Listas de direcciones IP con nombre de Google Cloud Armor

Las listas de direcciones IP con nombre de Google Cloud Armor te permiten hacer referencia a las listas y los rangos de direcciones IP que mantienen los proveedores externos. Estas listas son fáciles de configurar dentro de una política de seguridad. No es necesario que especifiques de forma manual cada dirección IP o rango de IP por separado.

En este documento, los términos “direcciones IP” y “listas de direcciones IP” incluyen los rangos de direcciones IP.

Descripción general

Las listas de direcciones IP con nombre son listas de direcciones IP que se agruparon con nombres diferentes. Por lo general, el nombre hace referencia al proveedor. Las listas de direcciones IP con nombre no están sujetas al límite de cuota para la cantidad de direcciones IP por regla.

Las listas de direcciones IP con nombre no son políticas de seguridad. Para incorporarlas a una política de seguridad, debes hacer referencia a ellas como expresiones, de la misma manera en que haces referencia a una regla preconfigurada. Por ejemplo, si un proveedor externo tiene una lista de direcciones IP {ip1, ip2, ip3… ipN} con el nombre provider-a, puedes crear una regla de seguridad que permita todas las direcciones IP que se encuentran en la lista provider-a y excluya las que no están en ella:

gcloud beta compute security-policies rules create 1000 \
    --security-policy my-policy \
    --expression "evaluatePreconfiguredExpr('provider-a')" \
    --action "allow"
        

Permite solo el tráfico proveniente de los proveedores externos permitidos

Un caso de uso típico consiste en crear una lista de admisión que contenga las direcciones IP de un socio externo permitido para garantizar que solo el tráfico proveniente de este socio pueda acceder al balanceador de cargas y a los backends.

Por ejemplo, los proveedores de CDN deben extraer contenido de los servidores de origen en intervalos regulares para distribuirlo en sus propias memorias caché. Una asociación con Google proporciona una conexión directa entre los proveedores de CDN y el perímetro de red de Google. Los usuarios de CDN en Google Cloud pueden usar esta conexión directa durante las extracciones del servidor de origen. En este caso, puede que el usuario de CDN quiera compilar una política de seguridad que solo permita el tráfico proveniente de ese proveedor de CDN en particular.

En este ejemplo, un proveedor de CDN publica su lista de direcciones IP 23.235.32.0/20, 43.249.72.0/22, ⋯,, y un usuario de CDN configura una regla de seguridad que solo permite el tráfico proveniente de estas direcciones IP. Como resultado, se permiten dos puntos de acceso del proveedor de CDN (23.235.32.10 y 43.249.72.10), de modo que se permite el tráfico de estos puntos. El tráfico del punto de acceso 198.51.100.1 no autorizado se bloquea.

Dirección IP con nombre de Google Cloud Armor
Dirección IP con nombre de Google Cloud Armor (haz clic para ampliar)

Simplifica la configuración y la administración mediante reglas preconfiguradas

Los proveedores de CDN suelen usar direcciones IP que son conocidas y que muchos usuarios de CDN necesitan usar. Estas listas cambian con el tiempo, a medida que los proveedores agregan, quitan y actualizan las direcciones IP.

El uso de una lista de direcciones IP con nombre en una regla de una política de seguridad simplifica el proceso de configuración y administración de las direcciones IP, ya que Google Cloud Armor sincroniza la información de los proveedores de CDN a diario de forma automática. De este modo, se elimina el proceso de mantener una lista larga de direcciones IP de forma manual, que es lento y propenso a errores.

A continuación, se muestra un ejemplo de una regla preconfigurada que permite todo el tráfico de un proveedor:

evaluatePreconfiguredExpr('provider-a') => allow traffic

Proveedores de listas de direcciones IP

En Google Cloud Armor, se admiten los proveedores de listas de direcciones IP de la siguiente tabla. Estos son proveedores de CDN que se asociaron con Google. Sus listas de direcciones IP se publican a través de URL públicas individuales.

Estos socios proporcionan distintas listas de direcciones IPv4 y direcciones IPv6. Google Cloud Armor recupera las listas mediante el uso de las URL proporcionadas y las convierte en listas de direcciones IP con nombre. Debes usar los nombres en la tabla para hacer referencia a las listas.

Por ejemplo, mediante el siguiente comando, se crea una regla en la política de seguridad my-policy con una prioridad de 750, que incorpora la lista de direcciones IP con nombre proveniente de Cloudflare y permite el acceso desde esas direcciones IP:

gcloud beta compute security-policies rules create 750 \
    --security-policy my-policy \
    --expression "evaluatePreconfiguredExpr('sourceiplist-cloudflare')" \
    --action "allow"
Proveedor URL Nombre de la lista de direcciones IP
Fastly https://api.fastly.com/public-ip-list sourceiplist-fastly
Cloudflare https://www.cloudflare.com/ips-v4

https://www.cloudflare.com/ips-v6
sourceiplist-cloudflare
Imperva https://my.imperva.com/api/integration/v1/ips
Ten en cuenta que, para acceder a la lista de Imperva, se requiere una solicitud POST. También puedes usar este comando:
curl -d "" https://my.imperva.com/api/integration/v1/ips
sourceiplist-imperva

Sincronización de las listas de direcciones IP

Google Cloud Armor sincroniza las listas de direcciones IP con cada proveedor solo cuando detecta cambios que tienen un formato válido. Google Cloud Armor realiza una validación básica de la sintaxis de las direcciones IP que se incluyen en todas las listas.

Próximos pasos