Panoramica dei gruppi di indirizzi

Un gruppo di indirizzi contiene più indirizzi IP, intervalli di indirizzi IP in formato CIDR o entrambi. Ogni gruppo di indirizzi può essere utilizzato da più risorse, ad esempio regole nelle policy firewall Cloud NGFW o regole nelle policy di sicurezza Cloud Armor.

Gli aggiornamenti a un gruppo di indirizzi vengono propagati automaticamente alle risorse che fanno riferimento al gruppo di indirizzi. Ad esempio, puoi creare un gruppo di indirizzi contenente un insieme di indirizzi IP attendibili. Per modificare l'insieme di indirizzi IP attendibili, devi aggiornare il gruppo di indirizzi. Gli aggiornamenti al gruppo di indirizzi vengono riflessi automaticamente in ogni risorsa associata.

Specifiche

Le risorse dei gruppi di indirizzi hanno le seguenti caratteristiche:

Ogni gruppo di indirizzi è identificato in modo univoco da un URL con i seguenti elementi:
- Tipo di container: determina il tipo di gruppo di indirizzi: organization o project.
- ID container: ID dell'organizzazione o del progetto.
- Località: specifica se il gruppo di indirizzi è una risorsa global o una risorsa di regione (ad esempio europe-west).
- Nome: il nome del gruppo di indirizzi nel seguente formato:
  - Una stringa di lunghezza compresa tra 1 e 63 caratteri
  - Include solo caratteri alfanumerici
  - Non può iniziare con un numero
Puoi creare un identificatore URL univoco per un gruppo di indirizzi nel seguente formato:
```
<containerType>/<containerId>/locations/<location>/addressGroups/<address-group-name>
```
Ad esempio, un gruppo di indirizzi global example-address-group nel progetto myproject ha il seguente identificatore univoco a 4 tuple:
```
projects/myproject/locations/global/addressGroups/example-address-group
```
Ogni gruppo di indirizzi ha un tipo associato che può essere IPv4 o IPv6, ma non entrambi. Il tipo di gruppo di indirizzi non può essere modificato in un secondo momento.
Ogni indirizzo IP o intervallo IP in un gruppo di indirizzi è chiamato elemento. Il numero di elementi che puoi aggiungere a un gruppo di indirizzi dipende dalla capacità del gruppo di indirizzi. Puoi definire la capacità degli elementi durante la creazione del gruppo di indirizzi. Questa capacità non può essere modificata in un secondo momento. La capacità massima che puoi configurare per un gruppo di indirizzi varia a seconda del prodotto con cui utilizzi il gruppo di indirizzi.
Quando crei un gruppo di indirizzi, devi specificare la capacità e il tipo. Inoltre, quando utilizzi Cloud Armor, devi impostare il campo purpose su CLOUD_ARMOR.
Quando crei un gruppo di indirizzi con uno scopo diverso da CLOUD_ARMOR, il gruppo di indirizzi ha una capacità massima di 1000 indirizzi IP.

Tipi di gruppi di indirizzi

I gruppi di indirizzi vengono classificati in base all'ambito. L'ambito identifica il livello a cui si applica il gruppo di indirizzi nella gerarchia delle risorse. I gruppi di indirizzi sono suddivisi nei seguenti tipi:

Gruppi di indirizzi con ambito a livello di progetto
Gruppi di indirizzi con ambito a livello di organizzazione

Un gruppo di indirizzi può avere un ambito a livello di progetto o di organizzazione, ma non entrambi.

Gruppi di indirizzi con ambito a livello di progetto

Utilizza i gruppi di indirizzi con ambito a livello di progetto quando vuoi definire un tuo elenco di indirizzi IP da utilizzare all'interno di un progetto o di una rete per bloccare o consentire un elenco di indirizzi IP che può mutare. Ad esempio, se vuoi definire un tuo elenco di threat intelligence e aggiungerlo a una regola, crea un gruppo di indirizzi con gli indirizzi IP richiesti.

Il tipo di container per i gruppi di indirizzi con ambito a livello di progetto è sempre impostato su project. Per saperne di più su come creare e modificare gruppi di indirizzi con ambito a livello di progetto, consulta Utilizza gruppi di indirizzi con ambito a livello di progetto.

Gruppi di indirizzi con ambito a livello di organizzazione

Utilizza i gruppi di indirizzi con ambito a livello di organizzazione quando vuoi definire un elenco centrale di indirizzi IP che possono essere utilizzati in regole di alto livello per fornire un controllo coerente per l'intera organizzazione e ridurre l'overhead per i singoli proprietari di reti e progetti in modo da mantenere elenchi comuni, come servizi attendibili e indirizzi IP interni.

Il tipo di container per i gruppi di indirizzi con ambito a livello di organizzazione è sempre impostato su organization. Per saperne di più su come creare e modificare gruppi di indirizzi con ambito a livello di organizzazione, consulta Utilizza gruppi di indirizzi con ambito a livello di organizzazione.

Come funzionano i gruppi di indirizzi con le policy di sicurezza

I gruppi di indirizzi semplificano la configurazione e la manutenzione delle policy di sicurezza perché puoi condividere ogni elenco di indirizzi IP tra più policy di sicurezza. Quando utilizzi i gruppi di indirizzi con le policy di sicurezza, tieni presenti le seguenti specifiche aggiuntive:

I gruppi di indirizzi sono disponibili solo per le policy di sicurezza backend con ambito globale.
I gruppi di indirizzi con ambito a livello di organizzazione sono disponibili sia per le policy di sicurezza a livello di servizio sia per le policy di sicurezza gerarchiche.
La capacità di un gruppo di indirizzi viene aggiunta al conteggio totale degli attributi della policy di sicurezza in cui viene utilizzato il gruppo di indirizzi. Assicurati di impostare la capacità su un valore appropriato in base al tuo caso d'uso.
Per utilizzare i gruppi di indirizzi, il tuo progetto deve essere registrato in Cloud Armor Enterprise. Se esegui il downgrade alla fatturazione standard, non puoi creare nuovi gruppi di indirizzi o modificare quelli esistenti. Inoltre, non puoi creare regole che fanno riferimento a un gruppo di indirizzi esistente e le tue policy di sicurezza che fanno riferimento a gruppi di indirizzi sono bloccate. Ciò significa che le policy sono ancora attive, ma non puoi modificarle finché non elimini tutte le regole che fanno riferimento a un gruppo di indirizzi.

Ti consigliamo di visualizzare le quote e i limiti per i gruppi di indirizzi.

Oltre a configurare i gruppi di indirizzi con ambito a livello di organizzazione per le policy di sicurezza backend, puoi configurarli anche per le policy di sicurezza gerarchiche. Non puoi utilizzare i gruppi di indirizzi con ambito a livello di progetto nelle policy di sicurezza al di fuori del progetto in cui esistono, ma puoi condividere i gruppi di indirizzi con ambito a livello di organizzazione con policy di sicurezza in tutta l'organizzazione. Ciò rende i gruppi di indirizzi con ambito a livello di organizzazione con policy di sicurezza particolarmente utili quando utilizzati con policy di sicurezza gerarchiche. Per saperne di più sulle policy di sicurezza gerarchiche, consulta la Panoramica delle policy di sicurezza gerarchiche.

Esempi

Gli esempi seguenti mostrano come utilizzare i gruppi di indirizzi per configurare le policy di sicurezza:

Immagina di avere una configurazione di rete in cui sono presenti tre servizi di backend, ognuno dei quali ha una policy di sicurezza. Inoltre, hai un elenco di indirizzi IP che sai essere dannosi. Quando crei una regola deny in ogni policy di sicurezza, puoi creare un gruppo di indirizzi e utilizzarlo con tutte e tre le policy di sicurezza anziché aggiungere l'elenco di indirizzi IP a ciascuna policy di sicurezza. Poi, ogni volta che crei una nuova policy di sicurezza, puoi utilizzare di nuovo il gruppo di indirizzi per creare nuove regole.
Immagina di avere un'organizzazione con molti progetti raggruppati in cartelle e di avere tre elenchi di indirizzi IP, ognuno dei quali deve accedere solo ad alcune di queste cartelle. Puoi creare tre gruppi di indirizzi con ambito a livello di organizzazione, uno per ogni elenco di indirizzi IP, e poi creare tre policy di sicurezza gerarchiche. Puoi assegnare a ogni policy di sicurezza gerarchica una regola allow che corrisponda a uno dei tre gruppi di indirizzi, quindi associare la policy di sicurezza gerarchica a ogni cartella a cui deve accedere un determinato gruppo di indirizzi IP.

Passaggi successivi

Configura i gruppi di indirizzi.

Panoramica dei gruppi di indirizzi Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.