Un gruppo di indirizzi contiene più indirizzi IP, intervalli di indirizzi IP in formato CIDR o entrambi. Ogni gruppo di indirizzi può essere utilizzato da più risorse, ad esempio regole nelle policy firewall Cloud NGFW o regole nelle policy di sicurezza Cloud Armor.
Gli aggiornamenti a un gruppo di indirizzi vengono propagati automaticamente alle risorse che fanno riferimento al gruppo di indirizzi. Ad esempio, puoi creare un gruppo di indirizzi contenente un insieme di indirizzi IP attendibili. Per modificare l'insieme di indirizzi IP attendibili, devi aggiornare il gruppo di indirizzi. Gli aggiornamenti al gruppo di indirizzi vengono riflessi automaticamente in ogni risorsa associata.
Specifiche
Le risorse dei gruppi di indirizzi hanno le seguenti caratteristiche:
- Ogni gruppo di indirizzi è identificato in modo univoco da un URL con i seguenti elementi:
- Tipo di container: determina il tipo di gruppo di indirizzi:
organizationoproject. - ID container: ID dell'organizzazione o del progetto.
- Località: specifica se il gruppo di indirizzi è una risorsa
globalo una risorsa di regione (ad esempioeurope-west). - Nome: il nome del gruppo di indirizzi nel seguente formato:
- Una stringa di lunghezza compresa tra 1 e 63 caratteri
- Include solo caratteri alfanumerici
- Non può iniziare con un numero
- Tipo di container: determina il tipo di gruppo di indirizzi:
Puoi creare un identificatore URL univoco per un gruppo di indirizzi nel seguente formato:
<containerType>/<containerId>/locations/<location>/addressGroups/<address-group-name>Ad esempio, un gruppo di indirizzi
globalexample-address-groupnel progettomyprojectha il seguente identificatore univoco a 4 tuple:projects/myproject/locations/global/addressGroups/example-address-groupOgni gruppo di indirizzi ha un tipo associato che può essere IPv4 o IPv6, ma non entrambi. Il tipo di gruppo di indirizzi non può essere modificato in un secondo momento.
Ogni indirizzo IP o intervallo IP in un gruppo di indirizzi è chiamato elemento. Il numero di elementi che puoi aggiungere a un gruppo di indirizzi dipende dalla capacità del gruppo di indirizzi. Puoi definire la capacità degli elementi durante la creazione del gruppo di indirizzi. Questa capacità non può essere modificata in un secondo momento. La capacità massima che puoi configurare per un gruppo di indirizzi varia a seconda del prodotto con cui utilizzi il gruppo di indirizzi.
Quando crei un gruppo di indirizzi, devi specificare la capacità e il tipo. Inoltre, quando utilizzi Cloud Armor, devi impostare il campo
purposesuCLOUD_ARMOR.Quando crei un gruppo di indirizzi con uno scopo diverso da
CLOUD_ARMOR, il gruppo di indirizzi ha una capacità massima di 1000 indirizzi IP.
Tipi di gruppi di indirizzi
I gruppi di indirizzi vengono classificati in base all'ambito. L'ambito identifica il livello a cui si applica il gruppo di indirizzi nella gerarchia delle risorse. I gruppi di indirizzi sono suddivisi nei seguenti tipi:
- Gruppi di indirizzi con ambito a livello di progetto
- Gruppi di indirizzi con ambito a livello di organizzazione
Un gruppo di indirizzi può avere un ambito a livello di progetto o di organizzazione, ma non entrambi.
Gruppi di indirizzi con ambito a livello di progetto
Utilizza i gruppi di indirizzi con ambito a livello di progetto quando vuoi definire un tuo elenco di indirizzi IP da utilizzare all'interno di un progetto o di una rete per bloccare o consentire un elenco di indirizzi IP che può mutare. Ad esempio, se vuoi definire un tuo elenco di threat intelligence e aggiungerlo a una regola, crea un gruppo di indirizzi con gli indirizzi IP richiesti.
Il tipo di container per i gruppi di indirizzi con ambito a livello di progetto è sempre impostato suproject. Per saperne di più su come creare e modificare gruppi di indirizzi con ambito a livello di progetto, consulta Utilizza gruppi di indirizzi con ambito a livello di progetto.
Gruppi di indirizzi con ambito a livello di organizzazione
Utilizza i gruppi di indirizzi con ambito a livello di organizzazione quando vuoi definire un elenco centrale di indirizzi IP che possono essere utilizzati in regole di alto livello per fornire un controllo coerente per l'intera organizzazione e ridurre l'overhead per i singoli proprietari di reti e progetti in modo da mantenere elenchi comuni, come servizi attendibili e indirizzi IP interni.Il tipo di container per i gruppi di indirizzi con ambito a livello di organizzazione è sempre impostato su organization. Per saperne di più su come creare e modificare gruppi di indirizzi con ambito a livello di organizzazione, consulta Utilizza gruppi di indirizzi con ambito a livello di organizzazione.
Ruoli IAM
Per creare e gestire un gruppo di indirizzi, devi disporre del ruolo Compute Network Admin (roles/compute.networkAdmin). Puoi anche definire un ruolo personalizzato con un set equivalente di autorizzazioni.
La seguente tabella fornisce un elenco delle autorizzazioni Identity and Access Management (IAM) necessarie per eseguire un insieme di attività sui gruppi di indirizzi.
| Attività | Nome del ruolo IAM | Autorizzazioni IAM |
|---|---|---|
| Creare e gestire |
Compute Network Admin |
networksecurity.addressGroups.* |
| Scoprire e visualizzare |
Compute Network User |
networksecurity.addressGroups.list networksecurity.addressGroups.get networksecurity.addressGroups.use |
Per saperne di più sui ruoli che includono autorizzazioni IAM specifiche, consulta l'indice di ruoli e autorizzazioni IAM.
Come funzionano i gruppi di indirizzi con i criteri firewall
I gruppi di indirizzi semplificano la configurazione e la manutenzione delle policy firewall. Puoi condividere gli indirizzi IP tra le policy firewall e definire policy firewall più complesse, coerenti e robuste per la tua rete con un overhead di manutenzione ridotto. Quando utilizzi i gruppi di indirizzi con le policy firewall, tieni presenti le seguenti specifiche aggiuntive:
La capacità di un gruppo di indirizzi viene aggiunta al conteggio totale degli attributi della policy del firewall in cui viene utilizzato il gruppo di indirizzi. Assicurati di impostare la capacità su un valore appropriato in base al tuo caso d'uso.
Se un gruppo di indirizzi aggiunto alla regola dei criteri firewall non esiste, il filtro del gruppo di indirizzi viene rimosso dalla regola. Per informazioni su come i gruppi di indirizzi di origine funzionano con altri filtri di origine nelle regole in entrata, consulta Origini per le regole in entrata nelle policy firewall gerarchiche e Origini per le regole in entrata nelle policy firewall di rete. Per informazioni su come funzionano i gruppi di indirizzi di destinazione con altri filtri di destinazione nelle regole in uscita, consulta Destinazioni per le regole in uscita.
I gruppi di indirizzi con ambito a livello di organizzazione possono essere utilizzati nei criteri firewall gerarchici, nei criteri firewall di rete globali e nei criteri firewall di rete regionali. I gruppi di indirizzi con ambito a livello di progetto possono essere utilizzati solo nei criteri firewall di rete globali e nei criteri firewall di rete regionali.
Per i gruppi di indirizzi con ambito a livello di progetto e di organizzazione, la località del gruppo di indirizzi deve corrispondere a quella della policy firewall.
Passaggi successivi
- Utilizzare i gruppi di indirizzi
- Componenti delle regole dei criteri firewall
- Google Threat Intelligence per le regole dei criteri firewall
- Oggetti nome di dominio completo