Gli elenchi di indirizzi IP denominati Google Cloud Armor ti consentono di fare riferimento a elenchi di indirizzi IP e intervalli di indirizzi IP gestiti da provider di terze parti. Puoi configurare elenchi di indirizzi IP denominati all'interno di un criterio di sicurezza. Non è necessario specificare manualmente ogni indirizzo IP o intervallo di IP.
In questo documento, i termini Indirizzo IP ed Elenco indirizzi IP includono gli intervalli di indirizzi IP.
Gli elenchi di indirizzi IP denominati sono elenchi di indirizzi IP raggruppati in nomi diversi. Il nome si riferisce in genere al provider. Gli elenchi di indirizzi IP denominati non sono soggetti al limite della quota del numero di indirizzi IP per regola.
Gli elenchi di indirizzi IP denominati non sono criteri di sicurezza. Puoi incorporarle in un criterio di sicurezza facendo riferimento alle espressioni nello stesso modo in cui fai riferimento a una regola preconfigurata.
Ad esempio, se un provider di terze parti ha un elenco di indirizzi IP pari a {ip1, ip2,
ip3....ip_N_} con il nome provider-a, puoi creare una regola di sicurezza che consenta tutti gli indirizzi IP presenti nell'elenco provider-a ed esclude gli indirizzi IP non inclusi in questo elenco:
gcloud beta compute security-policies rules create 1000 \
--security-policy POLICY_NAME \
--expression "evaluatePreconfiguredExpr('provider-a')" \
--action "allow"
Non puoi creare elenchi di indirizzi IP personalizzati. Questa funzionalità è disponibile solo per quanto riguarda gli elenchi di indirizzi IP nominati gestiti da provider di terze parti che collaborano con Google. Se tali elenchi di indirizzi IP denominati non soddisfano le tue esigenze, puoi creare un criterio di sicurezza in cui le regole consentano o neghino l'accesso alle tue risorse in base all'indirizzo IP da cui hanno origine le richieste. Per ulteriori informazioni, consulta la pagina Configurare i criteri di sicurezza.
Per utilizzare gli elenchi di indirizzi IP denominati, devi abbonarti a Google Cloud Armor Managed Protection Plus e registrare i progetti in Managed Protection. Per ulteriori informazioni, consulta la pagina Disponibilità di elenchi di indirizzi IP denominati.
Consentire il traffico solo da fornitori di terze parti consentiti
Un caso d'uso tipico è creare una lista consentita contenente gli indirizzi IP di un partner terzo autorizzato per garantire che solo il traffico proveniente da questo partner possa accedere al bilanciatore del carico e ai backend.
Ad esempio, i provider CDN devono eseguire il pull di contenuti da server di origine a intervalli regolari per distribuirli nelle proprie cache. Una partnership con Google fornisce un collegamento diretto tra i provider CDN e la rete perimetrale della rete Google. Gli utenti CDN su Google Cloud possono utilizzare questa connessione diretta durante i pull dell'origine. In questo caso, l'utente CDN potrebbe voler creare un criterio di sicurezza che consenta solo il traffico proveniente dal provider CDN in questione.
In questo esempio, un provider CDN pubblica il proprio elenco di indirizzi IP
23.235.32.0/20, 43.249.72.0/22, ⋯,. Un utente CDN configura una regola di sicurezza che consente solo il traffico proveniente da questi indirizzi IP. Di conseguenza, sono consentiti due
punti di accesso del provider CDN (23.235.32.10 e 43.249.72.10) e
il traffico è quindi consentito. Il traffico dal punto di accesso non autorizzato
198.51.100.1 è bloccato.
Semplificare la configurazione e la gestione utilizzando regole preconfigurate
I provider CDN spesso utilizzano indirizzi IP conosciuti e che molti utenti CDN devono utilizzare. Questi elenchi cambiano nel tempo, man mano che i provider aggiungono, rimuovono e aggiornano gli indirizzi IP.
L'utilizzo di un elenco di indirizzi IP denominato in una regola del criterio di sicurezza semplifica il processo di configurazione e gestione degli indirizzi IP, in quanto Google Cloud Armor sincronizza automaticamente ogni giorno le informazioni dei provider CDN. Questo elimina il processo lungo e soggetto a errori al mantenimento manuale di un ampio elenco di indirizzi IP.
Di seguito è riportato un esempio di regola preconfigurata che consente a tutto il traffico di un provider:
evaluatePreconfiguredExpr('provider-a') => allow traffic
Provider di elenchi di indirizzi IP
I provider di elenchi di indirizzi IP nella seguente tabella sono supportati per Google Cloud Armor. Questi sono fornitori CDN in collaborazione con Google. I rispettivi elenchi di indirizzi IP vengono pubblicati tramite singoli URL pubblici.
Questi partner forniscono elenchi separati di indirizzi IPv4 e indirizzi IPv6. Google Cloud Armor utilizza gli URL forniti per recuperare gli elenchi, quindi converte gli elenchi in elenchi di indirizzi IP denominati. Puoi fare riferimento agli elenchi in base ai nomi nella tabella.
Ad esempio, il codice seguente crea una regola nel criterio di sicurezza POLICY_NAME con priorità 750, incorporando l'elenco di indirizzi IP denominato da Cloudflare e consentendo l'accesso da questi indirizzi IP:
gcloud beta compute security-policies rules create 750 \
--security-policy POLICY_NAME \
--expression "evaluatePreconfiguredExpr('sourceiplist-cloudflare')" \
--action "allow"
| Provider | URL | Nome elenco indirizzi IP |
|---|---|---|
| Fastly | https://api.fastly.com/public-ip-list |
sourceiplist-fastly |
| Cloudflare |
|
sourceiplist-cloudflare |
| Imperva |
L'accesso all'elenco di Imperva richiede una richiesta
|
sourceiplist-imperva |
Per elencare gli elenchi di indirizzi IP denominati preconfigurati , utilizza il comando gcloud:
gcloud compute security-policies list-preconfigured-expression-sets \
--filter="id:sourceiplist"
Questo restituisce:
EXPRESSION_SET sourceiplist-fastly sourceiplist-cloudflare sourceiplist-imperva
Sincronizzazione degli elenchi di indirizzi IP
Google Cloud Armor sincronizza gli elenchi di indirizzi IP con ogni provider solo quando rileva modifiche in un formato valido. Google Cloud Armor esegue la convalida della sintassi di base negli indirizzi IP in tutti gli elenchi.
Disponibilità degli elenchi di indirizzi IP denominati
Google Cloud Armor Managed Protection Plus è in disponibilità generale. La disponibilità di elenchi di indirizzi IP denominati di terze parti è la seguente:
- Se hai sottoscritto un abbonamento al livello Google Cloud Armor Managed Protection Plus, hai la licenza per utilizzare gli elenchi di indirizzi IP denominati nei progetti registrati. Puoi creare, aggiornare ed eliminare regole con gli elenchi di indirizzi IP denominati.
- Se l'abbonamento a Google Cloud Armor Managed Protection Plus scade o se vuoi tornare al livello Standard, non puoi aggiungere o modificare le regole con elenchi di indirizzi IP denominati, ma puoi eliminare le regole esistenti e aggiornare le regole per rimuovere un elenco di nomi denominati.
- Nei progetti che includono già regole con elenchi di indirizzi IP denominati, ma che non hai registrato in Google Cloud Armor Managed Protection Plus, puoi continuare a utilizzare, aggiornare ed eliminare le regole esistenti con gli elenchi di indirizzi IP denominati. In questi progetti, puoi creare nuove regole che incorporano gli elenchi di indirizzi IP denominati.
Passaggi successivi
- Configurare i criteri di sicurezza di Google Cloud Armor
- Visualizza i prezzi per i livelli di protezione gestita
- Risolvere i problemi