249.77.32/27 dan 66.249.77.64/27 mengakses BACKEND_SERVICE_2:

  1. Buat kebijakan keamanan backend yang disebut BACKEND_POLICY_1.

  2. Tambahkan aturan deny ke BACKEND_POLICY_1 dengan kondisi kecocokan berikut, yang memblokir semua alamat IP di MALICIOUS_IPS:

    evaluateOrganizationAddressGroup('MALICIOUS_IPS', origin.ip)

  3. Gunakan perintah berikut untuk mengaitkan BACKEND_POLICY_1 dengan BACKEND_SERVICE_1:

     gcloud compute backend-services update BACKEND_SERVICE_1 \
     --security-policy BACKEND_POLICY_1

  4. Buat kebijakan keamanan backend kedua yang disebut BACKEND_POLICY_2.

  5. Tambahkan aturan deny ke BACKEND_POLICY_2 dengan kondisi kecocokan berikut, yang memblokir semua alamat IP di MALICIOUS_IPS kecuali 66.249.77.32/27 dan 66.249.77.64/27:

    evaluateOrganizationAddressGroup('MALICIOUS_IPS', origin.ip, [`66.249.77.32/27`, `66.249.77.64/27`])

  6. Gunakan perintah berikut untuk mengaitkan BACKEND_POLICY_2 dengan BACKEND_SERVICE_2. Ganti ORG_ID dengan ID organisasi Anda:

     gcloud compute backend-services update BACKEND_SERVICE_2 \
     --security-policy BACKEND_POLICY_2

Menggunakan grup alamat untuk mencocokkan alamat IP pengguna untuk semua layanan backend dalam organisasi

Untuk contoh ini, bayangkan Anda memiliki grup alamat IP bernama MALICIOUS_IPS dengan 10.000 alamat IP yang Anda ketahui bersifat berbahaya. Selain itu, Anda menggunakan proxy upstream, yang menyertakan informasi tentang alamat IP klien asal di header. Anda dapat menolak semua alamat IP ini mengakses semua layanan backend di organisasi Anda menggunakan satu aturan kebijakan keamanan deny dengan kondisi kecocokan berikut:

evaluateOrganizationAddressGroup('MALICIOUS_IPS', origin.user_ip)

Untuk mengetahui informasi selengkapnya tentang alamat IP pengguna, lihat Atribut.

Langkah berikutnya