Configura i gruppi di indirizzi

I gruppi di indirizzi consentono di combinare più indirizzi IP e intervalli di indirizzi IP in una singola unità logica denominata, che puoi utilizzare in più prodotti. Questo documento che mostra come utilizzare i gruppi di indirizzi con la sicurezza di Google Cloud Armor criteri. È necessario un abbonamento a Google Cloud Armor Enterprise attivo per l'utilizzo gruppi di indirizzi.

Ruoli IAM

Per creare e gestire un gruppo di indirizzi, è necessario Ruolo di amministratore di rete (compute.networkAdmin) o il ruolo Amministratore sicurezza (compute.securityAdmin). Puoi inoltre definire un ruolo personalizzato con un insieme equivalente di autorizzazioni.

La tabella seguente fornisce un elenco delle autorizzazioni IAM (Identity and Access Management) necessari per eseguire una serie di attività sui gruppi di indirizzi.

Attività Nome ruolo IAM Autorizzazioni IAM
Creare e gestire i gruppi di indirizzi compute.networkAdmin

compute.securityAdmin

networksecurity.addressGroups.*
Scopri e visualizza i gruppi di indirizzi compute.networkUser networksecurity.addressGroups.list

networksecurity.addressGroups.get

networksecurity.addressGroups.use

Per ulteriori informazioni su quali ruoli includono IAM specifici autorizzazioni, consulta le Riferimento alle autorizzazioni IAM.

Creare o modificare i gruppi di indirizzi

Le seguenti sezioni spiegano come creare gruppi di indirizzi, come come aggiungere e rimuovere indirizzi dai gruppi di indirizzi e come eliminarli.

Crea un gruppo di indirizzi

Quando crei un gruppo di indirizzi, devi specificarne capacità e indirizzo IP utilizzando rispettivamente i flag --capacity e --type. Non puoi e modificare questi valori dopo aver creato il gruppo di indirizzi.

Inoltre, la capacità massima di Google Cloud Armor potrebbe essere superiore a e la capacità massima per altri prodotti, come Cloud Next Generation Firewall. Pertanto, se Per utilizzare lo stesso gruppo di indirizzi per più prodotti, devi Impostare la capacità in modo che sia inferiore o uguale alla capacità massima più bassa tra per questi prodotti.

Console

  1. Nella console Google Cloud, vai alla pagina Gruppi di indirizzi.

    Vai a Gruppi di indirizzi

  2. Nel menu del selettore dei progetti, seleziona il tuo progetto, se disponibile.

  3. Fai clic su Crea gruppo di indirizzi.

  4. Inserisci un nome nel campo Nome.

  5. (Facoltativo) Nel campo Descrizione, aggiungi una descrizione.

  6. In Ambito, scegli Globale.

  7. In Tipo, scegli IPv4 o IPv6.

  8. Per Scopo, scegli Cloud Armor. in alternativa, scegli Firewall e Cloud Armor se prevedi di utilizzare anche il gruppo di indirizzi con i criteri firewall di nuova generazione.

    Per ulteriori informazioni sulla scelta di uno scopo, consulta specifica del gruppo di indirizzi.

  9. Nel campo Capacità, inserisci la capacità del gruppo di indirizzi.

  10. Nel campo Indirizzi IP, elenca gli indirizzi IP o gli intervalli IP che da includere nel gruppo di indirizzi separati da virgole. Ad esempio: 1.1.1.0/24,1.2.0.0.

  11. Fai clic su Crea.

gcloud

Utilizza il seguente esempio Comando gcloud beta network-security address-groups create per creare un gruppo di indirizzi denominato GROUP_NAME con un di 1.000 IPv4 indirizzi, che possono essere utilizzati sia con Google Cloud Armor o Cloud NGFW:

gcloud beta network-security address-groups create GROUP_NAME \
  --location global \
  --description  "address group description" \
  --capacity 1000 \
  --type IPv4 \
  --purpose DEFAULT,CLOUD_ARMOR

In alternativa, puoi creare un gruppo di indirizzi con una capacità maggiore impostando per lo scopo esclusivamente a CLOUD_ARMOR. Nell'esempio seguente, crei un gruppo di indirizzi con una capacità di 10.000 intervalli di indirizzi IP IPv6:

gcloud beta network-security address-groups create GROUP_NAME \
  --location global \
  --description  "address group description" \
  --capacity 10000 \
  --type IPv6 \
  --purpose CLOUD_ARMOR

Aggiungere articoli a un gruppo di indirizzi

Dopo aver creato un gruppo di indirizzi, puoi aggiungere elementi utilizzando la console Google Cloud o il Comando gcloud beta network-security address-groups add-items.

Console

  1. Nella console Google Cloud, vai alla pagina Gruppi di indirizzi.

    Vai a Gruppi di indirizzi

  2. Nel menu del selettore dei progetti, seleziona il tuo progetto, se disponibile.

  3. Per modificare un gruppo di indirizzi, fai clic sul suo nome.

  4. Fai clic su Modifica.

  5. Nel campo Indirizzi IP, aggiungi i nuovi elementi separandoli con di indirizzi IP. In alternativa, puoi fare clic su Importa indirizzi per Caricare un file CSV con un elenco di indirizzi IP.

  6. Fai clic su Salva.

gcloud

Nell'esempio seguente, aggiungi gli indirizzi IP 192.168.1.2, 192.168.1.8 e 192.168.1.9 al gruppo di indirizzi GROUP_NAME. Fornisci un elenco di elementi separati da virgole con il flag --item:

gcloud beta network-security address-groups add-items GROUP_NAME \
  --location global \
  --items 192.168.1.2,192.168.1.8,192.168.1.9

Rimuovere elementi da un gruppo di indirizzi

Puoi rimuovere elementi da un gruppo di indirizzi utilizzando la console Google Cloud o il Comando gcloud beta network-security address-groups remove-items.

Console

  1. Nella console Google Cloud, vai alla pagina Gruppi di indirizzi.

    Vai a Gruppi di indirizzi

  2. Nel menu del selettore dei progetti, seleziona il tuo progetto, se disponibile.

  3. Per modificare un gruppo di indirizzi, fai clic sul suo nome.

  4. Fai clic su Modifica.

  5. Nel campo Indirizzi IP, elimina gli elementi che vuoi rimuovere dall'elenco di indirizzi IP separati da virgole.

  6. Fai clic su Salva.

gcloud

Il comando seguente rimuove gli indirizzi IP 192.168.1.2, 192.168.1.8, e 192.168.1.9 che hai aggiunto nel comando precedente:

gcloud beta network-security address-groups remove-items GROUP_NAME \
  --location global \
  --items 192.168.1.2,192.168.1.8,192.168.1.9

Eliminare un gruppo di indirizzi

Non puoi eliminare un gruppo di indirizzi se una risorsa vi fa riferimento, incluso un il criterio firewall o il criterio di sicurezza. Per eliminare un indirizzo: gruppo:

Console

  1. Nella console Google Cloud, vai alla pagina Gruppi di indirizzi.

    Vai a Gruppi di indirizzi

  2. Nel menu del selettore dei progetti, seleziona il tuo progetto, se disponibile.

  3. Seleziona la casella di controllo accanto al gruppo di indirizzi da eliminare. Assicurati che al gruppo di indirizzi selezionato non venga fatto riferimento ad alcun gruppo un firewall o un criterio di sicurezza.

  4. Fai clic su Elimina, quindi fai di nuovo clic su Elimina per confermare.

gcloud

L'esempio seguente utilizza il metodo Comando gcloud beta network-security address-groups delete per eliminare un gruppo di indirizzi chiamato GROUP_NAME.

gcloud beta network-security address-groups delete GROUP_NAME \
  --location global

Utilizza i gruppi di indirizzi con criteri di sicurezza

Dopo aver creato un gruppo di indirizzi e avervi aggiunto indirizzi IP, puoi usalo con qualsiasi criterio di sicurezza del backend Google Cloud Armor esistente. La i seguenti esempi mostrano due diversi modi di utilizzare i gruppi di indirizzi.

Negare un gruppo di indirizzi IP

Per questo esempio, immagina di avere un gruppo di indirizzi IP chiamato BAD_IPS con 10.000 indirizzi IP che sai essere dannosi. Tu può rifiutare tutti questi indirizzi IP utilizzando un unico criterio di sicurezza deny regola con la seguente condizione di corrispondenza:

evaluateAddressGroup('BAD_IPS', origin.ip)

Riutilizza un gruppo di intervalli di indirizzi IP in più criteri di sicurezza

Per questo esempio, immagina di avere lo stesso elenco di 10.000 indirizzi IP dell'esempio precedente, ma che alcuni indirizzi IP sono noti per essere web crawler. Vuoi bloccare tutti questi indirizzi IP da alcuni backend ma consentono ai web crawler di accedere ad altri servizi di backend per migliorare ottimizzazione per i motori di ricerca (SEO). Segui questi passaggi per negare tutte le richieste indirizzi IP accedono a BACKEND_SERVICE_1, consentendo l'accesso all'indirizzo IP intervalli 66.249.77.32/27 e 66.249.77.64/27 per accedere BACKEND_SERVICE_2:

  1. Crea un criterio di sicurezza del backend denominato POLICY_1 e collegalo a BACKEND_SERVICE_1.

  2. In POLICY_1, crea una regola deny con la seguente corrispondenza condizione:

    evaluateAddressGroup('BAD_IPS', origin.ip)

  3. Creare un secondo criterio di sicurezza del backend denominato POLICY_2. allegalo a BACKEND_SERVICE_2.

  4. In POLICY_2, crea una regola deny con la seguente corrispondenza , che esclude 66.249.77.32/27 e 66.249.77.64/27:

    evaluateAddressGroup('BAD_IPS', origin.ip, [66.249.77.32/27, 66.249.77.64/27])

Utilizza un gruppo di indirizzi per la corrispondenza con gli indirizzi IP degli utenti

Per questo esempio, immagina di avere un gruppo di indirizzi IP chiamato BAD_IPS con 10.000 indirizzi IP che sai essere dannosi. Nella Inoltre, si utilizza un proxy upstream che include informazioni sul i clienti che hanno origine nell'intestazione. Puoi negare tutti questi indirizzi IP utilizzando una singola regola del criterio di sicurezza deny con la seguente corrispondenza condizione:

evaluateAddressGroup('BAD_IPS', origin.user_ip)

Per ulteriori informazioni sugli indirizzi IP degli utenti, vedi attributi della lingua delle regole.

Passaggi successivi