Listes d'adresses IP nommées Google Cloud Armor

Les listes d'adresses IP nommées Google Cloud Armor vous permettent de référencer des listes d'adresses IP et de plages d'adresses IP gérées par des fournisseurs tiers. Ces listes sont faciles à configurer dans une stratégie de sécurité. Vous n'avez pas besoin de spécifier manuellement chaque adresse IP ou chaque plage d'adresses IP. Les listes d'adresses IP nommées sont disponibles à tous en version bêta. Lorsque les listes d'adresses IP nommées seront accessibles à tous, elles ne seront accessibles que pour les projets inscrits dans le niveau Plus de Google Cloud Armor Managed Protection.

Dans ce document, les termes "adresse IP" et "liste d'adresses IP" incluent les plages d'adresses IP.

Présentation

Les listes d'adresses IP nommées sont des listes d'adresses IP regroupées sous des noms différents. Le nom fait généralement référence au fournisseur. Les listes d'adresses IP nommées ne sont pas soumises à la limite de quota sur le nombre d'adresses IP par règle.

Les listes d'adresses IP nommées ne sont pas des stratégies de sécurité. Pour les incorporer dans une stratégie de sécurité, vous devez les référencer en tant qu'expressions de la même manière que vous référencez une règle préconfigurée. Par exemple, si un fournisseur tiers possède une liste d'adresses IP {ip1, ip2, ip3…ipN} sous le nom provider-a, vous pouvez créer une règle de sécurité qui autorise toutes les adresses IP figurant dans la liste provider-a et exclut celles qui n'y figurent pas :

gcloud beta compute security-policies rules create 1000 \
    --security-policy my-policy \
    --expression "evaluatePreconfiguredExpr('provider-a')" \
    --action "allow"
        

Autoriser uniquement le trafic provenant de fournisseurs tiers autorisés

Un cas d'utilisation courant consiste à créer une liste d'autorisation contenant les adresses IP d'un partenaire tiers autorisé pour s'assurer que seul le trafic provenant de ce partenaire peut accéder à l'équilibreur de charge et aux backends.

Par exemple, les fournisseurs CDN doivent extraire le contenu des serveurs d'origine à intervalles réguliers pour le distribuer dans leurs propres caches. Un partenariat avec Google permet d'établir une connexion directe entre les fournisseurs CDN et le réseau périphérique de Google. Les utilisateurs CDN sur Google Cloud peuvent utiliser cette connexion directe lors de l'extraction de données d'origine. Dans ce cas, l'utilisateur CDN peut souhaiter créer une stratégie de sécurité autorisant uniquement le trafic provenant de ce fournisseur CDN.

Dans cet exemple, un fournisseur CDN publie sa liste d'adresses IP 23.235.32.0/20, 43.249.72.0/22, ⋯, et un utilisateur CDN configure une règle de sécurité autorisant uniquement le trafic provenant de ces adresses IP. Par conséquent, deux points d'accès du fournisseur CDN sont autorisés (23.235.32.10 et 43.249.72.10), et leur trafic est donc autorisé. Le trafic provenant du point d'accès non autorisé 198.51.100.1 est bloqué.

Liste d'adresses IP nommées de Google Cloud Armor
Liste d'adresses IP nommées de Google Cloud Armor (cliquez pour agrandir)

Simplifier la configuration et la gestion à l'aide de règles préconfigurées

Les fournisseurs CDN utilisent souvent des adresses IP qui sont bien connues et que de nombreux utilisateurs CDN doivent utiliser. Ces listes évoluent avec le temps, à mesure que les fournisseurs ajoutent, suppriment et mettent à jour les adresses IP.

L'utilisation d'une liste d'adresses IP nommée dans une règle de sécurité simplifie le processus de configuration et de gestion des adresses IP, car Google Cloud Armor synchronise automatiquement les informations des fournisseurs CDN au quotidien. Le processus fastidieux et source d'erreurs consistant à gérer manuellement une longue liste d'adresses IP est ainsi éliminé.

Voici un exemple de règle préconfigurée qui autorise tout le trafic provenant d'un fournisseur :

evaluatePreconfiguredExpr('provider-a') => allow traffic

Fournisseurs de listes d'adresses IP

Les fournisseurs de listes d'adresses IP indiqués dans le tableau suivant sont compatibles avec Google Cloud Armor. Il s'agit des fournisseurs de CDN qui se sont associés à Google. Leurs listes d'adresses IP sont publiées via des URL publiques individuelles.

Ces partenaires fournissent des listes d'adresses IPv4 et IPv6 distinctes. Google Cloud Armor récupère les listes à l'aide des URL fournies et les convertit en listes d'adresses IP nommées. Les listes sont référencées par leur nom dans le tableau.

Par exemple, la commande suivante crée une règle dans la stratégie de sécurité my-policy avec la priorité 750, en intégrant la liste d'adresses IP nommée de Cloudflare et en autorisant l'accès à partir de ces adresses IP :

gcloud beta compute security-policies rules create 750 \
    --security-policy my-policy \
    --expression "evaluatePreconfiguredExpr('sourceiplist-cloudflare')" \
    --action "allow"
URL(s) fournisseur Nom de la liste d'adresses IP
Fastly https://api.fastly.com/public-ip-list sourceiplist-fastly
Cloudflare https://www.cloudflare.com/ips-v4

https://www.cloudflare.com/ips-v6
sourceiplist-cloudflare
Imperva https://my.imperva.com/api/integration/v1/ips
Notez que l'accès à la liste d'Imperva nécessite une requête POST. Vous pouvez également utiliser la commande suivante :
curl -d "" https://my.imperva.com/api/integration/v1/ips
sourceiplist-imperva

Synchronisation des listes d'adresses IP

Google Cloud Armor synchronise les listes d'adresses IP avec chaque fournisseur uniquement lorsqu'il détecte des modifications dans un format valide. Google Cloud Armor effectue une validation de syntaxe de base sur les adresses IP de toutes les listes.

Étapes suivantes