Grup alamat untuk kebijakan firewall

Grup alamat berisi beberapa alamat IP, rentang alamat IP dalam format CIDR, atau keduanya. Setiap grup alamat dapat digunakan oleh beberapa resource, seperti aturan dalam kebijakan firewall Cloud NGFW atau aturan dalam kebijakan keamanan Cloud Armor.

Perubahan pada grup alamat akan otomatis diterapkan ke resource yang mereferensikan grup alamat tersebut. Misalnya, Anda dapat membuat grup alamat yang berisi sekumpulan alamat IP tepercaya. Untuk mengubah kumpulan alamat IP tepercaya, Anda harus memperbarui grup alamat. Perubahan yang Anda lakukan pada grup alamat akan otomatis tercermin di setiap resource terkait.

Spesifikasi

Resource grup alamat memiliki karakteristik berikut:

• Setiap grup alamat diidentifikasi secara unik oleh URL dengan elemen berikut:
  • Jenis penampung: Menentukan jenis grup alamat—organization atau project.
  • ID Container: ID organisasi atau project.
  • Lokasi: Menentukan apakah grup alamat adalah resource global atau regional (seperti europe-west).
  • Nama: Nama grup alamat dengan format berikut:
    • String sepanjang 1-63 karakter
    • Hanya berisi karakter alfanumerik
    • Tidak boleh diawali dengan angka

• Anda dapat membuat ID URL unik untuk grup alamat dalam format berikut:

  <containerType>/<containerId>/locations/<location>/addressGroups/<address-group-name>
  

  Misalnya, grup alamat global example-address-group dalam project myprojectmemiliki ID 4-tuple unik berikut:

  projects/myproject/locations/global/addressGroups/example-address-group
  

• Setiap grup alamat memiliki jenis terkait yang dapat berupa IPv4 atau IPv6, tetapi tidak keduanya. Jenis grup alamat tidak dapat diubah nanti.

• Setiap alamat IP atau rentang IP dalam grup alamat disebut sebagai item. Jumlah item yang dapat Anda tambahkan ke grup alamat bergantung pada kapasitas grup alamat. Anda dapat menentukan kapasitas item selama pembuatan grup alamat. Kapasitas ini tidak dapat diubah nanti. Kapasitas maksimum yang dapat Anda konfigurasi untuk grup alamat bervariasi bergantung pada produk yang Anda gunakan dengan grup alamat tersebut.

• Anda harus menentukan kapasitas dan jenis saat membuat grup alamat. Selain itu, saat menggunakan Cloud Armor, Anda harus menetapkan kolom purpose ke CLOUD_ARMOR.

• Saat Anda membuat grup alamat dengan tujuan yang bukan CLOUD_ARMOR, grup alamat memiliki kapasitas maksimum 1.000 alamat IP.

Jenis grup alamat

Grup alamat diklasifikasikan berdasarkan cakupannya. Cakupan mengidentifikasi tingkat penerapan grup alamat dalam hierarki resource. Grup alamat dikategorikan ke dalam jenis berikut:

• Grup alamat lingkup project
• Grup alamat lingkup organisasi

Grup alamat dapat berlaku lingkup project atau lingkup organisasi, tetapi tidak keduanya.

Grup alamat lingkup project

Gunakan grup alamat lingkup project jika Anda ingin menentukan daftar alamat IP Anda sendiri yang akan digunakan dalam project atau jaringan untuk memblokir atau mengizinkan daftar alamat IP yang berubah. Misalnya, jika Anda ingin menentukan daftar kecerdasan ancaman sendiri dan menambahkannya ke aturan, buat grup alamat dengan alamat IP yang diperlukan.

Grup alamat lingkup organisasi

Jenis container untuk grup alamat lingkup organisasi selalu ditetapkan ke organization. Untuk mengetahui informasi selengkapnya tentang cara membuat dan mengubah grup alamat lingkup organisasi, lihat Menggunakan grup alamat lingkup organisasi.

Peran IAM

Untuk membuat dan mengelola grup alamat, Anda memerlukan peran Admin Jaringan Compute (roles/compute.networkAdmin). Anda juga dapat menentukan peran khusus dengan serangkaian izin yang setara.

Tabel berikut berisi daftar izin Identity and Access Management (IAM) yang diperlukan untuk melakukan serangkaian tugas pada grup alamat.

networksecurity.addressGroups.*

networksecurity.addressGroups.list
networksecurity.addressGroups.get
networksecurity.addressGroups.use

Untuk mengetahui informasi selengkapnya tentang peran yang mencakup izin IAM tertentu, lihat indeks izin dan peran IAM.

Cara kerja grup alamat dengan kebijakan firewall

Grup alamat menyederhanakan konfigurasi dan pemeliharaan kebijakan firewall. Anda dapat membagikan alamat IP di seluruh kebijakan firewall dan menentukan kebijakan firewall yang lebih kompleks, konsisten, dan andal untuk jaringan Anda dengan mengurangi overhead pemeliharaan. Pertimbangkan spesifikasi tambahan berikut saat Anda menggunakan grup alamat dengan kebijakan firewall:

• Kapasitas grup alamat ditambahkan ke jumlah total atribut kebijakan firewall tempat grup alamat digunakan. Pastikan Anda menetapkan kapasitas ke nilai yang sesuai berdasarkan kasus penggunaan Anda.

• Jika grup alamat yang ditambahkan ke aturan kebijakan firewall tidak ada, filter grup alamat akan dihapus dari aturan. Untuk mengetahui informasi tentang cara kerja grup alamat sumber dengan filter sumber lainnya dalam aturan ingress, lihat Sumber untuk aturan ingress dalam kebijakan firewall hierarkis dan Sumber untuk aturan ingress dalam kebijakan firewall jaringan. Untuk mengetahui informasi tentang cara kerja grup alamat tujuan dengan filter tujuan lainnya dalam aturan egress, lihat Tujuan untuk aturan egress.

• Grup alamat cakupan organisasi dapat digunakan dalam kebijakan firewall hierarkis, kebijakan firewall jaringan global, dan kebijakan firewall jaringan regional. Grup alamat cakupan project hanya dapat digunakan dalam kebijakan firewall jaringan global dan kebijakan firewall jaringan regional.

• Untuk grup alamat lingkup project dan lingkup organisasi, lokasi grup alamat harus cocok dengan lokasi kebijakan firewall.

Langkah berikutnya

• Menggunakan grup alamat
• Komponen aturan kebijakan firewall
• Google Threat Intelligence untuk aturan kebijakan firewall
• Objek nama domain yang sepenuhnya memenuhi syarat