Listes d'adresses IP nommées Google Cloud Armor

Les listes d'adresses IP nommées Google Cloud Armor vous permettent de référencer des listes d'adresses IP et de plages d'adresses IP gérées par des fournisseurs tiers. Vous pouvez configurer des listes d'adresses IP nommées dans une stratégie de sécurité. Vous n'avez pas besoin de spécifier manuellement chaque adresse IP ou plage d'adresses IP.

Dans ce document, les termes adresse IP et liste d'adresses IP incluent les plages d'adresses IP.

Les listes d'adresses IP nommées sont des listes d'adresses IP regroupées sous des noms différents. Le nom fait généralement référence au fournisseur. Les listes d'adresses IP nommées ne sont pas soumises à la limite de quota sur le nombre d'adresses IP par règle.

Les listes d'adresses IP nommées ne sont pas des stratégies de sécurité. Pour les incorporer dans une stratégie de sécurité, vous devez les référencer en tant qu'expressions de la même manière que vous référencez une règle préconfigurée.

Par exemple, si un fournisseur tiers possède une liste d'adresses IP {ip1, ip2, ip3....ip_N_} sous le nom provider-a, vous pouvez créer une règle de sécurité qui autorise toutes les adresses IP figurant dans la liste provider-a et exclut les adresses IP qui n'y figurent pas :

gcloud beta compute security-policies rules create 1000 \
    --security-policy POLICY_NAME \
    --expression "evaluatePreconfiguredExpr('provider-a')" \
    --action "allow"

Vous ne pouvez pas créer vos propres listes d'adresses IP nommées personnalisées. Cette fonctionnalité n'est disponible que pour les listes d'adresses IP nommées qui sont gérées par des fournisseurs tiers qui s'associent à Google. Si ces listes ne répondent pas à vos besoins, vous pouvez créer une stratégie de sécurité dans laquelle les règles autorisent ou refusent l'accès à vos ressources en fonction de l'adresse IP d'origine des requêtes. Pour plus d'informations, consultez la section Configurer les règles de sécurité.

Pour utiliser des listes d'adresses IP nommées, vous devez vous abonner à Google Cloud Armor Managed Protection Plus et enregistrer des projets dans Managed Protection. Pour en savoir plus, consultez la section Disponibilité des listes d'adresses IP nommées.

Autoriser uniquement le trafic provenant de fournisseurs tiers autorisés

Un cas d'utilisation courant consiste à créer une liste d'autorisation contenant les adresses IP d'un partenaire tiers autorisé pour s'assurer que seul le trafic provenant de ce partenaire peut accéder à l'équilibreur de charge et aux backends.

Par exemple, les fournisseurs CDN doivent extraire le contenu des serveurs d'origine à intervalles réguliers pour le distribuer dans leurs propres caches. Un partenariat avec Google permet d'établir une connexion directe entre les fournisseurs CDN et le réseau périphérique de Google. Les utilisateurs CDN sur Google Cloud peuvent utiliser cette connexion directe lors de l'extraction de données d'origine. Dans ce cas, l'utilisateur CDN peut souhaiter créer une stratégie de sécurité autorisant uniquement le trafic provenant de ce fournisseur CDN.

Dans cet exemple, un fournisseur CDN publie sa liste d'adresses IP 23.235.32.0/20, 43.249.72.0/22, ⋯,. Un utilisateur CDN configure une règle de sécurité qui n'autorise que le trafic provenant de ces adresses IP. Par conséquent, deux points d'accès du fournisseur CDN sont autorisés (23.235.32.10 et 43.249.72.10), et leur trafic est donc autorisé. Le trafic provenant du point d'accès non autorisé 198.51.100.1 est bloqué.

Liste d'adresses IP nommée de Google Cloud Armor.
Liste d'adresses IP nommées de Google Cloud Armor (cliquez pour agrandir)

Simplifier la configuration et la gestion à l'aide de règles préconfigurées

Les fournisseurs CDN utilisent souvent des adresses IP qui sont bien connues et que de nombreux utilisateurs CDN doivent utiliser. Ces listes évoluent avec le temps, à mesure que les fournisseurs ajoutent, suppriment et mettent à jour les adresses IP.

L'utilisation d'une liste d'adresses IP nommée dans une règle de stratégie de sécurité simplifie le processus de configuration et de gestion des adresses IP, car Google Cloud Armor synchronise automatiquement les informations des fournisseurs CDN au quotidien. Le processus fastidieux et source d'erreurs consistant à gérer manuellement une longue liste d'adresses IP est ainsi éliminé.

Voici un exemple de règle préconfigurée qui autorise tout le trafic provenant d'un fournisseur :

evaluatePreconfiguredExpr('provider-a') => allow traffic

Fournisseurs de listes d'adresses IP

Les fournisseurs de listes d'adresses IP répertoriés dans le tableau suivant sont compatibles avec Google Cloud Armor. Il s'agit des fournisseurs de CDN qui se sont associés à Google. Leurs listes d'adresses IP sont publiées via des URL publiques individuelles.

Ces partenaires fournissent des listes d'adresses IPv4 et IPv6 distinctes. Google Cloud Armor utilise les URL fournies pour extraire les listes, puis les convertit en listes d'adresses IP nommées. Les listes sont référencées par leur nom dans le tableau.

Par exemple, la commande suivante crée une règle dans la stratégie de sécurité POLICY_NAME avec la priorité 750, en intégrant la liste d'adresses IP nommée de Cloudflare et en autorisant l'accès à partir de ces adresses IP :

gcloud beta compute security-policies rules create 750 \
    --security-policy POLICY_NAME \
    --expression "evaluatePreconfiguredExpr('sourceiplist-cloudflare')" \
    --action "allow"
Fournisseur fournisseur Nom de la liste d'adresses IP
Fastly https://api.fastly.com/public-ip-list sourceiplist-fastly
Cloudflare

https://www.cloudflare.com/ips-v4

https://www.cloudflare.com/ips-v6

sourceiplist-cloudflare
Imperva

https://my.imperva.com/api/integration/v1/ips

L'accès à la liste d'Imperva nécessite une requête POST. Vous pouvez également exécuter la commande suivante :

curl -d "" https://my.imperva.com/api/integration/v1/ips

sourceiplist-imperva

Pour répertorier les listes d'adresses IP nommées préconfigurées, exécutez la commande gcloud suivante :

gcloud compute security-policies list-preconfigured-expression-sets \
    --filter="id:sourceiplist"

Cette opération renvoie les valeurs :

EXPRESSION_SET
sourceiplist-fastly
sourceiplist-cloudflare
sourceiplist-imperva

Synchroniser les listes d'adresses IP

Google Cloud Armor synchronise les listes d'adresses IP avec chaque fournisseur uniquement lorsqu'il détecte des modifications dans un format valide. Google Cloud Armor effectue une validation de syntaxe de base sur les adresses IP de toutes les listes.

Disponibilité des listes d'adresses IP nommées

Google Cloud Armor Managed Protection Plus est en disponibilité générale. La disponibilité des listes d'adresses IP tierces nommées est la suivante :

  1. Si vous êtes abonné au niveau Google Cloud Armor Managed Protection Plus, vous êtes autorisé à utiliser des listes d'adresses IP nommées dans les projets enregistrés. Vous pouvez créer, mettre à jour et supprimer des listes d'adresses IP nommées.
  2. Si votre abonnement au niveau Plus de Google Cloud Armor Managed Protection expire, ou si vous revenez au niveau Standard, vous ne pouvez pas ajouter ni modifier de règles avec des listes d'adresses IP nommées. Toutefois, vous pouvez supprimer des règles existantes et mettre à jour des règles pour supprimer une liste d'adresses IP nommées.
  3. Dans les projets qui incluent déjà des règles avec des listes d'adresses IP nommées, mais que vous n'avez pas inscrit à Google Cloud Armor Managed Protection Plus, vous pouvez continuer à utiliser, mettre à jour et supprimer des règles existantes avec des listes d'adresses IP nommées. Dans de tels projets, vous pouvez créer des règles qui intègrent des listes d'adresses IP nommées.

Étape suivante