Grup alamat memungkinkan Anda menggabungkan beberapa alamat IP dan rentang alamat IP ke dalam satu unit logis bernama, yang dapat Anda gunakan di beberapa produk. Dokumen ini menunjukkan cara menggunakan grup alamat dengan kebijakan keamanan Google Cloud Armor. Anda memerlukan langganan Google Cloud Armor Enterprise yang aktif untuk menggunakan grup alamat.
Sebelum memulai
Sebelum mengonfigurasi grup alamat, Anda harus mengaktifkan Network Security
API networksecurity.googleapis.com
terlebih dahulu.
Peran IAM
Untuk membuat dan mengelola grup alamat, Anda memerlukan peran Admin Jaringan Compute (roles/compute.networkAdmin
). Anda juga dapat menentukan peran khusus dengan serangkaian izin yang setara.
Tabel berikut berisi daftar izin Identity and Access Management (IAM) yang diperlukan untuk melakukan serangkaian tugas pada grup alamat.
Tugas | Nama peran IAM | Izin IAM |
---|---|---|
Membuat dan mengelola |
Admin Jaringan Compute |
networksecurity.addressGroups.* |
Menemukan dan melihat |
Compute Network User |
networksecurity.addressGroups.list networksecurity.addressGroups.get networksecurity.addressGroups.use |
Untuk mengetahui informasi selengkapnya tentang peran yang mencakup izin IAM tertentu, lihat indeks peran dan izin IAM.
Menggunakan grup alamat cakupan project
Bagian berikut menjelaskan cara menggunakan konsol Google Cloud atau Google Cloud CLI untuk membuat dan mengubah grup alamat cakupan project, serta cara menggunakan grup alamat cakupan project dengan kebijakan keamanan Anda.
Membuat atau mengubah grup alamat yang tercakup dalam project
Bagian berikut menjelaskan cara membuat grup alamat cakupan project, cara menambahkan dan menghapus alamat dari grup alamat cakupan project, dan cara menghapus grup alamat cakupan project.
Membuat grup alamat yang tercakup dalam project
Saat membuat grup alamat, Anda harus menentukan kapasitas dan versi alamat IP-nya menggunakan flag --capacity
dan --type
. Anda tidak dapat
mengubah nilai ini setelah membuat grup alamat.
Selain itu, kapasitas maksimum untuk Cloud Armor mungkin lebih tinggi daripada kapasitas maksimum untuk produk lain, seperti Cloud Next Generation Firewall. Oleh karena itu, jika Anda ingin menggunakan grup alamat yang sama di lebih dari satu produk, Anda harus menetapkan kapasitas agar kurang dari atau sama dengan kapasitas maksimum terendah di antara produk tersebut.
Konsol
- Di konsol Google Cloud , buka halaman Address groups.
- Di menu pemilih project, jika tersedia, pilih project Anda.
- Klik Buat Grup Alamat.
- Di kolom Name, masukkan nama.
- (Opsional): Di kolom Deskripsi, tambahkan deskripsi.
- Untuk Cakupan, pilih Global.
- Untuk Type, pilih IPv4 atau IPv6.
Untuk Tujuan, pilih Cloud Armor; atau, pilih Firewall dan Cloud Armor jika Anda juga berencana menggunakan grup alamat dengan kebijakan Cloud Next Generation Firewall.
Untuk mengetahui informasi selengkapnya tentang memilih tujuan, lihat spesifikasi grup alamat.
Di kolom Kapasitas, masukkan kapasitas grup alamat.
Di kolom Alamat IP, cantumkan alamat IP atau rentang IP yang ingin Anda sertakan dalam grup alamat yang dipisahkan dengan koma. Contoh,
1.1.1.0/24,1.2.0.0
.Jumlah alamat IP atau rentang IP tidak boleh melebihi kapasitas yang dikonfigurasi.
Klik Buat.
gcloud
Contoh berikut menggunakan
perintah gcloud network-security address-groups create
untuk membuat grup alamat bernama GROUP_NAME
dengan
kapasitas 1.000 alamat IPv4
, yang dapat digunakan dengan
Cloud Armor atau Cloud NGFW:
gcloud network-security address-groups create GROUP_NAME \ --location global \ --description "address group description" \ --capacity 1000 \ --type IPv4 \ --purpose DEFAULT,CLOUD_ARMOR
Atau, Anda dapat membuat grup alamat dengan kapasitas yang lebih besar dengan
menetapkan tujuan secara eksklusif ke CLOUD_ARMOR
. Pada contoh berikut,
Anda membuat grup alamat dengan kapasitas 10.000 rentang alamat IP IPv6
:
gcloud network-security address-groups create GROUP_NAME \ --location global \ --description "address group description" \ --capacity 10000 \ --type IPv6 \ --purpose CLOUD_ARMOR
Menambahkan item ke grup alamat yang tercakup dalam project
Setelah membuat grup alamat, Anda dapat menambahkan item.
Konsol
- Di konsol Google Cloud , buka halaman Address groups.
- Di menu pemilih project, jika tersedia, pilih project Anda.
- Untuk mengedit grup alamat, klik nama grup alamat Anda.
- Klik Edit.
- Di kolom Alamat IP, tambahkan item baru ke daftar alamat IP yang dipisahkan koma. Atau, Anda dapat mengklik Impor alamat untuk mengupload file CSV yang berisi daftar alamat IP.
- Klik Simpan.
gcloud
Dalam contoh berikut, Anda menggunakan
perintah gcloud network-security address-groups add-items
untuk menambahkan alamat IP 192.168.1.2
,
192.168.1.8
, dan 192.168.1.9
ke grup alamat
GROUP_NAME
. Anda memberikan daftar item yang dipisahkan koma dengan tanda --item
:
gcloud network-security address-groups add-items GROUP_NAME \ --location global \ --items 192.168.1.2,192.168.1.8,192.168.1.9
Menghapus item dari grup alamat cakupan project
Gunakan langkah-langkah berikut untuk menghapus item dari grup alamat:
Konsol
- Di konsol Google Cloud , buka halaman Address groups.
- Di menu pemilih project, jika tersedia, pilih project Anda.
- Untuk mengedit grup alamat, klik nama grup alamat Anda.
- Klik Edit.
- Di kolom Alamat IP, hapus item yang ingin Anda hapus dari daftar alamat IP yang dipisahkan koma.
- Klik Simpan.
gcloud
Contoh berikut menggunakan
perintah gcloud network-security address-groups remove-items
untuk menghapus alamat IP 192.168.1.2
, 192.168.1.8
, dan 192.168.1.9
yang Anda tambahkan pada perintah sebelumnya:
gcloud network-security address-groups remove-items GROUP_NAME \ --location global \ --items 192.168.1.2,192.168.1.8,192.168.1.9
Meng-clone grup alamat cakupan project
Gunakan langkah-langkah berikut untuk meng-clone item dari grup alamat:
Konsol
- Di konsol Google Cloud , buka halaman Address groups.
- Di menu pemilih project, jika tersedia, pilih project Anda.
- Untuk meng-clone grup alamat, klik nama grup alamat Anda.
- Klik Clone.
- Di kolom Nama, masukkan nama grup alamat yang dikloning yang akan dibuat.
- Klik Clone.
gcloud
Dalam contoh berikut, Anda menggunakan perintah
gcloud network-security address-groups clone-items
untuk meng-clone alamat IP dari grup alamat sumber
SOURCE_GROUP_NAME
ke dalam grup alamat target GROUP_NAME
:
gcloud network-security address-groups clone-items GROUP_NAME \ --location global \ --source SOURCE_GROUP_NAME
Menghapus grup alamat cakupan project
Anda tidak dapat menghapus grup alamat jika grup tersebut direferensikan oleh resource, termasuk kebijakan firewall atau kebijakan keamanan. Gunakan langkah-langkah berikut untuk menghapus grup alamat:
Konsol
- Di konsol Google Cloud , buka halaman Address groups.
- Di menu pemilih project, jika tersedia, pilih project Anda.
- Centang kotak di samping grup alamat yang ingin Anda hapus. Pastikan grup alamat yang dipilih tidak dirujuk oleh kebijakan keamanan atau firewall apa pun.
- Klik Delete, lalu klik Delete lagi untuk mengonfirmasi.
gcloud
Contoh berikut menggunakan
perintah gcloud network-security address-groups delete
untuk menghapus grup alamat yang disebut GROUP_NAME
.
gcloud network-security address-groups delete GROUP_NAME \ --location global
Menggunakan grup alamat cakupan project dengan kebijakan keamanan
Setelah membuat grup alamat dan menambahkan alamat IP ke dalamnya, Anda dapat menggunakannya dengan kebijakan keamanan backend Cloud Armor yang ada. Contoh berikut menunjukkan dua cara berbeda untuk menggunakan grup alamat.
Menolak sekelompok alamat IP
Untuk contoh ini, bayangkan Anda memiliki grup alamat IP bernama
MALICIOUS_IPS
dengan 10.000 alamat IP yang Anda ketahui
bersifat berbahaya. Anda dapat menolak semua alamat IP ini menggunakan satu aturan deny
kebijakan
keamanan dengan kondisi kecocokan berikut:
evaluateAddressGroup('MALICIOUS_IPS', origin.ip)
Menggunakan kembali grup rentang alamat IP dalam beberapa kebijakan keamanan
Untuk contoh ini, bayangkan Anda memiliki daftar 10.000 alamat IP yang sama seperti pada contoh sebelumnya, tetapi beberapa alamat IP diketahui sebagai crawler web. Anda ingin memblokir semua alamat IP ini dari beberapa layanan backend, tetapi mengizinkan crawler web mengakses layanan backend lainnya untuk meningkatkan pengoptimalan mesin telusur (SEO). Gunakan langkah-langkah berikut untuk menolak akses semua alamat ke BACKEND_SERVICE_1
, sekaligus mengizinkan rentang alamat IP 66.249.77.32/27
dan 66.249.77.64/27
mengakses BACKEND_SERVICE_2
:
- Buat kebijakan keamanan backend bernama
POLICY_1
, dan lampirkan keBACKEND_SERVICE_1
. Di
POLICY_1
, buat aturandeny
dengan kondisi kecocokan berikut:evaluateAddressGroup('MALICIOUS_IPS', origin.ip)
Buat kebijakan keamanan backend kedua yang disebut
POLICY_2
, lalu lampirkan keBACKEND_SERVICE_2
.Di
POLICY_2
, buat aturandeny
dengan kondisi pencocokan berikut, yang mengecualikan66.249.77.32/27
dan66.249.77.64/27
:evaluateAddressGroup('MALICIOUS_IPS', origin.ip, [66.249.77.32/27, 66.249.77.64/27])
Menggunakan grup alamat untuk mencocokkan alamat IP pengguna
Untuk menggunakan grup alamat agar cocok dengan alamat IP klien ("pengguna") asal, Anda harus mengonfigurasi userIpRequestHeaders[]
dalam kebijakan keamanan.
Penting untuk diperhatikan bahwa dalam kondisi berikut, Anda menerima alamat IP sumber permintaan, bukan alamat IP klien asal karena nilai origin.user_ip
secara default adalah nilai origin.ip
:
- Anda tidak mengonfigurasi opsi
userIpRequestHeaders[]
. - Header yang dikonfigurasi tidak ada.
- Header yang dikonfigurasi berisi nilai alamat IP yang tidak valid.
Untuk contoh ini, bayangkan Anda memiliki grup alamat IP bernama
MALICIOUS_IPS
dengan 10.000 alamat IP yang Anda ketahui
bersifat berbahaya. Selain itu, Anda menggunakan proxy upstream, yang menyertakan
informasi tentang klien asal di header. Anda dapat menolak semua alamat IP ini menggunakan satu aturan deny
kebijakan keamanan dengan kondisi kecocokan berikut:
evaluateAddressGroup('MALICIOUS_IPS', origin.user_ip)
Untuk mengetahui informasi selengkapnya tentang alamat IP pengguna, lihat Atribut.
Menggunakan grup alamat cakupan organisasi
Bagian berikut menjelaskan cara membuat dan mengubah grup alamat cakupan organisasi menggunakan konsol Google Cloud atau Google Cloud CLI, dan cara menggunakan grup alamat cakupan organisasi dengan kebijakan keamanan Anda.
Membuat atau mengubah grup alamat cakupan organisasi
Anda dapat menggunakan grup alamat cakupan organisasi dengan kebijakan keamanan tingkat layanan dan kebijakan keamanan hierarkis.
Bagian berikut menjelaskan cara membuat grup alamat cakupan organisasi, cara menambahkan dan menghapus alamat dari grup alamat cakupan organisasi, dan cara menghapus grup alamat cakupan organisasi.
Membuat grup alamat cakupan organisasi
Saat membuat grup alamat, Anda harus menentukan kapasitas dan versi alamat IP-nya menggunakan flag --capacity
dan --type
. Anda tidak dapat
mengubah nilai ini setelah membuat grup alamat.
Selain itu, kapasitas maksimum untuk Cloud Armor mungkin lebih tinggi daripada kapasitas maksimum untuk produk lain, seperti Cloud Next Generation Firewall. Oleh karena itu, jika Anda ingin menggunakan grup alamat yang sama di lebih dari satu produk, Anda harus menetapkan kapasitas agar kurang dari atau sama dengan kapasitas maksimum terendah di antara produk tersebut.
Konsol
- Di konsol Google Cloud , buka halaman Address groups.
- Di menu pemilih project, jika tersedia, pilih organisasi Anda.
- Klik Buat Grup Alamat.
- Di kolom Name, masukkan nama.
- Opsional: Di kolom Deskripsi, tambahkan deskripsi.
- Untuk Cakupan, pilih Global.
- Untuk Type, pilih IPv4 atau IPv6.
Untuk Tujuan, pilih Cloud Armor; atau, pilih Cloud NGFW dan Cloud Armor jika Anda juga berencana menggunakan grup alamat dengan kebijakan Cloud Next Generation Firewall.
Untuk mengetahui informasi selengkapnya tentang cara memilih tujuan untuk grup alamat, lihat Spesifikasi.
Di kolom Kapasitas, masukkan kapasitas grup alamat.
Di kolom Alamat IP, cantumkan alamat IP atau rentang IP yang ingin Anda sertakan dalam grup alamat yang dipisahkan dengan koma. Contoh,
1.1.1.0/24,1.2.0.0
.Jumlah alamat IP atau rentang IP tidak boleh melebihi kapasitas yang dikonfigurasi.
Klik Buat.
gcloud
Contoh berikut menggunakan
perintah gcloud network-security org-address-groups create
untuk membuat grup alamat cakupan organisasi bernama
GROUP_NAME
dengan kapasitas 1.000 alamat IPv4,
yang dapat digunakan dengan Cloud Armor atau Cloud NGFW:
gcloud beta network-security org-address-groups create GROUP_NAME \ --location global \ --description "org address group description" \ --capacity 1000 \ --type IPv4 \ --purpose DEFAULT,CLOUD_ARMOR
Atau, Anda dapat membuat grup alamat cakupan organisasi dengan kapasitas yang lebih besar dengan menetapkan tujuan secara eksklusif ke CLOUD_ARMOR
. Pada
contoh berikut, Anda membuat grup alamat dengan kapasitas 10.000 rentang alamat IP
IPv6:
gcloud beta network-security org-address-groups create GROUP_NAME \ --location global \ --description "org address group description" \ --capacity 10000 \ --type IPv6 \ --purpose CLOUD_ARMOR
Menambahkan item ke grup alamat cakupan organisasi
Setelah membuat grup alamat cakupan organisasi, Anda dapat menambahkan item.
Konsol
- Di konsol Google Cloud , buka halaman Address groups.
- Di menu pemilih project, jika tersedia, pilih organisasi Anda.
- Untuk mengedit grup alamat, klik nama grup alamat Anda.
- Klik Edit.
- Di kolom Alamat IP, tambahkan item baru ke daftar alamat IP yang dipisahkan koma. Atau, Anda dapat mengklik Impor alamat untuk mengupload file CSV yang berisi daftar alamat IP.
- Klik Simpan.
gcloud
Dalam contoh berikut, Anda menggunakan
perintah gcloud network-security org-address-groups add-items
untuk menambahkan alamat IP 192.168.1.2
,
192.168.1.8
, dan 192.168.1.9
ke grup alamat cakupan organisasi
GROUP_NAME
. Anda memberikan daftar item yang dipisahkan koma dengan tanda --items
:
gcloud network-security org-address-groups add-items GROUP_NAME \ --location global \ --items 192.168.1.2,192.168.1.8,192.168.1.9
Menghapus item dari grup alamat cakupan organisasi
Gunakan langkah-langkah berikut untuk menghapus item dari grup alamat cakupan organisasi:
Konsol
- Di konsol Google Cloud , buka halaman Address groups.
- Di menu pemilih project, jika tersedia, pilih organisasi Anda.
- Untuk mengedit grup alamat, klik nama grup alamat Anda.
- Klik Edit.
- Di kolom Alamat IP, hapus item yang ingin Anda hapus dari daftar alamat IP yang dipisahkan koma.
- Klik Simpan.
gcloud
Contoh berikut menggunakan
perintah gcloud network-security org-address-groups remove-items
untuk menghapus alamat IP 192.168.1.2
, 192.168.1.8
, dan 192.168.1.9
yang Anda tambahkan pada perintah sebelumnya:
gcloud network-security org-address-groups remove-items GROUP_NAME \ --location global \ --items 192.168.1.2,192.168.1.8,192.168.1.9
Meng-clone grup alamat cakupan organisasi
Gunakan langkah-langkah berikut untuk meng-clone item dari grup alamat:
Konsol
- Di konsol Google Cloud , buka halaman Address groups.
- Di menu pemilih project, jika tersedia, pilih organisasi Anda.
- Untuk meng-clone grup alamat, klik nama grup alamat Anda.
- Klik Clone.
- Di kolom Nama, masukkan nama grup alamat yang dikloning yang akan dibuat.
- Klik Clone.
gcloud
Dalam contoh berikut, Anda menggunakan perintah
gcloud network-security org-address-groups clone-items
untuk meng-clone alamat IP dari grup alamat sumber
SOURCE_GROUP_NAME
ke grup alamat target GROUP_NAME
:
gcloud network-security org-address-groups clone-items GROUP_NAME \ --location global \ --source SOURCE_GROUP_NAME
Menghapus grup alamat cakupan organisasi
Anda tidak dapat menghapus grup alamat cakupan organisasi jika direferensikan oleh resource, termasuk kebijakan firewall atau kebijakan keamanan. Gunakan langkah-langkah berikut untuk menghapus grup alamat:
Konsol
- Di konsol Google Cloud , buka halaman Address groups.
- Di menu pemilih project, jika tersedia, pilih organisasi Anda.
- Centang kotak di samping grup alamat yang ingin Anda hapus. Pastikan grup alamat yang dipilih tidak dirujuk oleh kebijakan keamanan atau firewall apa pun.
- Klik Delete, lalu klik Delete lagi untuk mengonfirmasi.
gcloud
Contoh berikut menggunakan
perintah gcloud network-security org-address-groups delete
untuk menghapus grup alamat yang disebut GROUP_NAME
.
gcloud network-security org-address-groups delete GROUP_NAME \ --location global
Menggunakan grup alamat cakupan organisasi dengan kebijakan keamanan
Setelah membuat grup alamat dan menambahkan alamat IP ke dalamnya, Anda dapat menggunakannya dengan kebijakan keamanan backend Cloud Armor yang ada. Contoh berikut menunjukkan dua cara berbeda untuk menggunakan grup alamat.
Menolak sekelompok alamat IP untuk semua layanan backend dalam organisasi
Untuk contoh ini, bayangkan Anda memiliki grup alamat IP cakupan organisasi yang disebut MALICIOUS_IPS
dengan 10.000 alamat IP yang Anda ketahui berbahaya. Anda dapat menolak semua alamat IP ini untuk semua layanan backend di organisasi Anda menggunakan satu kebijakan keamanan hierarkis. Buat kebijakan keamanan hierarkis, lalu tambahkan aturan
deny
dengan kondisi kecocokan berikut:
evaluateOrganizationAddressGroup('MALICIOUS_IPS', origin.ip)
Terakhir, kaitkan kebijakan keamanan hierarkis ke semua layanan backend di organisasi Anda, dengan mengganti POLICY_NAME
dengan nama kebijakan keamanan hierarkis Anda dan ORGANIZATION_ID
dengan ID organisasi Anda:
gcloud beta compute org-security-policies associations create \ --security-policy=POLICY_NAME \ --organization=ORGANIZATION_ID
Menggunakan kembali grup rentang alamat IP untuk semua layanan backend dalam organisasi
Untuk contoh ini, bayangkan Anda memiliki daftar 10.000 alamat IP yang sama seperti pada contoh sebelumnya, tetapi beberapa alamat IP diketahui sebagai crawler web. Anda ingin memblokir alamat IP crawler non-web agar tidak mengakses semua layanan backend di organisasi Anda, tetapi Anda ingin mengizinkan kebijakan keamanan cakupan project untuk menentukan apakah crawler web dapat mengakses layanan backend Anda untuk meningkatkan pengoptimalan mesin telusur (SEO).
Gunakan langkah-langkah berikut untuk menolak akses semua alamat ke
BACKEND_SERVICE_1
, sekaligus mengizinkan rentang alamat IP
66.249.77.32/27
dan 66.249.77.64/27
mengakses
BACKEND_SERVICE_2
:
- Buat kebijakan keamanan backend yang disebut
BACKEND_POLICY_1
. Tambahkan aturan
deny
keBACKEND_POLICY_1
dengan kondisi kecocokan berikut, yang memblokir semua alamat IP diMALICIOUS_IPS
:evaluateOrganizationAddressGroup('MALICIOUS_IPS', origin.ip)
Gunakan perintah berikut untuk mengaitkan
BACKEND_POLICY_1
denganBACKEND_SERVICE_1
:gcloud compute backend-services update BACKEND_SERVICE_1 \ --security-policy BACKEND_POLICY_1
Buat kebijakan keamanan backend kedua yang disebut
BACKEND_POLICY_2
.Tambahkan aturan
deny
keBACKEND_POLICY_2
dengan kondisi kecocokan berikut, yang memblokir semua alamat IP diMALICIOUS_IPS
kecuali66.249.77.32/27
dan66.249.77.64/27
:evaluateOrganizationAddressGroup('MALICIOUS_IPS', origin.ip, [`66.249.77.32/27`, `66.249.77.64/27`])
Gunakan perintah berikut untuk mengaitkan
BACKEND_POLICY_2
denganBACKEND_SERVICE_2
. GantiORG_ID
dengan ID organisasi Anda:gcloud compute backend-services update BACKEND_SERVICE_2 \ --security-policy BACKEND_POLICY_2
Menggunakan grup alamat untuk mencocokkan alamat IP pengguna untuk semua layanan backend dalam organisasi
Untuk contoh ini, bayangkan Anda memiliki grup alamat IP bernama
MALICIOUS_IPS
dengan 10.000 alamat IP yang Anda ketahui
bersifat berbahaya. Selain itu, Anda menggunakan proxy upstream, yang menyertakan informasi tentang alamat IP klien asal di header. Anda dapat menolak semua alamat IP ini mengakses semua layanan backend di organisasi Anda menggunakan satu aturan kebijakan keamanan deny
dengan kondisi kecocokan berikut:
evaluateOrganizationAddressGroup('MALICIOUS_IPS', origin.user_ip)
Untuk mengetahui informasi selengkapnya tentang alamat IP pengguna, lihat Atribut.