Benannte IP-Adresslisten in Google Cloud Armor

Mit benannten IP-Adresslisten in Google Cloud Armor können Sie auf IP-Adresslisten und IP-Bereiche verweisen, die von Drittanbietern verwaltet werden. Sie können benannte IP-Adresslisten innerhalb einer Sicherheitsrichtlinie konfigurieren. Sie müssen nicht jede IP-Adresse oder jeden IP-Bereich einzeln angeben.

In diesem Dokument bezeichnen die Begriffe IP-Adresse und IP-Adressliste auch IP-Adressbereiche.

Benannte IP-Adresslisten sind Listen von IP-Adressen, die unter verschiedenen Namen gruppiert werden. Der Name bezieht sich in der Regel auf den Anbieter. Benannte IP-Adresslisten unterliegen nicht dem Kontingentlimit für die Anzahl von IP-Adressen pro Regel.

Benannte IP-Adresslisten sind keine Sicherheitsrichtlinien. Sie binden sie in eine Sicherheitsrichtlinie ein, indem Sie mithilfe von Ausdrücken darauf verweisen, wie Sie es auch bei einer vorkonfigurierten Regel tun würden.

Wenn beispielsweise ein Drittanbieter die IP-Adresse {ip1, ip2, ip3....ip_N_} unter dem Namen provider-a hat, können Sie eine Sicherheitsregel erstellen, mit der alle IP-Adressen zugelassen werden, die in der provider-a-Liste enthalten sind, und IP-Adressen ausgeschlossen werden, die nicht in dieser Liste enthalten sind:

gcloud beta compute security-policies rules create 1000 \
    --security-policy POLICY_NAME \
    --expression "evaluatePreconfiguredExpr('provider-a')" \
    --action "allow"

Sie können keine eigenen benutzerdefinierten benannten IP-Adresslisten erstellen. Dieses Feature ist nur in Bezug auf benannte IP-Adresslisten verfügbar, die von Drittanbietern verwaltet werden, die eine Partnerschaft mit Google eingegangen sind. Wenn solche benannten IP-Adresslisten nicht Ihren Anforderungen entsprechen, können Sie eine Sicherheitsrichtlinie erstellen, in der anhand von Regeln der Zugriff auf Ihre Ressourcen anhand der IP-Adresse zugelassen oder verweigert wird, von der aus Anfragen erfolgen. Weitere Informationen finden Sie unter Sicherheitsrichtlinien konfigurieren.

Damit Sie benannte IP-Adresslisten verwenden können, müssen Sie Google Cloud Armor Managed Protection abonnieren und Projekte für den verwalteten Schutz registrieren. Weitere Informationen finden Sie unter Verfügbarkeit benannter IP-Adresslisten.

Traffic nur von zulässigen Drittanbietern zulassen

Ein typischer Anwendungsfall ist die Erstellung einer Zulassungsliste mit den IP-Adressen eines zugelassenen Drittanbieters, damit nur Traffic von diesem Partner auf den Load-Balancer und die Back-Ends zugreifen kann.

CDN-Anbieter müssen beispielsweise regelmäßig Inhalte von Ursprungsservern abrufen, um sie an ihre eigenen Caches zu verteilen. Eine Partnerschaft mit Google bietet eine direkte Verbindung zwischen CDN-Anbietern und dem Edge-Netzwerk von Google. CDN-Nutzer in Google Cloud können diese direkte Verbindung bei Ursprungs-Pull-Vorgängen nutzen. In diesem Fall möchte der CDN-Nutzer vielleicht eine Sicherheitsrichtlinie erstellen, die nur Traffic von diesem bestimmten CDN-Anbieter zulässt.

In diesem Beispiel veröffentlicht ein CDN-Anbieter seine IP-Adressliste 23.235.32.0/20, 43.249.72.0/22, ⋯,. Ein CDN-Nutzer konfiguriert eine Sicherheitsregel, die nur Traffic von diesen IP-Adressen zulässt. Daher sind zwei Zugangspunkte für CDN-Anbieter zulässig (23.235.32.10 und 43.249.72.10) und ihr Traffic ist somit auch zulässig. Der Traffic vom nicht autorisierten Zugangspunkt 198.51.100.1 wird blockiert.

Benannte IP-Adresse in Google Cloud Armor.
Benannte IP-Adresse in Google Cloud Armor (zum Vergrößern klicken)

Konfiguration und Verwaltung durch vorkonfigurierte Regeln vereinfachen

CDN-Anbieter verwenden häufig bekannte IP-Adressen, die von vielen CDN-Nutzern verwendet werden müssen. Diese Listen ändern sich im Laufe der Zeit, wenn Anbieter IP-Adressen hinzufügen, entfernen und aktualisieren.

Die Verwendung einer benannten IP-Adressliste in einer Sicherheitsrichtlinie vereinfacht den Vorgang der Konfiguration und Verwaltung der IP-Adresse, da Google Cloud Armor automatisch die Informationen von CDN-Anbietern täglich synchronisiert. Dadurch entfällt die zeitaufwendige und fehleranfällige manuelle Verwaltung einer großen IP-Adressliste.

Das folgende Beispiel zeigt eine vorkonfigurierte Regel, die den gesamten Traffic von einem Anbieter zulässt:

evaluatePreconfiguredExpr('provider-a') => allow traffic

Anbieter von IP-Adresslisten

Die in der folgenden Tabelle aufgeführten Anbieter von IP-Adressenlisten werden bei Google Cloud Armor unterstützt. Dies sind CDN-Provider, die eine Partnerschaft mit Google eingegangen sind. Die IP-Adresslisten werden über einzelne öffentliche URLs veröffentlicht.

Diese Partner stellen separate Listen mit IPv4- und IPv6-Adressen bereit. Google Cloud Armor verwendet die bereitgestellten URLs zum Abrufen von Listen und konvertiert die Listen dann in benannte IP-Adresslisten. Auf die Listen verweisen Sie nach den Namen in der Tabelle.

Im folgenden Beispiel wird in der Sicherheitsrichtlinie POLICY_NAME eine Regel mit der Priorität 750 erstellt, die die benannte IP-Liste von Cloudflare enthält und den Zugriff von diesen IP-Adressen aus zulässt:

gcloud beta compute security-policies rules create 750 \
    --security-policy POLICY_NAME \
    --expression "evaluatePreconfiguredExpr('sourceiplist-cloudflare')" \
    --action "allow"
Anbieter URL(s) Name der IP-Adressliste
Fastly https://api.fastly.com/public-ip-list sourceiplist-fastly
Cloudflare

https://www.cloudflare.com/ips-v4

https://www.cloudflare.com/ips-v6

sourceiplist-cloudflare
Imperva

https://my.imperva.com/api/integration/v1/ips

Der Zugriff auf die Liste von Imperva erfordert eine POST-Anfrage. Sie können auch den folgenden Befehl verwenden:

curl -d "" https://my.imperva.com/api/integration/v1/ips

sourceiplist-imperva

Mit dem folgenden gcloud-Befehl listen Sie die vorkonfigurierten benannten IP-Adresslisten auf:

gcloud compute security-policies list-preconfigured-expression-sets \
    --filter="id:sourceiplist"

Dadurch wird Folgendes zurückgegeben:

EXPRESSION_SET
sourceiplist-fastly
sourceiplist-cloudflare
sourceiplist-imperva

IP-Adresslisten synchronisieren

Google Cloud Armor synchronisiert IP-Adresslisten nur dann mit jedem Anbieter, wenn Änderungen in einem gültigen Format erkannt werden. Google Cloud Armor führt für die IP-Adressen in allen Listen eine grundlegende Syntaxvalidierung durch.

Verfügbarkeit benannter IP-Adresslisten

Google Cloud Armor Managed Protection Plus ist allgemein verfügbar. Die Verfügbarkeit benannter IP-Adresslisten von Drittanbietern sieht so aus:

  1. Wenn Sie die Google Cloud Armor Managed Protection-Plus-Stufe abonniert haben, sind Sie berechtigt, benannte IP-Adresslisten in registrierten Projekten zu verwenden. Sie können benannte IP-Adresslisten erstellen, aktualisieren und löschen.
  2. Wenn Ihr Abo für die Google Cloud Armor Managed Protection Plus-Stufe abläuft oder Sie anderweitig zur Standardstufe zurückkehren, können Sie keine Regeln mit benannten IP-Adresslisten hinzufügen oder ändern. Vorhandene Regeln können Sie jedoch löschen und aktualisieren, um eine benannte IP-Liste zu entfernen.
  3. In Projekten, die bereits Regeln mit benannten IP-Adresslisten enthalten, jedoch nicht für Google Cloud Armor Managed Protection Plus registriert wurden, können Sie vorhandene Regeln mit benannten IP-Adresslisten weiterhin verwenden, aktualisieren und löschen. In solchen Projekten können Sie neue Regeln erstellen, die benannte IP-Adresslisten umfassen.

Nächste Schritte