Mengonfigurasi grup alamat

Grup alamat memungkinkan Anda menggabungkan beberapa alamat IP dan rentang alamat IP menjadi satu unit logis bernama, yang dapat Anda gunakan di berbagai produk. Dokumen ini menunjukkan cara menggunakan grup alamat dengan kebijakan keamanan Google Cloud Armor. Anda memerlukan langganan Google Cloud Armor Enterprise yang aktif untuk menggunakan grup alamat.

Sebelum memulai

Sebelum mengonfigurasi grup alamat, Anda harus mengaktifkan Network Security API networksecurity.googleapis.com terlebih dahulu.

Peran IAM

Untuk membuat dan mengelola grup alamat, Anda memerlukan peran Admin Jaringan Compute (roles/compute.networkAdmin). Anda juga dapat menentukan peran khusus dengan serangkaian izin yang setara.

Tabel berikut berisi daftar izin Identity and Access Management (IAM) yang diperlukan untuk melakukan serangkaian tugas pada grup alamat.

Tugas Nama peran IAM Izin IAM
Membuat dan mengelola grup alamat

Admin Jaringan Compute (roles/compute.networkAdmin)

 
networksecurity.addressGroups.*
Menemukan dan melihat grup alamat

Pengguna Jaringan Compute (roles/compute.networkUser)

 
networksecurity.addressGroups.list
networksecurity.addressGroups.get
networksecurity.addressGroups.use

Untuk mengetahui informasi selengkapnya tentang peran yang mencakup izin IAM tertentu, lihat indeks izin dan peran IAM.

Menggunakan grup alamat lingkup project

Bagian berikut menjelaskan cara menggunakan konsol Google Cloud atau Google Cloud CLI untuk membuat dan mengubah grup alamat lingkup project, serta cara menggunakan grup alamat lingkup project dengan kebijakan keamanan Anda.

Membuat atau mengubah grup alamat lingkup project

Bagian berikut menjelaskan cara membuat grup alamat lingkup project, cara menambahkan dan menghapus alamat dari grup alamat lingkup project, dan cara menghapus grup alamat lingkup project.

Membuat grup alamat lingkup project

Saat membuat grup alamat, Anda harus menentukan kapasitas dan versi alamat IP-nya menggunakan flag --capacity dan --type. Anda tidak dapat mengubah nilai ini setelah membuat grup alamat.

Selain itu, kapasitas maksimum untuk Cloud Armor mungkin lebih tinggi daripada kapasitas maksimum untuk produk lain, seperti Cloud Next Generation Firewall. Oleh karena itu, jika Anda ingin menggunakan grup alamat yang sama di lebih dari satu produk, Anda harus menetapkan kapasitas agar kurang dari atau sama dengan kapasitas maksimum terendah di antara produk tersebut.

Konsol

  1. Di konsol Google Cloud , buka halaman Address groups.

    Buka Address groups

  2. Di menu pemilih project, jika ada, pilih project Anda.
  3. Klik Create Address Group.
  4. Di kolom Name, masukkan nama.
  5. (Opsional): Di kolom Description, tambahkan deskripsi.
  6. Untuk Scope, pilih Global.
  7. Untuk Type, pilih IPv4 atau IPv6.

  8. Untuk Purpose, pilih Cloud Armor; atau, pilih Firewall and Cloud Armor jika Anda juga berencana menggunakan grup alamat dengan kebijakan Cloud Next Generation Firewall.

    Untuk mengetahui informasi selengkapnya tentang memilih tujuan, lihat spesifikasi grup alamat.

  9. Di kolom Capacity, masukkan kapasitas grup alamat.

  10. Di kolom Alamat IP, cantumkan alamat IP atau rentang IP yang ingin Anda sertakan dalam grup alamat yang dipisahkan dengan koma. Contoh, 1.1.1.0/24,1.2.0.0.

    Jumlah alamat IP atau rentang IP tidak boleh melebihi kapasitas yang dikonfigurasi.

  11. Klik Create.

gcloud

Contoh berikut menggunakan perintah gcloud network-security address-groups create untuk membuat grup alamat bernama GROUP_NAME dengan kapasitas 1.000 alamat IPv4, yang dapat digunakan dengan Cloud Armor maupun Cloud NGFW:

 gcloud network-security address-groups create GROUP_NAME \
     --location global \
     --description  "address group description" \
     --capacity 1000 \
     --type IPv4 \
     --purpose DEFAULT,CLOUD_ARMOR

Selain itu, Anda dapat membuat grup alamat berkapasitas lebih besar dengan menetapkan tujuan secara eksklusif ke CLOUD_ARMOR. Pada contoh berikut, Anda membuat grup alamat dengan kapasitas 10.000 rentang alamat IP IPv6:

 gcloud network-security address-groups create GROUP_NAME \
     --location global \
     --description  "address group description" \
     --capacity 10000 \
     --type IPv6 \
     --purpose CLOUD_ARMOR

Menambahkan item ke grup alamat lingkup project

Setelah membuat grup alamat, Anda dapat menambahkan item.

Konsol

  1. Di konsol Google Cloud , buka halaman Address groups.

    Buka Address groups

  2. Di menu pemilih project, jika ada, pilih project Anda.
  3. Untuk mengedit grup alamat, klik nama grup alamat Anda.
  4. Klik Edit.
  5. Di kolom IP Addresses, tambahkan item baru ke comma separated list alamat IP. Selain itu, Anda dapat mengklik Import addresses untuk mengupload file CSV yang berisi daftar alamat IP.
  6. Klik Save.

gcloud

Pada contoh berikut, Anda menggunakan perintah gcloud network-security address-groups add-items untuk menambahkan alamat IP 192.168.1.2, 192.168.1.8, dan 192.168.1.9 ke grup alamat GROUP_NAME. Anda memberikan flag --item pada comma separated list item:

 gcloud network-security address-groups add-items GROUP_NAME \
     --location global \
     --items 192.168.1.2,192.168.1.8,192.168.1.9

Menghapus item dari grup alamat lingkup project

Gunakan langkah-langkah berikut untuk menghapus item dari grup alamat:

Konsol

  1. Di konsol Google Cloud , buka halaman Address groups.

    Buka Address groups

  2. Di menu pemilih project, jika ada, pilih project Anda.
  3. Untuk mengedit grup alamat, klik nama grup alamat Anda.
  4. Klik Edit.
  5. Di kolom IP Addresses, hapus item yang ingin Anda hapus dari comma separated list alamat IP.
  6. Klik Save.

gcloud

Contoh berikut menggunakan perintah gcloud network-security address-groups remove-items untuk menghapus alamat IP 192.168.1.2, 192.168.1.8, dan 192.168.1.9 yang Anda tambahkan pada perintah sebelumnya:

 gcloud network-security address-groups remove-items GROUP_NAME \
     --location global \
     --items 192.168.1.2,192.168.1.8,192.168.1.9

Meng-clone grup alamat lingkup project

Gunakan langkah-langkah berikut untuk meng-clone item dari grup alamat:

Konsol

  1. Di konsol Google Cloud , buka halaman Address groups.

    Buka Address groups

  2. Di menu pemilih project, jika ada, pilih project Anda.
  3. Untuk meng-clone grup alamat, klik nama grup alamat Anda.
  4. Klik Clone.
  5. Di kolom Name, masukkan nama grup alamat yang di-clone yang akan dibuat.
  6. Klik Clone.

gcloud

Dalam contoh berikut, Anda menggunakan perintah gcloud network-security address-groups clone-items untuk meng-clone alamat IP dari grup alamat sumber SOURCE_GROUP_NAME ke dalam grup alamat target GROUP_NAME:

 gcloud network-security address-groups clone-items GROUP_NAME \
     --location global \
     --source SOURCE_GROUP_NAME

Menghapus grup alamat lingkup project

Anda tidak dapat menghapus grup alamat jika grup tersebut direferensikan oleh resource, termasuk kebijakan firewall atau kebijakan keamanan. Gunakan langkah-langkah berikut untuk menghapus grup alamat:

Konsol

  1. Di konsol Google Cloud , buka halaman Address groups.

    Buka Address groups

  2. Di menu pemilih project, jika ada, pilih project Anda.
  3. Centang kotak di samping grup alamat yang ingin Anda hapus. Pastikan grup alamat yang dipilih tidak direferensikan oleh kebijakan keamanan atau firewall apa pun.
  4. Klik Delete, lalu klik Delete lagi untuk mengonfirmasi.

gcloud

Contoh berikut menggunakan perintah gcloud network-security address-groups delete untuk menghapus grup alamat yang bernama GROUP_NAME.

 gcloud network-security address-groups delete GROUP_NAME \
     --location global

Menggunakan grup alamat lingkup project dengan kebijakan keamanan

Setelah membuat grup alamat dan menambahkan alamat IP ke dalamnya, Anda dapat menggunakannya dengan kebijakan keamanan backend Cloud Armor yang ada. Contoh berikut menunjukkan dua cara berbeda untuk menggunakan grup alamat.

Menolak sekelompok alamat IP

Untuk contoh ini, bayangkan Anda memiliki grup alamat IP bernama MALICIOUS_IPS dengan 10.000 alamat IP yang Anda ketahui bersifat berbahaya. Anda dapat menolak semua alamat IP ini menggunakan satu aturan deny kebijakan keamanan dengan kondisi kecocokan berikut:

evaluateAddressGroup('MALICIOUS_IPS', origin.ip)

Menggunakan kembali grup rentang alamat IP di beberapa kebijakan keamanan

Untuk contoh ini, bayangkan Anda memiliki daftar 10.000 alamat IP yang sama seperti pada contoh sebelumnya, tetapi beberapa alamat IP diketahui sebagai web crawler. Anda ingin memblokir semua alamat IP ini dari beberapa layanan backend, tetapi mengizinkan web crawler mengakses layanan backend lainnya untuk meningkatkan search engine optimization (SEO). Gunakan langkah-langkah berikut untuk menolak akses semua alamat ke BACKEND_SERVICE_1, sekaligus mengizinkan rentang alamat IP 66.249.77.32/27 dan 66.249.77.64/27 mengakses BACKEND_SERVICE_2:

  1. Buat kebijakan keamanan backend bernama POLICY_1, dan lampirkan ke BACKEND_SERVICE_1.

  2. Di POLICY_1, buat aturan deny dengan kondisi kecocokan berikut:

    evaluateAddressGroup('MALICIOUS_IPS', origin.ip)

  3. Buat kebijakan keamanan backend kedua yang bernama POLICY_2, lalu lampirkan ke BACKEND_SERVICE_2.

  4. Di POLICY_2, buat aturan deny dengan kondisi pencocokan berikut, yang mengecualikan 66.249.77.32/27 dan 66.249.77.64/27:

    evaluateAddressGroup('MALICIOUS_IPS', origin.ip, [66.249.77.32/27, 66.249.77.64/27])

Menggunakan grup alamat untuk mencocokkan alamat IP pengguna

Untuk menggunakan grup alamat agar cocok dengan alamat IP klien ("pengguna") asal, Anda harus mengonfigurasi userIpRequestHeaders[] dalam kebijakan keamanan.

Penting untuk diperhatikan bahwa dalam kondisi berikut, Anda menerima alamat IP sumber permintaan, bukan alamat IP klien asal karena nilai origin.user_ip secara default adalah nilai origin.ip:

  • Anda tidak mengonfigurasi opsi userIpRequestHeaders[].
  • Header yang dikonfigurasi tidak ada.
  • Header yang dikonfigurasi berisi nilai alamat IP yang tidak valid.

Untuk contoh ini, bayangkan Anda memiliki grup alamat IP bernama MALICIOUS_IPS dengan 10.000 alamat IP yang Anda ketahui bersifat berbahaya. Selain itu, Anda menggunakan proxy upstream, yang menyertakan informasi tentang klien asal di header. Anda dapat menolak semua alamat IP ini menggunakan satu aturan deny kebijakan keamanan dengan kondisi kecocokan berikut:

evaluateAddressGroup('MALICIOUS_IPS', origin.user_ip)

Untuk mengetahui informasi selengkapnya tentang alamat IP, lihat Atribut.

Untuk mengetahui informasi selengkapnya tentang alamat IP pengguna, lihat Ringkasan alamat IP pengguna.

Menggunakan grup alamat lingkup organisasi

Bagian berikut menjelaskan cara membuat dan mengubah grup alamat khusus organisasi menggunakan konsol Google Cloud atau Google Cloud CLI, dan cara menggunakan grup alamat lingkup organisasi dengan kebijakan keamanan Anda.

Membuat atau mengubah grup alamat lingkup organisasi

Anda dapat menggunakan grup alamat lingkup organisasi dengan kebijakan keamanan tingkat layanan dan kebijakan keamanan hierarkis.

Bagian berikut menjelaskan cara membuat grup alamat lingkup organisasi, cara menambahkan dan menghapus alamat dari grup alamat lingkup organisasi, dan cara menghapus grup alamat lingkup organisasi.

Membuat grup alamat lingkup organisasi

Saat membuat grup alamat, Anda harus menentukan kapasitas dan versi alamat IP-nya menggunakan flag --capacity dan --type. Anda tidak dapat mengubah nilai ini setelah membuat grup alamat.

Selain itu, kapasitas maksimum untuk Cloud Armor mungkin lebih tinggi daripada kapasitas maksimum untuk produk lain, seperti Cloud Next Generation Firewall. Oleh karena itu, jika Anda ingin menggunakan grup alamat yang sama di lebih dari satu produk, Anda harus menetapkan kapasitas agar kurang dari atau sama dengan kapasitas maksimum terendah di antara produk tersebut.

Konsol

  1. Di konsol Google Cloud , buka halaman Address groups.

    Buka Address groups

  2. Di menu pemilih project, jika ada, pilih organisasi Anda.
  3. Klik Create Address Group.
  4. Di kolom Name, masukkan nama.
  5. Opsional: Di kolom Description, tambahkan deskripsi.
  6. Untuk Scope, pilih Global.
  7. Untuk Type, pilih IPv4 atau IPv6.

  8. Untuk Purpose, pilih Cloud Armor; atau, pilih Cloud NGFW and Cloud Armor jika Anda juga berencana menggunakan grup alamat dengan kebijakan Cloud Next Generation Firewall.

    Untuk mengetahui informasi selengkapnya tentang cara memilih tujuan untuk grup alamat, lihat Spesifikasi.

  9. Di kolom Capacity, masukkan kapasitas grup alamat.

  10. Di kolom Alamat IP, cantumkan alamat IP atau rentang IP yang ingin Anda sertakan dalam grup alamat yang dipisahkan dengan koma. Contoh, 1.1.1.0/24,1.2.0.0.

    Jumlah alamat IP atau rentang IP tidak boleh melebihi kapasitas yang dikonfigurasi.

  11. Klik Create.

gcloud

Contoh berikut menggunakan perintah gcloud network-security org-address-groups create untuk membuat grup alamat lingkup organisasi bernama GROUP_NAME dengan kapasitas 1.000 alamat IPv4, yang dapat digunakan dengan Cloud Armor atau Cloud NGFW:

 gcloud network-security org-address-groups create GROUP_NAME \
     --location global \
     --description  "org address group description" \
     --capacity 1000 \
     --type IPv4 \
     --purpose DEFAULT,CLOUD_ARMOR

Selain itu, Anda dapat membuat grup alamat lingkup organisasi berkapasitas lebih besar dengan menetapkan tujuan secara eksklusif ke CLOUD_ARMOR. Pada contoh berikut, Anda membuat grup alamat dengan kapasitas 10.000 rentang alamat IP IPv6:

 gcloud network-security org-address-groups create GROUP_NAME \
     --location global \
     --description  "org address group description" \
     --capacity 10000 \
     --type IPv6 \
     --purpose CLOUD_ARMOR

Menambahkan item ke grup alamat lingkup organisasi

Setelah membuat grup alamat lingkup organisasi, Anda dapat menambahkan item.

Konsol

  1. Di konsol Google Cloud , buka halaman Address groups.

    Buka Address groups

  2. Di menu pemilih project, jika ada, pilih organisasi Anda.
  3. Untuk mengedit grup alamat, klik nama grup alamat Anda.
  4. Klik Edit.
  5. Di kolom IP Addresses, tambahkan item baru ke comma separated list alamat IP. Selain itu, Anda dapat mengklik Import addresses untuk mengupload file CSV yang berisi daftar alamat IP.
  6. Klik Save.

gcloud

Pada contoh berikut, Anda menggunakan perintah gcloud network-security org-address-groups add-items untuk menambahkan alamat IP 192.168.1.2, 192.168.1.8, dan 192.168.1.9 ke grup alamat lingkup organisasi GROUP_NAME. Anda memberikan flag --items pada comma separated list item:

 gcloud network-security org-address-groups add-items GROUP_NAME \
     --location global \
     --items 192.168.1.2,192.168.1.8,192.168.1.9

Menghapus item dari grup alamat lingkup organisasi

Gunakan langkah-langkah berikut untuk menghapus item dari grup alamat khusus organisasi:

Konsol

  1. Di konsol Google Cloud , buka halaman Address groups.

    Buka Address groups

  2. Di menu pemilih project, jika ada, pilih organisasi Anda.
  3. Untuk mengedit grup alamat, klik nama grup alamat Anda.
  4. Klik Edit.
  5. Di kolom IP Addresses, hapus item yang ingin Anda hapus dari comma separated list alamat IP.
  6. Klik Save.

gcloud

Contoh berikut menggunakan perintah gcloud network-security org-address-groups remove-items untuk menghapus alamat IP 192.168.1.2, 192.168.1.8, dan 192.168.1.9 yang Anda tambahkan pada perintah sebelumnya:

 gcloud network-security org-address-groups remove-items GROUP_NAME \
     --location global \
     --items 192.168.1.2,192.168.1.8,192.168.1.9

Meng-clone grup alamat lingkup organisasi

Gunakan langkah-langkah berikut untuk meng-clone item dari grup alamat:

Konsol

  1. Di konsol Google Cloud , buka halaman Address groups.

    Buka Address groups

  2. Di menu pemilih project, jika ada, pilih organisasi Anda.
  3. Untuk meng-clone grup alamat, klik nama grup alamat Anda.
  4. Klik Clone.
  5. Di kolom Name, masukkan nama grup alamat yang di-clone yang akan dibuat.
  6. Klik Clone.

gcloud

Pada contoh berikut, Anda menggunakan perintah gcloud network-security org-address-groups clone-items untuk meng-clone alamat IP dari grup alamat sumber SOURCE_GROUP_NAME ke grup alamat target GROUP_NAME:

 gcloud network-security org-address-groups clone-items GROUP_NAME \
     --location global \
     --source SOURCE_GROUP_NAME

Menghapus grup alamat lingkup organisasi

Anda tidak dapat menghapus grup alamat lingkup organisasi jika direferensikan oleh resource, termasuk kebijakan firewall atau kebijakan keamanan. Gunakan langkah-langkah berikut untuk menghapus grup alamat:

Konsol

  1. Di konsol Google Cloud , buka halaman Address groups.

    Buka Address groups

  2. Di menu pemilih project, jika ada, pilih organisasi Anda.
  3. Centang kotak di samping grup alamat yang ingin Anda hapus. Pastikan grup alamat yang dipilih tidak direferensikan oleh kebijakan keamanan atau firewall apa pun.
  4. Klik Delete, lalu klik Delete lagi untuk mengonfirmasi.

gcloud

Contoh berikut menggunakan perintah gcloud network-security org-address-groups delete untuk menghapus grup alamat yang bernama GROUP_NAME.

 gcloud network-security org-address-groups delete GROUP_NAME \
     --location global

Menggunakan grup alamat lingkup organisasi dengan kebijakan keamanan

Setelah membuat grup alamat dan menambahkan alamat IP ke dalamnya, Anda dapat menggunakannya dengan kebijakan keamanan backend Cloud Armor yang ada. Contoh berikut menunjukkan dua cara berbeda untuk menggunakan grup alamat.

Menolak sekelompok alamat IP untuk semua layanan backend di organisasi

Untuk contoh ini, bayangkan Anda memiliki grup alamat IP khusus organisasi bernama MALICIOUS_IPS dengan 10.000 alamat IP yang Anda ketahui berbahaya. Anda dapat menolak semua alamat IP ini untuk semua layanan backend di organisasi Anda menggunakan satu kebijakan keamanan hierarkis. Buat kebijakan keamanan hierarkis, lalu tambahkan aturan deny dengan kondisi kecocokan berikut:

evaluateOrganizationAddressGroup('MALICIOUS_IPS', origin.ip)

Terakhir, kaitkan kebijakan keamanan hierarkis ke semua layanan backend di organisasi Anda, dengan mengganti POLICY_NAME dengan nama kebijakan keamanan hierarkis Anda dan ORGANIZATION_ID dengan ID organisasi Anda:

  gcloud compute org-security-policies associations create \
      --security-policy=POLICY_NAME \
      --organization=ORGANIZATION_ID

Menggunakan kembali grup rentang alamat IP untuk semua layanan backend di organisasi

Untuk contoh ini, bayangkan Anda memiliki daftar 10.000 alamat IP yang sama seperti pada contoh sebelumnya, tetapi beberapa alamat IP diketahui sebagai web crawler. Anda ingin memblokir alamat IP non-web crawler agar tidak mengakses semua layanan backend di organisasi Anda, tetapi Anda ingin mengizinkan kebijakan keamanan khusus project untuk menentukan apakah web crawler dapat mengakses layanan backend Anda untuk meningkatkan search engine optimization (SEO).

Gunakan langkah-langkah berikut untuk menolak akses semua alamat ke BACKEND_SERVICE_1, sekaligus mengizinkan rentang alamat IP 66.249.77.32/27 dan 66.249.77.64/27 mengakses BACKEND_SERVICE_2:

  1. Buat kebijakan keamanan backend yang bernama BACKEND_POLICY_1.

  2. Tambahkan aturan deny ke BACKEND_POLICY_1 dengan kondisi kecocokan berikut, yang memblokir semua alamat IP di MALICIOUS_IPS:

    evaluateOrganizationAddressGroup('MALICIOUS_IPS', origin.ip)

  3. Gunakan perintah berikut untuk mengaitkan BACKEND_POLICY_1 dengan BACKEND_SERVICE_1:

     gcloud compute backend-services update BACKEND_SERVICE_1 \
     --security-policy BACKEND_POLICY_1

  4. Buat kebijakan keamanan backend kedua yang bernama BACKEND_POLICY_2.

  5. Tambahkan aturan deny ke BACKEND_POLICY_2 dengan kondisi kecocokan berikut, yang memblokir semua alamat IP di MALICIOUS_IPS kecuali 66.249.77.32/27 dan 66.249.77.64/27:

    evaluateOrganizationAddressGroup('MALICIOUS_IPS', origin.ip, [`66.249.77.32/27`, `66.249.77.64/27`])

  6. Gunakan perintah berikut untuk mengaitkan BACKEND_POLICY_2 dengan BACKEND_SERVICE_2. Ganti ORG_ID dengan ID organisasi Anda:

     gcloud compute backend-services update BACKEND_SERVICE_2 \
     --security-policy BACKEND_POLICY_2

Menggunakan grup alamat guna mencocokkan alamat IP pengguna untuk semua layanan backend di organisasi

Untuk contoh ini, bayangkan Anda memiliki grup alamat IP bernama MALICIOUS_IPS dengan 10.000 alamat IP yang Anda ketahui bersifat berbahaya. Selain itu, Anda menggunakan proxy upstream, yang menyertakan informasi tentang alamat IP klien asal di header. Anda dapat menolak semua alamat IP ini mengakses semua layanan backend di organisasi Anda menggunakan satu aturan kebijakan keamanan deny dengan kondisi kecocokan berikut:

evaluateOrganizationAddressGroup('MALICIOUS_IPS', origin.user_ip)

Untuk mengetahui informasi selengkapnya tentang alamat IP, lihat Atribut.

Untuk mengetahui informasi selengkapnya tentang alamat IP pengguna, lihat Ringkasan alamat IP pengguna.

Langkah berikutnya