Grupos de endereços para políticas de firewall

Um grupo de endereços contém vários endereços IP, intervalos de endereços IP no CIDR ou ambos. Cada grupo de endereços pode ser usado por vários recursos, como regras em políticas de firewall do Cloud NGFW ou regras em políticas de segurança do Google Cloud Armor.

As atualizações em um grupo de endereços são propagadas automaticamente para os recursos o grupo de endereços. Por exemplo, é possível criar um grupo de endereços que contenha um conjunto de endereços IP confiáveis. Para mudar o conjunto de IPs confiáveis você atualiza o grupo de endereços. Suas atualizações no grupo de endereços são refletidas automaticamente em cada recurso associado.

Especificações

Os recursos do grupo de endereços têm as seguintes características:

  • Cada grupo de endereços é identificado exclusivamente por um URL com os seguintes elementos:
    • Tipo de contêiner: determina o tipo de grupo de endereços: organization ou project.
    • ID do contêiner:ID da organização ou do projeto.
    • Local: especifica se o grupo de endereços é um global ou recurso regional (como europe-west).
    • Nome: é o nome do grupo de endereços com o seguinte formato:
      • Uma string com 1 a 63 caracteres
      • Inclui apenas caracteres alfanuméricos
      • Não pode começar com um número
  • Você pode criar um identificador de URL exclusivo para um grupo de endereços no seguinte formato:

    <containerType>/<containerId>/locations/<location>/addressGroups/<address-group-name>
    

    Por exemplo, um grupo de endereços global example-address-group no projeto myproject tem o seguinte identificador exclusivo de quatro tuplas:

    projects/myproject/locations/global/addressGroups/example-address-group
    
  • Cada grupo de endereços tem um tipo associado que pode ser IPv4 ou IPv6, mas não ambos. O tipo de grupo de endereços não poderá ser alterado posteriormente.

  • Cada endereço IP ou intervalo de IPs em um grupo de endereços é conhecido como item. O número de itens que você pode adicionar a um grupo de endereços depende da capacidade dele. É possível definir a capacidade do item durante a criação do grupo de endereços. Não é possível alterar essa capacidade depois. A capacidade máxima que você pode configurar para um grupo de endereços varia de acordo com o produto com que você usa o grupo de endereços.

  • É necessário especificar a capacidade e o tipo ao criar um grupo de endereços. Além disso, ao usar o Google Cloud Armor, defina os campos purpose como CLOUD_ARMOR.

  • Quando você cria um grupo de endereços com uma finalidade que não é CLOUD_ARMOR, o grupo de endereços tem uma capacidade máxima de 1.000 endereços IP.

Tipos de grupos de endereços

Os grupos de endereços são classificados com base no escopo. O escopo identifica o nível em que o grupo de endereços é aplicável na hierarquia de recursos. Os grupos de endereços são categorizados nos seguintes tipos:

Um grupo de endereços pode ser definido no escopo do projeto ou da organização, mas não ambos.

Grupos de endereços com escopo do projeto

Use grupos de endereços com escopo de projeto quando quiser definir sua própria lista de endereços IP a serem usados dentro de um projeto ou uma rede para bloquear ou permitir uma lista de endereços IP variáveis. Por exemplo, se você quiser definir sua própria lista de inteligência de ameaças e adicioná-la a uma regra, crie um grupo de endereços com os endereços IP obrigatórios.

O tipo de contêiner para grupos de endereços com escopo do projeto é sempre definido como project. Para mais informações sobre como criar e modificar grupos de endereços com escopo de projeto, consulte Usar grupos de endereços com escopo de projeto.

Grupos de endereços no escopo da organização

Use grupos de endereços com escopo da organização quando quiser definir uma lista central de endereços IP que podem ser usados em regras de alto nível para fornecer controle consistente para toda a organização e reduzir a sobrecarga de redes de indivíduo e proprietários de projetos para manter listas comuns, como serviços confiáveis e endereços IP internos.

O tipo de contêiner para grupos de endereços com escopo da organização é sempre definido como organization. Para mais informações sobre como criar e modificar grupos de endereços no escopo da organização, consulte Usar grupos de endereços com escopo da organização.

Papéis do IAM

Para criar e gerenciar um grupo de endereços, é necessário ter o papel de Administrador de rede (compute.networkAdmin) ou de Administrador de segurança (compute.securityAdmin). Também é possível definir um papel personalizado com um conjunto equivalente de permissões.

Veja na tabela a seguir uma lista de permissões do Identity and Access Management (IAM) necessárias para executar um conjunto de tarefas em grupos de endereços.

Tarefa Nome do papel do IAM Permissões IAM
Criar e gerenciar grupos de endereços compute.networkAdmin

compute.securityAdmin

networksecurity.addressGroups.*
Descobrir e ver grupos de endereços compute.networkUser networksecurity.addressGroups.list

networksecurity.addressGroups.get

networksecurity.addressGroups.use

Para mais informações sobre quais papéis incluem permissões do IAM específicas, consulte a Referência de permissões do IAM.

Como os grupos de endereços funcionam com as políticas de firewall

Os grupos de endereços simplificam a configuração e a manutenção de políticas de firewall. É possível compartilhar os endereços IP entre as políticas de firewall e definir políticas de firewall mais complexas, consistentes e robustas para sua rede, com sobrecarga de manutenção reduzida. Considere as seguintes especificações adicionais ao usar grupos de endereços com políticas de firewall:

A seguir