Adressgruppen – Übersicht

Eine Adressgruppe enthält mehrere IP-Adressen, IP-Adressbereiche im CIDR-Format oder beides. Jede Adressgruppe kann von mehreren Ressourcen verwendet werden, z. B. Regeln in Cloud NGFW-Firewallrichtlinien oder Regeln in Cloud Armor-Sicherheitsrichtlinien.

Aktualisierungen einer Adressgruppe werden automatisch an die Ressourcen weitergegeben, die auf die Adressgruppe verweisen. Sie können beispielsweise eine Adressgruppe erstellen, die eine Reihe vertrauenswürdiger IP-Adressen enthält. Wenn Sie den Satz vertrauenswürdiger IP-Adressen ändern möchten, aktualisieren Sie die Adressgruppe. Die Aktualisierungen der Adressgruppe werden automatisch in jeder zugehörigen Ressource übernommen.

Spezifikationen

Adressgruppenressourcen haben die folgenden Eigenschaften:

• Jede Adressgruppe wird eindeutig durch eine URL mit den folgenden Elementen:
  • Containertyp : Bestimmt den Adressgruppentyp: organization oder project.
  • Container-ID: ID der Organisation oder des Projekts.
  • Standort: Gibt an, ob die Adressengruppe eine global oder eine regionale Ressource ist (z. B. europe-west).
  • Name:Der Name der Adressgruppe im folgenden Format:
    • Ein String mit 1 bis 63 Zeichen
    • Enthält nur alphanumerische Zeichen
    • Darf nicht mit einer Ziffer beginnen

• Sie können eine eindeutige URL-ID für eine Adressgruppe im folgenden Format erstellen:

  <containerType>/<containerId>/locations/<location>/addressGroups/<address-group-name>
  

  Eine global Adressgruppe example-address-group im Projekt myproject hat beispielsweise die folgende eindeutige 4-Tupel-ID:

  projects/myproject/locations/global/addressGroups/example-address-group
  

• Jede Adressgruppe hat einen zugehörigen Typ, der entweder IPv4 oder IPv6 sein kann, aber nicht beides. Der Adressgruppentyp kann später nicht mehr geändert werden.

• Jede IP-Adresse oder jeder IP-Bereich in einer Adressgruppe wird als Element bezeichnet. Die Anzahl der Elemente, die Sie einer Adressgruppe hinzufügen können, hängt von der Kapazität der Adressgruppe ab. Sie können die Elementkapazität beim Erstellen der Adress gruppe definieren. Diese Kapazität kann später nicht mehr geändert werden. Die maximale Kapazität, die Sie für eine Adressgruppe konfigurieren können, variiert je nach Produkt, mit dem Sie die Adressgruppe verwenden.

• Sie müssen die Kapazität und den Typ angeben, wenn Sie eine Adressgruppe erstellen. Wenn Sie Cloud Armor verwenden, müssen Sie außerdem das Feld purpose auf CLOUD_ARMOR setzen.

• Wenn Sie eine Adressgruppe mit einem Zweck erstellen, der nicht CLOUD_ARMOR ist,hat die Adressgruppe eine maximale Kapazität von 1.000 IP-Adressen.

Arten von Adressgruppen

Adressgruppen werden nach ihrem Bereich klassifiziert. Der Bereich gibt die Ebene an, auf der die Adressgruppe in der Ressourcenhierarchie gilt. Adressgruppen werden in die folgenden Typen unterteilt:

• Projektbezogene Adressgruppen
• Adressgruppen auf Organisationsebene

Eine Adressgruppe kann entweder projektbezogen oder organisationsbezogen sein, aber nicht beides.

Projektbezogene Adressgruppen

Verwenden Sie projektbezogene Adressgruppen, wenn Sie eine eigene Liste von IP-Adressen definieren möchten, die in einem Projekt oder Netzwerk verwendet werden soll, um eine Liste sich ändernder IP-Adressen zu blockieren oder zuzulassen. Wenn Sie beispielsweise eine eigene Liste mit Informationen zu Bedrohungen definieren und sie einer Regel hinzufügen möchten, erstellen Sie eine Adressgruppe mit den erforderlichen IP-Adressen.

Der Containertyp für projektbezogene Adressgruppen ist immer auf project gesetzt. Weitere Informationen zum Erstellen und Ändern projektbezogener Adressgruppen finden Sie unter Projektbezogene Adressgruppen verwenden.

Adressgruppen auf Organisationsebene

Verwenden Sie organisationsbezogene Adressgruppen, wenn Sie eine zentrale Liste von IP-Adressen definieren möchten, die in übergeordneten Regeln verwendet werden können. Damit erhalten Sie eine konsistente Kontrolle für die gesamte Organisation und können den Aufwand für einzelne Netzwerk- und Projektinhaber reduzieren, allgemeine Listen wie vertrauenswürdige Dienste und interne IP-Adressen zu verwalten.

Der Containertyp für organisationsbezogene Adressgruppen ist immer auf organization gesetzt. Weitere Informationen zum Erstellen und Ändern organisationsbezogener Adressgruppen finden Sie unter Adressgruppen auf Organisationsebene verwenden.

Funktionsweise von Adressgruppen mit Sicherheitsrichtlinien

Adressgruppen vereinfachen die Konfiguration und Wartung von Sicherheitsrichtlinien, da Sie jede Liste von IP-Adressen in vielen Sicherheitsrichtlinien freigeben können. Beachten Sie die folgenden zusätzlichen Spezifikationen, wenn Sie Adressgruppen mit Sicherheitsrichtlinien verwenden:

• Adressgruppen sind nur für globale Backend-Sicherheitsrichtlinien verfügbar.
• Adressgruppen auf Organisationsebene sind sowohl für Sicherheitsrichtlinien auf Dienstebene als auch für hierarchische Sicherheitsrichtlinien verfügbar.
• Die Kapazität einer Adressgruppe wird der Gesamtzahl der Attribute der Sicherheitsrichtlinie hinzugefügt, in der die Adressgruppe verwendet wird. Legen Sie die Kapazität entsprechend Ihrem Anwendungsfall auf einen geeigneten Wert fest.
• Wenn Sie Adressgruppen verwenden möchten, muss Ihr Projekt für Google Cloud Armor Enterprise registriert sein. Wenn Sie auf die Standardabrechnung herabstufen, können Sie keine neuen Adressgruppen erstellen oder vorhandene Adressgruppen ändern. Außerdem können Sie keine Regeln erstellen, die auf eine vorhandene Adressgruppe verweisen, und Ihre Sicherheitsrichtlinien, die auf Adressgruppen verweisen, werden eingefroren. Das bedeutet, dass sie weiterhin aktiv sind, Sie sie aber erst ändern können, wenn Sie alle Regeln gelöscht haben, die auf eine Adressgruppe verweisen.

Wir empfehlen, die Kontingente und Limits für Adressgruppen zu prüfen.

Neben der Konfiguration von Adressgruppen auf Organisationsebene für Ihre Backend-Sicherheitsrichtlinien können Sie auch Adressgruppen auf Organisationsebene für Ihre hierarchischen Sicherheitsrichtlinien konfigurieren. Sie können projektbezogene Adressgruppen in keiner Sicherheitsrichtlinie außerhalb des Projekts verwenden, in dem sie vorhanden sind. Adressgruppen auf Organisationsebene können jedoch für Sicherheitsrichtlinien in Ihrer gesamten Organisation freigegeben werden. Daher sind Adressgruppen auf Organisationsebene mit Sicherheitsrichtlinien besonders hilfreich, wenn Sie sie mit hierarchischen Sicherheitsrichtlinien verwenden. Weitere Informationen zu hierarchischen Sicherheitsrichtlinien finden Sie unter der Übersicht über hierarchische Sicherheitsrichtlinien.

Beispiele

Die folgenden Beispiele veranschaulichen, wie Sie Adressgruppen verwenden können, um Sicherheitsrichtlinien zu konfigurieren:

• Angenommen, Sie haben eine Netzwerkkonfiguration mit drei Backend-Diensten, von denen jeder eine Sicherheitsrichtlinie hat. Außerdem haben Sie eine Liste von IP-Adressen, die bekanntermaßen schädlich sind. Wenn Sie in jeder Sicherheitsrichtlinie eine deny-Regel erstellen, können Sie eine Adressgruppe erstellen und sie mit allen drei Sicherheitsrichtlinien verwenden, anstatt die Liste der IP-Adressen jeder Sicherheitsrichtlinie hinzuzufügen. Wenn Sie dann eine neue Sicherheitsrichtlinie erstellen, können Sie die Adressgruppe wieder verwenden, um neue Regeln zu erstellen.
• Angenommen, Sie haben eine Organisation mit vielen Projekten, die in Ordnern gruppiert sind, und Sie haben drei Listen von IP-Adressen, die jeweils nur auf einige dieser Ordner zugreifen müssen. Sie können drei Adressgruppen auf Organisationsebene erstellen, eine für jede Liste von IP-Adressen, und dann drei hierarchische Sicherheitsrichtlinien erstellen. Sie können jeder hierarchischen Sicherheitsrichtlinie eine allow-Regel geben, die mit einer der drei Adressgruppen übereinstimmt, und dann die hierarchische Sicherheitsrichtlinie mit jedem Ordner verknüpfen, auf den die zulässige Adressgruppe zugreifen muss.

Nächste Schritte

• Adressgruppen konfigurieren.