Listas de direcciones IP con nombre de Google Cloud Armor

Las listas de direcciones IP con nombre de Google Cloud Armor te permiten hacer referencia a las listas de direcciones IP y los rangos de IP que mantienen los proveedores externos Puedes configurar listas de direcciones IP con nombre en una política de seguridad. No es necesario que especifiques de forma manual cada dirección IP o rango de IP por separado.

En este documento, los términos direcciones IP y listas de direcciones IP incluyen los rangos de direcciones IP.

Las listas de direcciones IP con nombre son listas de direcciones IP que se agruparon con nombres diferentes. Por lo general, el nombre hace referencia al proveedor. Las listas de direcciones IP con nombre no están sujetas al límite de cuota para la cantidad de direcciones IP por regla.

Las listas de direcciones IP con nombre no son políticas de seguridad. Para incorporarlas a una política de seguridad, debes hacer referencia a ellas como expresiones, de la misma manera en que haces referencia a una regla preconfigurada.

Por ejemplo, si un proveedor externo tiene una lista de direcciones IP de {ip1, ip2, ip3....ip_N_} con el nombre provider-a, puedes crear una regla de seguridad que permita todas las direcciones IP que están en la lista provider-a y excluya las direcciones IP que no están en esa lista:

gcloud beta compute security-policies rules create 1000 \
    --security-policy POLICY_NAME \
    --expression "evaluatePreconfiguredExpr('provider-a')" \
    --action "allow"

No puedes crear tus propias listas personalizadas de direcciones IP con nombre. Esta función solo está disponible con respecto a las listas de direcciones IP con nombre que mantienen los proveedores de terceros que se asocian con Google. Si esas listas de direcciones IP con nombre no satisfacen tus necesidades, puedes crear una política de seguridad en la que las reglas permitan o rechacen el acceso a los recursos según la dirección IP desde la que se originan las solicitudes. Para obtener más información, consulta Configura políticas de seguridad.

Para usar las listas de direcciones IP con nombre, debes suscribirte a Google Cloud Armor Managed Protection Plus y, luego, inscribir proyectos en Managed Protection. Para obtener más información, consulta Disponibilidad de las listas de direcciones IP con nombre.

Permite solo el tráfico proveniente de los proveedores externos permitidos

Un caso de uso típico consiste en crear una lista de admisión que contenga las direcciones IP de un socio externo permitido para garantizar que solo el tráfico proveniente de este socio pueda acceder al balanceador de cargas y a los backends.

Por ejemplo, los proveedores de CDN deben extraer contenido de los servidores de origen en intervalos regulares para distribuirlo en sus propias memorias caché. Una asociación con Google proporciona una conexión directa entre los proveedores de CDN y el perímetro de red de Google. Los usuarios de CDN en Google Cloud pueden usar esta conexión directa durante las extracciones del servidor de origen. En este caso, puede que el usuario de CDN quiera compilar una política de seguridad que solo permita el tráfico proveniente de ese proveedor de CDN en particular.

En este ejemplo, un proveedor de CDN publica su lista de direcciones IP 23.235.32.0/20, 43.249.72.0/22, ⋯,. Un usuario de CDN configura una regla de seguridad que solo permite el tráfico proveniente de estas direcciones IP. Como resultado, se permiten dos puntos de acceso del proveedor de CDN (23.235.32.10 y 43.249.72.10), de modo que se permite el tráfico de estos puntos. El tráfico del punto de acceso 198.51.100.1 no autorizado se bloquea.

Dirección IP con nombre de Google Cloud Armor
Dirección IP con nombre de Google Cloud Armor (haz clic para ampliar)

Simplifica la configuración y la administración mediante reglas preconfiguradas

Los proveedores de CDN suelen usar direcciones IP que son conocidas y que muchos usuarios de CDN necesitan usar. Estas listas cambian con el tiempo, a medida que los proveedores agregan, quitan y actualizan las direcciones IP.

El uso de una lista de direcciones IP con nombre en una regla de una política de seguridad simplifica el proceso de configuración y administración de las direcciones IP, ya que Google Cloud Armor sincroniza la información de los proveedores de CDN a diario de forma automática. De este modo, se elimina el proceso de mantener una lista larga de direcciones IP de forma manual, que es lento y propenso a errores.

El siguiente es un ejemplo de una regla preconfigurada que permite todo el tráfico de un proveedor:

evaluatePreconfiguredExpr('provider-a') => allow traffic

Proveedores de listas de direcciones IP

Los proveedores de listas de direcciones IP de la siguiente tabla son compatibles con Google Cloud Armor. Estos son proveedores de CDN que se asociaron con Google. Sus listas de direcciones IP se publican a través de URL públicas individuales.

Estos socios proporcionan distintas listas de direcciones IPv4 y direcciones IPv6. Google Cloud Armor usa las URL proporcionadas para recuperar listas y, luego, convertirlas en listas de direcciones IP con nombre. Debes usar los nombres en la tabla para hacer referencia a las listas.

Por ejemplo, mediante el siguiente código se crea una regla en la política de seguridad POLICY_NAME con una prioridad de 750, que incorpora la lista de direcciones IP con nombre proveniente de Cloudflare y permite el acceso desde esas direcciones IP:

gcloud beta compute security-policies rules create 750 \
    --security-policy POLICY_NAME \
    --expression "evaluatePreconfiguredExpr('sourceiplist-cloudflare')" \
    --action "allow"
Proveedor URL Nombre de la lista de direcciones IP
Fastly https://api.fastly.com/public-ip-list sourceiplist-fastly
Cloudflare

https://www.cloudflare.com/ips-v4

https://www.cloudflare.com/ips-v6

sourceiplist-cloudflare
Imperva

https://my.imperva.com/api/integration/v1/ips

El acceso a la lista de Imperva requiere una solicitud POST. También puedes usar el siguiente comando:

curl -d "" https://my.imperva.com/api/integration/v1/ips

sourceiplist-imperva

Para enumerar las listas de direcciones IP con nombre preconfiguradas, usa este comando gcloud:

gcloud compute security-policies list-preconfigured-expression-sets \
    --filter="id:sourceiplist"

El resultado es el siguiente:

EXPRESSION_SET
sourceiplist-fastly
sourceiplist-cloudflare
sourceiplist-imperva

Sincroniza listas de direcciones IP

Google Cloud Armor sincroniza las listas de direcciones IP con cada proveedor solo cuando detecta cambios que tienen un formato válido. Google Cloud Armor realiza una validación básica de la sintaxis de las direcciones IP que se incluyen en todas las listas.

Disponibilidad de las listas de direcciones IP con nombre

Google Cloud Armor Managed Protection Plus tiene disponibilidad general. La disponibilidad de las listas de direcciones IP con nombres de terceros es la siguiente:

  1. Si te suscribiste al nivel Plus de la Google Cloud Armor Managed Protection, tienes licencia para usar listas de direcciones IP con nombre en proyectos inscritos. Puedes crear, actualizar y borrar listas de direcciones IP con nombre.
  2. Si tu suscripción a los niveles Plus de Google Cloud Armor Managed Protection vence o si regresas al nivel Estándar, no puedes agregar o modificar reglas con listas de direcciones IP con nombre, pero puedes borrar reglas existentes y actualizar reglas para quitar una lista de IP con nombre.
  3. En los proyectos que ya incluyen reglas con listas de direcciones IP con nombre, pero que no inscribiste en Google Cloud Armor Managed Protection Plus, puedes seguir usando, actualizando y borrando reglas existentes con listas de direcciones IP con nombre. En esos proyectos, puedes crear reglas nuevas que incorporen listas de direcciones IP con nombre.

¿Qué sigue?