Listas de endereços IP nomeadas do Google Cloud Armor

As listas de endereços IP nomeados do Google Cloud Armor permitem que você faça referência a listas de endereços IP e intervalos de IP que são mantidos por provedores terceirizados. É possível configurar listas de endereços IP nomeados em uma política de segurança. Você não precisa especificar manualmente cada endereço ou intervalo de IP.

Neste documento, os termos endereço IP e lista de endereços IP incluem intervalos de endereços IP.

As listas de endereços IP nomeadas são listas de endereços IP agrupadas em nomes diferentes. O nome geralmente se refere ao provedor. As listas de endereços IP nomeadas não estão sujeitas ao limite de cota quanto ao número de endereços IP por regra.

As listas de endereços IP nomeadas não são políticas de segurança. Você as incorpora a uma política de segurança fazendo referência a elas como expressões da mesma forma que faz referência a uma regra pré-configurada.

Por exemplo, se um provedor terceirizado tiver uma lista de endereços IP de {ip1, ip2, ip3....ip_N_} com o nome provider-a, você poderá criar uma regra de segurança que permita todos os endereços IP que estão na lista provider-a. e exclui os endereços IP que não estão nessa lista:

gcloud beta compute security-policies rules create 1000 \
    --security-policy POLICY_NAME \
    --expression "evaluatePreconfiguredExpr('provider-a')" \
    --action "allow"

Não é possível criar listas de endereços IP personalizadas. Esse recurso está disponível apenas em relação às listas de endereços IP nomeadas, mantidas por provedores terceirizados que fazem parceria com o Google. Se essas listas não atenderem às suas necessidades, crie uma política de segurança em que as regras permitam ou neguem acesso aos recursos com base no endereço IP de origem das solicitações. Para mais informações, consulte Como configurar políticas de segurança.

Para usar listas de endereços IP nomeados, você precisa se inscrever na Proteção gerenciada do Google Cloud Armor Plus e inscrever projetos na proteção gerenciada. Para mais informações, consulte Disponibilidade de listas de endereços IP nomeadas.

Como permitir tráfego apenas de provedores de terceiros autorizados

Um caso de uso típico é criar uma lista de permissões contendo os endereços IP de um parceiro terceirizado permitido para garantir que apenas o tráfego proveniente desse parceiro possa acessar o balanceador de carga e os back-ends.

Por exemplo, os provedores de CDN precisam receber conteúdo dos servidores de origem em intervalos regulares para distribuí-los aos próprios caches. Uma parceria com o Google fornece uma conexão direta entre provedores de CDN e a borda de rede do Google. Os usuários da CDN no Google Cloud podem usar essa conexão direta durante pulls de origem. Nesse caso, o usuário da CDN pode querer criar uma política de segurança que permita apenas o tráfego proveniente desse provedor de CDN específico.

Neste exemplo, um provedor de CDN publica a lista de endereços IP 23.235.32.0/20, 43.249.72.0/22, ⋯,. Um usuário do CDN configura uma regra de segurança que permite apenas o tráfego proveniente desses endereços IP. Como resultado, dois pontos de acesso do provedor de CDN são permitidos (23.235.32.10 e 43.249.72.10). Assim, o tráfego deles é permitido. O tráfego do ponto de acesso não autorizado 198.51.100.1 fica bloqueado.

Endereço IP nomeado do Google Cloud Armor (clique para ampliar)

Como simplificar a configuração e o gerenciamento usando regras pré-configuradas

Os provedores de CDN geralmente usam endereços IP conhecidos e que muitos usuários de CDN precisam usar. Essas listas mudam com o tempo, à medida que os provedores adicionam, removem e atualizam os endereços IP.

O uso de uma lista de endereços IP nomeados em uma regra de política de segurança simplifica o processo de configuração e gerenciamento de endereços IP porque o Google Cloud Armor sincroniza automaticamente informações de provedores da CDN diariamente. Isso elimina o processo demorado e propenso a erros de manter uma grande lista de endereços IP manualmente.

Veja a seguir um exemplo de regra pré-configurada que permite todo o tráfego de um provedor:

evaluatePreconfiguredExpr('provider-a') => allow traffic

Provedores de lista de endereços IP

Os provedores de lista de endereços IP na tabela a seguir são compatíveis com o Google Cloud Armor. Estes são provedores de CDN que firmaram parceria com o Google. As listas de endereços IP deles são publicadas por meio de URLs públicos individuais.

Esses parceiros fornecem listas separadas de endereços IPv4 e de endereços IPv6. O Google Cloud Armor usa os URLs fornecidos para buscar listas e, em seguida, converte-as em listas de endereços IP nomeados. Você fará referência às listas pelos nomes da tabela.

Por exemplo, o código a seguir cria uma regra na política de segurança POLICY_NAME com prioridade 750, incorporando a lista de endereços IP nomeada do Cloudflare e permitindo o acesso desses endereços IP:

gcloud beta compute security-policies rules create 750 \
    --security-policy POLICY_NAME \
    --expression "evaluatePreconfiguredExpr('sourceiplist-cloudflare')" \
    --action "allow"

Provedor URL(s) Nome da lista de endereços IP

Fastly https://api.fastly.com/public-ip-list sourceiplist-fastly

Cloudflare

Provedor	URL(s)	Nome da lista de endereços IP
Fastly	`https://api.fastly.com/public-ip-list`	`sourceiplist-fastly`
Cloudflare	`https://www.cloudflare.com/ips-v4` `https://www.cloudflare.com/ips-v6`	`sourceiplist-cloudflare`
Imperva	`https://my.imperva.com/api/integration/v1/ips` O acesso à lista do Imperva requer uma solicitação `POST`. Também é possível usar o seguinte comando: `curl -d "" https://my.imperva.com/api/integration/v1/ips`	`sourceiplist-imperva`

https://www.cloudflare.com/ips-v4

https://www.cloudflare.com/ips-v6

sourceiplist-cloudflare

Imperva

https://my.imperva.com/api/integration/v1/ips

O acesso à lista do Imperva requer uma solicitação POST. Também é possível usar o seguinte comando:

curl -d "" https://my.imperva.com/api/integration/v1/ips

sourceiplist-imperva

Para listar as listas de endereços IP nomeados pré-configurados, use este comando gcloud:

gcloud compute security-policies list-preconfigured-expression-sets \
    --filter="id:sourceiplist"

Isso retorna:

EXPRESSION_SET
sourceiplist-fastly
sourceiplist-cloudflare
sourceiplist-imperva

Como sincronizar listas de endereços IP

O Google Cloud Armor sincroniza listas de endereços IP com cada provedor somente quando detecta alterações em um formato válido. O Google Cloud Armor realiza uma validação de sintaxe básica nos endereços IP de todas as listas.

Disponibilidade de listas de endereços IP nomeadas

A Proteção gerenciada do Google Cloud Armor Plus tem disponibilidade geral. A disponibilidade das listas de endereços IP nomeadas de terceiros é a seguinte:

Se você estiver inscrito no nível Plus da proteção gerenciada do Google Cloud Armor, será necessário usar listas de endereços IP nomeadas em projetos inscritos. É possível criar, atualizar e excluir regras com listas de endereços IP nomeadas.
Se a assinatura do nível Plus do Google Cloud Armor Managed Protection expirar ou você retornar ao nível Standard, não será possível adicionar ou modificar regras com listas de endereços IP nomeadas. No entanto, será possível excluir regras existentes e atualizar regras para remover um nome nomeado. Lista de IPs.
Em projetos que já incluem regras com listas de endereços IP nomeadas, mas que você não registrou no Google Cloud Armor Managed Protection Plus, você pode continuar a usar, atualizar e excluir regras existentes com listas de endereços IP nomeadas. Nesses projetos, é possível criar novas regras que incorporam listas de endereços IP nomeadoa.