Listas de direcciones IP con nombre de Google Cloud Armor

Las listas de direcciones IP con nombre de Google Cloud Armor te permiten hacer referencia a las listas de direcciones IP y los rangos de IP que mantienen los proveedores externos Puedes configurar listas de direcciones IP con nombre en una política de seguridad. No es necesario que especifiques de forma manual cada dirección IP o rango de IP por separado.

Mientras Managed Protection de Google Cloud Armor esté en versión beta o de vista previa, las listas de direcciones IP con nombres de terceros estarán disponibles para todos los usuarios. Sin embargo, cuando Managed Protection de Google Cloud Armor pase a la fase de disponibilidad general, las listas de direcciones IP de terceros con nombre cambiarán de la siguiente manera:

  1. En los proyectos que incluyen listas de direcciones IP con nombre, puedes seguir usando y actualizar las listas de direcciones IP con nombre.
  2. Si no tienes listas de direcciones IP con nombre y no te inscribes en el nivel Plus de Managed Protection de Google Cloud Armor, no podrás usar las listas de direcciones IP con nombre.
  3. Si estás suscrito al nivel Plus de Managed Protection de Google Cloud Armor, estás autorizado para usar listas de direcciones IP con nombre en proyectos inscritos. Puedes crear, actualizar y borrar listas de direcciones IP con nombre.
  4. Si tu suscripción al nivel Plus de Managed Protection de Google Cloud Armor vence o regresas al nivel Estándar, no podrás agregar ni modificar reglas con listas de direcciones IP con nombre, pero puedes borrar las reglas existentes.

En este documento, los términos direcciones IP y listas de direcciones IP incluyen los rangos de direcciones IP.

Las listas de direcciones IP con nombre son listas de direcciones IP que se agruparon con nombres diferentes. Por lo general, el nombre hace referencia al proveedor. Las listas de direcciones IP con nombre no están sujetas al límite de cuota para la cantidad de direcciones IP por regla.

Las listas de direcciones IP con nombre no son políticas de seguridad. Para incorporarlas a una política de seguridad, debes hacer referencia a ellas como expresiones, de la misma manera en que haces referencia a una regla preconfigurada.

Por ejemplo, si un proveedor externo tiene una lista de direcciones IP de {ip1, ip2, ip3....ip_N_} con el nombre provider-a, puedes crear una regla de seguridad que permita todas las direcciones IP que están en la lista provider-a y excluya las direcciones IP que no están en esa lista:

gcloud beta compute security-policies rules create 1000 \
    --security-policy POLICY_NAME \
    --expression "evaluatePreconfiguredExpr('provider-a')" \
    --action "allow"

No puedes crear tus propias listas personalizadas de direcciones IP con nombre. Esta función solo está disponible con respecto a las listas de direcciones IP con nombre que mantienen los proveedores externos asociados con Google. Si esas listas de direcciones IP con nombre no satisfacen tus necesidades, puedes crear una política de seguridad en la que las reglas permitan o impidan el acceso a tus recursos en función de la dirección IP desde la que se originan las solicitudes. Para obtener más información, consulta Configura políticas de seguridad.

Permite solo el tráfico proveniente de los proveedores externos permitidos

Un caso de uso típico consiste en crear una lista de admisión que contenga las direcciones IP de un socio externo permitido para garantizar que solo el tráfico proveniente de este socio pueda acceder al balanceador de cargas y a los backends.

Por ejemplo, los proveedores de CDN deben extraer contenido de los servidores de origen en intervalos regulares para distribuirlo en sus propias memorias caché. Una asociación con Google proporciona una conexión directa entre los proveedores de CDN y el perímetro de red de Google. Los usuarios de CDN en Google Cloud pueden usar esta conexión directa durante las extracciones del servidor de origen. En este caso, puede que el usuario de CDN quiera compilar una política de seguridad que solo permita el tráfico proveniente de ese proveedor de CDN en particular.

En este ejemplo, un proveedor de CDN publica su lista de direcciones IP 23.235.32.0/20, 43.249.72.0/22, ⋯,. Un usuario de CDN configura una regla de seguridad que solo permite el tráfico proveniente de estas direcciones IP. Como resultado, se permiten dos puntos de acceso del proveedor de CDN (23.235.32.10 y 43.249.72.10), de modo que se permite el tráfico de estos puntos. El tráfico del punto de acceso 198.51.100.1 no autorizado se bloquea.

Dirección IP con nombre de Google Cloud Armor
Dirección IP con nombre de Google Cloud Armor (haz clic para ampliar)

Simplifica la configuración y la administración mediante reglas preconfiguradas

Los proveedores de CDN suelen usar direcciones IP que son conocidas y que muchos usuarios de CDN necesitan usar. Estas listas cambian con el tiempo, a medida que los proveedores agregan, quitan y actualizan las direcciones IP.

El uso de una lista de direcciones IP con nombre en una regla de una política de seguridad simplifica el proceso de configuración y administración de las direcciones IP, ya que Google Cloud Armor sincroniza la información de los proveedores de CDN a diario de forma automática. De este modo, se elimina el proceso de mantener una lista larga de direcciones IP de forma manual, que es lento y propenso a errores.

El siguiente es un ejemplo de una regla preconfigurada que permite todo el tráfico de un proveedor:

evaluatePreconfiguredExpr('provider-a') => allow traffic

Proveedores de listas de direcciones IP

Los proveedores de listas de direcciones IP de la siguiente tabla son compatibles con Google Cloud Armor. Estos son proveedores de CDN que se asociaron con Google. Sus listas de direcciones IP se publican a través de URL públicas individuales.

Estos socios proporcionan distintas listas de direcciones IPv4 y direcciones IPv6. Google Cloud Armor usa las URL proporcionadas para recuperar listas y, luego, convertirlas en listas de direcciones IP con nombre. Debes usar los nombres en la tabla para hacer referencia a las listas.

Por ejemplo, mediante el siguiente código se crea una regla en la política de seguridad POLICY_NAME con una prioridad de 750, que incorpora la lista de direcciones IP con nombre proveniente de Cloudflare y permite el acceso desde esas direcciones IP:

gcloud beta compute security-policies rules create 750 \
    --security-policy POLICY_NAME \
    --expression "evaluatePreconfiguredExpr('sourceiplist-cloudflare')" \
    --action "allow"
Proveedor URL Nombre de la lista de direcciones IP
Fastly https://api.fastly.com/public-ip-list sourceiplist-fastly
Cloudflare

https://www.cloudflare.com/ips-v4

https://www.cloudflare.com/ips-v6

sourceiplist-cloudflare
Imperva

https://my.imperva.com/api/integration/v1/ips

El acceso a la lista de Imperva requiere una solicitud POST. También puedes usar el siguiente comando:

curl -d "" https://my.imperva.com/api/integration/v1/ips

sourceiplist-imperva

Para enumerar las listas de direcciones IP con nombre preconfiguradas, usa este comando gcloud:

gcloud compute security-policies list-preconfigured-expression-sets \
    --filter="id:sourceiplist"

El resultado es el siguiente:

EXPRESSION_SET
sourceiplist-fastly
sourceiplist-cloudflare
sourceiplist-imperva

Sincroniza listas de direcciones IP

Google Cloud Armor sincroniza las listas de direcciones IP con cada proveedor solo cuando detecta cambios que tienen un formato válido. Google Cloud Armor realiza una validación básica de la sintaxis de las direcciones IP que se incluyen en todas las listas.

¿Qué sigue?