Grupos de endereços para políticas de firewall (original) (raw)
Um grupo de endereços contém vários endereços IP, intervalos de endereços IP no formato CIDR, ou ambos. Cada grupo de endereços pode ser usado por diversos recursos, como regras em políticas de firewall do Cloud NGFW ou regras em políticas de segurança do Cloud Armor.
As atualizações em um grupo de endereços são automaticamente propagadas para os recursos que o referenciam. Por exemplo, é possível criar um grupo de endereços com um conjunto de endereços IP confiáveis. Para alterar o conjunto de endereços IP confiáveis, basta atualizar o grupo de endereços. As atualizações que você fizer no grupo de endereços serão aplicadas automaticamente a todos os recursos associados.
Especificações
Os recursos de um grupo de endereços apresentam as seguintes características:
- Cada grupo de endereços é identificado por um URL exclusivo com os seguintes elementos:
- Tipo de contêiner: determina o tipo do grupo de endereços, que pode ser
organizationouproject. - ID do contêiner: identificação da organização ou do projeto.
- Localização: especifica se o grupo de endereços é um recurso
globalou regional (comoeurope-west). - Nome: é o nome do grupo de endereços no seguinte formato:
* Uma string de 1 a 63 caracteres
* Contém apenas caracteres alfanuméricos
* Não pode começar com um número
- Tipo de contêiner: determina o tipo do grupo de endereços, que pode ser
- É possível criar um identificador de URL exclusivo para um grupo de endereços usando este formato:
<containerType>/<containerId>/locations/<location>/addressGroups/<address-group-name> Por exemplo, o grupo de endereços example-address-group, que é global, do projetomyproject tem o seguinte identificador exclusivo composto por quatro elementos:
projects/myproject/locations/global/addressGroups/example-address-group - Cada grupo de endereços tem um tipo associado, que deve ser IPv4 ou IPv6, mas não ambos. O tipo do grupo de endereços não pode ser alterado posteriormente.
- Cada endereço IP ou intervalo de IP em um grupo de endereços é conhecido como item. A quantidade de itens que você pode adicionar a um grupo de endereços depende da capacidade do grupo. É possível definir a capacidade de itens durante a criação do grupo de endereços. Entretanto, essa capacidade não pode ser alterada posteriormente. A capacidade máxima que você pode configurar para um grupo de endereços varia conforme o produto com o qual o grupo é usado.
- Você deve especificar a capacidade e o tipo ao criar um grupo de endereços. Além disso, ao usar o Cloud Armor, é necessário definir o campo
purposecomoCLOUD_ARMOR. - Quando um grupo de endereços é criado com uma finalidade diferente de
CLOUD_ARMOR, a capacidade máxima será de 1.000 endereços IP.
Os grupos de endereços são classificados com base no escopo. Esse escopo determina o nível de aplicação do grupo de endereços nahierarquia de recursos. Existem dois tipos de grupos de endereços:
Um grupo de endereços pode ter o escopo do projeto ou da organização, mas não ambos.
Grupos de endereços com escopo de projeto
Use grupos de endereços com escopo de projeto para definir sua própria lista de endereços IP a ser usada em um projeto ou rede, com o objetivo de bloquear ou permitir endereços IP variáveis. Por exemplo, se desejar configurar uma lista personalizada de inteligência de ameaças e incluí-la em uma regra, crie um grupo de endereços contendo os endereços IP necessários.
Para grupos de endereços com escopo de projeto, o tipo de contêiner é sempre definido como project. Para mais informações sobre como criar e modificar grupos de endereços com escopo de projeto, confira Usar grupos de endereços com escopo de projeto.
Grupos de endereços com escopo de organização
Use grupos de endereços com escopo de organização para definir uma lista central de endereços IP que podem ser usados por regras de alto nível, garantindo controle consistente para toda a organização e reduzindo o overhead de manutenção de listas comuns por cada rede ou proprietário do projeto, como serviços confiáveis e endereços IP internos.
Para grupos de endereços com escopo de organização, o tipo de contêiner é sempre definido comoorganization. Para mais informações sobre como criar e modificar grupos de endereços no escopo da organização, consulte Usar grupos de endereços com escopo da organização.
Papéis IAM
Para criar e gerenciar um grupo de endereços, é necessário ter o papel Administrador de rede do Compute (roles/compute.networkAdmin). Você também pode definir um perfil personalizado com um conjunto equivalente de permissões.
A tabela a seguir apresenta as permissões do Identity and Access Management (IAM) necessárias para executar tarefas em grupos de endereços.
| Tarefa | Nome do papel do IAM | Permissões do IAM |
|---|---|---|
| Criar e gerenciar grupos de endereços | Administrador de rede do Compute (roles/compute.networkAdmin) | networksecurity.addressGroups.* |
| Descobrir e visualizar grupos de endereços | Usuário da rede do Compute (roles/compute.networkUser) | networksecurity.addressGroups.list networksecurity.addressGroups.get networksecurity.addressGroups.use |
Para mais informações sobre quais papéis incluem permissões específicas do IAM, confira o índice de papéis e permissões do IAM.
Como os grupos de endereços funcionam com as políticas de firewall
Os grupos de endereços simplificam a configuração e a manutenção de políticas de firewall. É possível compartilhar os endereços IP entre as políticas de firewall e definir políticas de firewall mais complexas, consistentes e robustas para sua rede, com sobrecarga de manutenção reduzida. Considere as seguintes especificações adicionais ao usar grupos de endereços com políticas de firewall:
- A capacidade de um grupo de endereços é adicionada à contagem total de atributos da política de firewall em que o grupo de endereços é usado. Defina a capacidade com um valor apropriado com base no seu caso de uso.
- Se não houver um grupo de endereços adicionado à regra de política de firewall, o filtro de grupo de endereços será removido da regra. Para informações sobre como os grupos de endereços de origem funcionam com outros filtros de origem nas regras de entrada, consulte Origens para regras de entrada em políticas hierárquicas de firewalle Origens para regras de entrada em políticas de firewall de rede. Para informações sobre como os grupos de endereços de destino funcionam com outros filtros de destino nas regras de saída, consulte Destinos para regras de saída.
- Os grupos de endereços com escopo da organização podem ser usados em políticas hierárquicas de firewall,políticas de firewall de rede globale políticas de firewall da rede regional. Os grupos de endereços com escopo do projeto só podem ser usados em políticas de firewall de rede global e políticas de firewall de rede regional.
- Para grupos de endereços com escopo de projeto e de organização, o local do grupo de endereços precisa corresponder ao local da política de firewall.