Listas de endereços IP nomeadas do Google Cloud Armor

As listas de endereços IP do Google Cloud Armor permitem que você faça referência a listas de endereços IP e intervalos de IP mantidos por provedores de terceiros. Essas listas são fáceis de configurar em uma política de segurança. Não é necessário especificar cada endereço IP ou intervalo manualmente. As listas de endereços IP nomeados estão disponíveis na versão Beta. Quando as listas de IP nomeadas estiverem com disponibilidade geral, elas serão acessíveis apenas para projetos inscritos no nível Plus da proteção gerenciada do Google Cloud Armor.

Neste documento, os termos "endereço IP" e "lista de endereços IP" incluem intervalos de endereços IP.

Visão geral

As listas de endereços IP nomeadas são listas de endereços IP agrupadas em nomes diferentes. O nome geralmente se refere ao provedor. As listas de endereços IP nomeadas não estão sujeitas ao limite de cota quanto ao número de endereços IP por regra.

As listas de endereços IP nomeadas não são políticas de segurança. Você as incorpora a uma política de segurança fazendo referência a elas como expressões da mesma forma que faz referência a uma regra pré-configurada. Por exemplo, se um provedor de terceiros tiver uma lista de endereços IP de {ip1, ip2, ip3…ipN} com o nome provider-a, crie uma regra de segurança que permita todos os endereços IP que estiverem na lista provider-a e exclua os que não estiverem nessa lista:

gcloud beta compute security-policies rules create 1000 \
    --security-policy my-policy \
    --expression "evaluatePreconfiguredExpr('provider-a')" \
    --action "allow"
        

Como permitir tráfego apenas de provedores de terceiros autorizados

Um caso de uso típico é criar uma lista de permissões contendo os endereços IP de um parceiro terceirizado permitido para garantir que apenas o tráfego proveniente desse parceiro possa acessar o balanceador de carga e os back-ends.

Por exemplo, os provedores de CDN precisam receber conteúdo dos servidores de origem em intervalos regulares para distribuí-los aos próprios caches. Uma parceria com o Google fornece uma conexão direta entre provedores de CDN e a borda de rede do Google. Os usuários da CDN no Google Cloud podem usar essa conexão direta durante pulls de origem. Nesse caso, o usuário da CDN pode querer criar uma política de segurança que permita apenas o tráfego proveniente desse provedor de CDN específico.

Neste exemplo, um provedor de CDN publica a lista de endereços IP 23.235.32.0/20, 43.249.72.0/22, ⋯,, e um usuário da CDN configura uma regra de segurança que permite apenas o tráfego proveniente desses endereços IP. Como resultado, dois pontos de acesso do provedor de CDN são permitidos (23.235.32.10 e 43.249.72.10). Assim, o tráfego deles é permitido. O tráfego do ponto de acesso não autorizado 198.51.100.1 fica bloqueado.

Endereço IP nomeado do Google Cloud Armor
Endereço IP nomeado do Google Cloud Armor (clique para ampliar)

Como simplificar a configuração e o gerenciamento usando regras pré-configuradas

Os provedores de CDN geralmente usam endereços IP conhecidos e que muitos usuários de CDN precisam usar. Essas listas mudam com o tempo, à medida que os provedores adicionam, removem e atualizam os endereços IP.

Usar uma lista de endereços IP nomeada em uma regra de política de segurança simplifica o processo de configuração e gerenciamento de endereços IP, porque o Google Cloud Armor sincroniza de forma automática as informações recebidas diariamente dos provedores de CDN. Isso elimina o processo demorado e propenso a erros de manter uma grande lista de endereços IP manualmente.

Veja a seguir um exemplo de regra pré-configurada que permite todo o tráfego proveniente de um provedor:

evaluatePreconfiguredExpr('provider-a') => allow traffic

Provedores de listas de IPs

Os provedores de listas de IPs na tabela a seguir são compatíveis com o Google Cloud Armor. Estes são provedores de CDN que firmaram parceria com o Google. Suas listas de IPs são publicadas por meio de URLs públicos individuais.

Esses parceiros fornecem listas separadas de endereços IPv4 e de endereços IPv6. O Google Cloud Armor busca listas usando os URLs fornecidos e as converte em listas de endereços IP nomeadas. Você fará referência às listas pelos nomes da tabela.

Por exemplo, o comando a seguir cria uma regra na política de segurança my-policy com prioridade 750, incorporando a lista de IPs nomeada do Cloudflare e permitindo o acesso a esses endereços IP:

gcloud beta compute security-policies rules create 750 \
    --security-policy my-policy \
    --expression "evaluatePreconfiguredExpr('sourceiplist-cloudflare')" \
    --action "allow"
Provedor URL(s) Nome da lista de IPs
Fastly https://api.fastly.com/public-ip-list sourceiplist-fastly
Cloudflare https://www.cloudflare.com/ips-v4

https://www.cloudflare.com/ips-v6
sourceiplist-cloudflare
Imperva https://my.imperva.com/api/integration/v1/ips
O acesso à lista da Imperva requer uma solicitação POST. Também é possível usar este comando:
curl -d "" https://my.imperva.com/api/integration/v1/ips
sourceiplist-imperva

Sincronização da lista de IPs

O Google Cloud Armor sincroniza listas de endereços IP com cada provedor somente quando detecta alterações em um formato válido. O Google Cloud Armor realiza uma validação de sintaxe básica nos endereços IP de todas as listas.

A seguir