Adressgruppen konfigurieren

Mit Adressgruppen können Sie mehrere IP-Adressen und IP-Adressbereiche in einer einzigen benannten logischen Einheit kombinieren, die Sie in mehreren Produkten verwenden können. In diesem Dokument wird beschrieben, wie Sie Adressgruppen mit Google Cloud Armor-Sicherheitsrichtlinien verwenden. Sie benötigen ein aktives Google Cloud Armor Enterprise-Abo, um Adressgruppen verwenden zu können.

Hinweise

Bevor Sie Adressgruppen konfigurieren, müssen Sie zuerst die Network Security API networksecurity.googleapis.com aktivieren.

IAM-Rollen

Zum Erstellen und Verwalten einer Adressgruppe benötigen Sie die Rolle „Compute Network Admin“ (roles/compute.networkAdmin). Sie können auch eine benutzerdefinierte Rolle mit einem entsprechenden Satz von Berechtigungen definieren.

In der folgenden Tabelle finden Sie eine Liste der IAM-Berechtigungen (Identity and Access Management), die zum Ausführen bestimmter Aufgaben für Adressgruppen erforderlich sind.

Aufgabe Name der IAM-Rolle IAM-Berechtigungen
Adressgruppen erstellen und verwalten Compute-Netzwerkadminstrator (roles/compute.networkAdmin) networksecurity.addressGroups.*
Adressgruppen finden und ansehen Compute Netzwerknutzer (roles/compute.networkUser) networksecurity.addressGroups.list

networksecurity.addressGroups.get

networksecurity.addressGroups.use

Weitere Informationen dazu, welche Rollen bestimmte IAM-Berechtigungen enthalten, finden Sie im Index für IAM-Rollen und -Berechtigungen.

Projektbezogene Adressgruppen verwenden

In den folgenden Abschnitten wird beschrieben, wie Sie adressenbezogene Gruppen auf Projektebene erstellen und ändern und wie Sie sie mit Ihren Sicherheitsrichtlinien verwenden.

Projektbezogene Adressgruppen erstellen oder ändern

In den folgenden Abschnitten wird erläutert, wie Sie projektbezogene Adressgruppen erstellen, Adressen zu projektbezogenen Adressgruppen hinzufügen und daraus entfernen und projektbezogene Adressgruppen löschen.

Projektbezogene Adressgruppe erstellen

Wenn Sie eine Adressgruppe erstellen, müssen Sie ihre Kapazität und IP-Adressversion mit den Flags --capacity bzw. --type angeben. Nachdem Sie die Adressgruppe erstellt haben, können Sie diese Werte nicht mehr ändern.

Außerdem kann die maximale Kapazität für Google Cloud Armor höher sein als die maximale Kapazität für andere Produkte wie die Cloud Firewall der nächsten Generation. Wenn Sie dieselbe Adressgruppe für mehrere Produkte verwenden möchten, müssen Sie die Kapazität auf den niedrigsten Wert der maximalen Kapazität für diese Produkte festlegen.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Adressgruppen auf.

    Zu „Adressgruppen“

  2. Wählen Sie im Menü „Projektauswahl“ Ihr Projekt aus, sofern verfügbar.
  3. Klicken Sie auf Adressengruppe erstellen.
  4. Geben Sie im Feld Name einen Namen ein.
  5. Optional: Fügen Sie im Feld Beschreibung eine Beschreibung hinzu.
  6. Wählen Sie unter Umfang die Option Global aus.
  7. Wählen Sie unter Typ die Option IPv4 oder IPv6 aus.

  8. Wählen Sie als Zweck die Option Cloud Armor aus. Alternativ können Sie auch Firewall und Cloud Armor auswählen, wenn Sie die Adressgruppe auch mit Cloud Next Generation Firewall-Richtlinien verwenden möchten.

    Weitere Informationen zur Auswahl eines Zwecks finden Sie in der Spezifikation für Adressgruppen.

  9. Geben Sie im Feld Capacity (Kapazität) die Kapazität der Adressgruppe ein.

  10. Geben Sie im Feld IP-Adressen die IP-Adressen oder IP-Bereiche ein, die Sie durch Kommas getrennt in die Adressgruppe aufnehmen möchten. Beispiel: 1.1.1.0/24,1.2.0.0

    Die Anzahl der IP-Adressen oder ‑Bereiche darf die konfigurierte Kapazität nicht überschreiten.

  11. Klicken Sie auf Erstellen.

gcloud

Verwenden Sie das folgende Beispiel für den gcloud network-security address-groups create-Befehl,um eine Adressgruppe mit dem Namen GROUP_NAME mit einer Kapazität von 1.000 IPv4-Adressen zu erstellen, die sowohl mit Google Cloud Armor als auch mit Cloud NGFW verwendet werden kann:

 gcloud network-security address-groups create GROUP_NAME \
     --location global \
     --description  "address group description" \
     --capacity 1000 \
     --type IPv4 \
     --purpose DEFAULT,CLOUD_ARMOR

Alternativ können Sie eine Adressgruppe mit einer größeren Kapazität erstellen, indem Sie den Zweck ausschließlich auf CLOUD_ARMOR festlegen. Im folgenden Beispiel erstellen Sie eine Adressgruppe mit einer Kapazität von 10.000 IPv6-IP-Adressbereichen:

 gcloud network-security address-groups create GROUP_NAME \
     --location global \
     --description  "address group description" \
     --capacity 10000 \
     --type IPv6 \
     --purpose CLOUD_ARMOR

Einer projektbezogenen Adressgruppe Elemente hinzufügen

Nachdem Sie eine Adressgruppe erstellt haben, können Sie Elemente über die Google Cloud -Konsole oder mit dem gcloud network-security address-groups add-items-Befehl hinzufügen.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Adressgruppen auf.

    Zu „Adressgruppen“

  2. Wählen Sie im Menü „Projektauswahl“ Ihr Projekt aus, sofern verfügbar.
  3. Wenn Sie eine Adressgruppe bearbeiten möchten, klicken Sie auf den Namen der Adressgruppe.
  4. Klicken Sie auf Bearbeiten.
  5. Fügen Sie dem Feld IP-Adressen die neuen Elemente zur durch Kommas getrennten Liste von IP-Adressen hinzu. Alternativ können Sie auf Adressen importieren klicken, um eine CSV-Datei mit einer Liste von IP-Adressen hochzuladen.
  6. Klicken Sie auf Speichern.

gcloud

Im folgenden Beispiel fügen Sie der Adressgruppe GROUP_NAME die IP-Adressen 192.168.1.2, 192.168.1.8 und 192.168.1.9 hinzu. Sie geben eine durch Kommas getrennte Liste von Elementen mit dem Flag --item an:

 gcloud network-security address-groups add-items GROUP_NAME \
     --location global \
     --items 192.168.1.2,192.168.1.8,192.168.1.9

Elemente aus einer projektbezogenen Adressgruppe entfernen

Sie können Elemente aus einer Adressgruppe über die Google Cloud Konsole oder mit dem gcloud network-security address-groups remove-items-Befehl entfernen.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Adressgruppen auf.

    Zu „Adressgruppen“

  2. Wählen Sie im Menü „Projektauswahl“ Ihr Projekt aus, sofern verfügbar.
  3. Wenn Sie eine Adressgruppe bearbeiten möchten, klicken Sie auf den Namen der Adressgruppe.
  4. Klicken Sie auf Bearbeiten.
  5. Löschen Sie im Feld IP-Adressen die Elemente, die Sie aus der durch Kommas getrennten Liste der IP-Adressen entfernen möchten.
  6. Klicken Sie auf Speichern.

gcloud

Mit dem folgenden Befehl werden die IP-Adressen 192.168.1.2, 192.168.1.8 und 192.168.1.9 entfernt, die Sie im vorherigen Befehl hinzugefügt haben:

 gcloud network-security address-groups remove-items GROUP_NAME \
     --location global \
     --items 192.168.1.2,192.168.1.8,192.168.1.9

Projektbezogene Adressgruppe löschen

Sie können eine Adressgruppe nicht löschen, wenn eine Ressource, einschließlich einer Firewallrichtlinie oder Sicherheitsrichtlinie, darauf verweist. So löschen Sie eine Adressgruppe:

Console

  1. Rufen Sie in der Google Cloud Console die Seite Adressgruppen auf.

    Zu „Adressgruppen“

  2. Wählen Sie im Menü „Projektauswahl“ Ihr Projekt aus, sofern verfügbar.
  3. Markieren Sie das Kästchen neben der Adressgruppe, die Sie löschen möchten. Achten Sie darauf, dass die ausgewählte Adressgruppe nicht von einer Firewall- oder Sicherheitsrichtlinie referenziert wird.
  4. Klicken Sie auf Löschen und dann noch einmal auf Löschen, um den Löschvorgang zu bestätigen.

gcloud

Im folgenden Beispiel wird der Befehl gcloud network-security address-groups delete verwendet, um eine Adressgruppe mit dem Namen GROUP_NAME zu löschen.

 gcloud network-security address-groups delete GROUP_NAME \
     --location global

Projektbezogene Adressgruppen mit Sicherheitsrichtlinien verwenden

Nachdem Sie eine Adressgruppe erstellt und ihr IP-Adressen hinzugefügt haben, können Sie sie mit einer vorhandenen Google Cloud Armor-Back-End-Sicherheitsrichtlinie verwenden. Die folgenden Beispiele zeigen zwei verschiedene Möglichkeiten, Adressgruppen zu verwenden.

Gruppe von IP-Adressen ablehnen

Angenommen, Sie haben eine IP-Adressgruppe namens MALICIOUS_IPS mit 10.000 IP-Adressen,die bekanntermaßen schädlich sind. Sie können alle diese IP-Adressen mit einer einzelnen deny-Regel in einer Sicherheitsrichtlinie ablehnen. Verwenden Sie dazu die folgende Abgleichsbedingung:

evaluateAddressGroup('MALICIOUS_IPS', origin.ip)

Eine Gruppe von IP-Adressbereichen in mehreren Sicherheitsrichtlinien wiederverwenden

Angenommen, Sie haben dieselbe Liste mit 10.000 IP-Adressen wie im vorherigen Beispiel, aber einige der IP-Adressen sind als Webcrawler bekannt. Sie möchten alle diese IP-Adressen für einige Backend-Dienste blockieren, aber den Webcrawlern den Zugriff auf andere Backend-Dienste erlauben, um die Suchmaschinenoptimierung (SEO) zu verbessern. Führen Sie die folgenden Schritte aus, um allen Adressen den Zugriff auf BACKEND_SERVICE_1 zu verweigern, während die IP-Adressbereiche 66.249.77.32/27 und 66.249.77.64/27 auf BACKEND_SERVICE_2 zugreifen dürfen:

  1. Erstellen Sie eine Back-End-Sicherheitsrichtlinie mit dem Namen POLICY_1 und hängen Sie sie an BACKEND_SERVICE_1 an.

  2. Erstellen Sie in POLICY_1 eine deny-Regel mit der folgenden Abgleichsbedingung:

    evaluateAddressGroup('MALICIOUS_IPS', origin.ip)

  3. Erstellen Sie eine zweite Back-End-Sicherheitsrichtlinie mit dem Namen POLICY_2 und hängen Sie sie an BACKEND_SERVICE_2 an.

  4. Erstellen Sie in POLICY_2 eine deny-Regel mit der folgenden Abgleichsbedingung, die 66.249.77.32/27 und 66.249.77.64/27 ausschließt:

    evaluateAddressGroup('MALICIOUS_IPS', origin.ip, [66.249.77.32/27, 66.249.77.64/27])

Adressgruppe für den Abgleich mit Nutzer-IP-Adressen verwenden

Wenn Sie eine Adressgruppe verwenden möchten, um die IP-Adressen des ursprünglichen Clients („Nutzer“) abzugleichen, müssen Sie userIpRequestHeaders[] in der Sicherheitsrichtlinie konfigurieren.

Unter den folgenden Bedingungen erhalten Sie die Quell-IP-Adresse der Anfrage und nicht die IP-Adresse des ursprünglichen Clients, da der Wert von origin.user_ip standardmäßig dem Wert von origin.ip entspricht:

  • Sie konfigurieren die Option userIpRequestHeaders[] nicht.
  • Die konfigurierten Header sind nicht vorhanden.
  • Die konfigurierten Headern enthalten ungültige IP-Adresswerte.

Angenommen, Sie haben eine IP-Adressgruppe namens MALICIOUS_IPS mit 10.000 IP-Adressen,die bekanntermaßen schädlich sind. Außerdem verwenden Sie einen Upstream-Proxy, der Informationen zu den ursprünglichen Clients im Header enthält. Sie können alle diese IP-Adressen mit einer einzelnen deny-Regel in einer Sicherheitsrichtlinie ablehnen. Verwenden Sie dazu die folgende Abgleichsbedingung:

evaluateAddressGroup('MALICIOUS_IPS', origin.user_ip)

Weitere Informationen zu Nutzer-IP-Adressen finden Sie unter Attribute.

Adressgruppen auf Organisationsebene verwenden

In den folgenden Abschnitten wird beschrieben, wie Sie organisationsbezogene Adressgruppen erstellen und ändern und wie Sie organisationsbezogene Adressgruppen mit Ihren Sicherheitsrichtlinien verwenden.

Adressgruppen auf Organisationsebene erstellen oder bearbeiten

Adressgruppen auf Organisationsebene können sowohl mit Sicherheitsrichtlinien auf Dienstebene als auch mit hierarchischen Sicherheitsrichtlinien verwendet werden.

In den folgenden Abschnitten wird erläutert, wie Sie adressgruppen auf Organisationsebene erstellen, Adressen zu adressgruppen auf Organisationsebene hinzufügen und daraus entfernen und adressgruppen auf Organisationsebene löschen.

Adressgruppe auf Organisationsebene erstellen

Wenn Sie eine Adressgruppe erstellen, müssen Sie ihre Kapazität und IP-Adressversion mit den Flags --capacity bzw. --type angeben. Nachdem Sie die Adressgruppe erstellt haben, können Sie diese Werte nicht mehr ändern.

Außerdem kann die maximale Kapazität für Google Cloud Armor höher sein als die maximale Kapazität für andere Produkte wie die Cloud Firewall der nächsten Generation. Wenn Sie dieselbe Adressgruppe für mehrere Produkte verwenden möchten, müssen Sie die Kapazität auf den niedrigsten Wert der maximalen Kapazität für diese Produkte festlegen.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Adressgruppen auf.

    Zu „Adressgruppen“

  2. Wählen Sie im Menü „Projektauswahl“ Ihre Organisation aus, sofern verfügbar.
  3. Klicken Sie auf Adressengruppe erstellen.
  4. Geben Sie im Feld Name einen Namen ein.
  5. Optional: Fügen Sie im Feld Beschreibung eine Beschreibung hinzu.
  6. Wählen Sie unter Umfang die Option Global aus.
  7. Wählen Sie unter Typ die Option IPv4 oder IPv6 aus.

  8. Wählen Sie als Zweck die Option Cloud Armor aus. Alternativ können Sie auch Cloud NGFW und Cloud Armor auswählen, wenn Sie die Adressgruppe auch mit Cloud Next Generation-Firewallrichtlinien verwenden möchten.

    Weitere Informationen zum Auswählen eines Zwecks für eine Adressgruppe finden Sie unter Spezifikation.

  9. Geben Sie im Feld Capacity (Kapazität) die Kapazität der Adressgruppe ein.

  10. Geben Sie im Feld IP-Adressen die IP-Adressen oder IP-Bereiche ein, die Sie durch Kommas getrennt in die Adressgruppe aufnehmen möchten. Beispiel: 1.1.1.0/24,1.2.0.0

    Die Anzahl der IP-Adressen oder ‑Bereiche darf die konfigurierte Kapazität nicht überschreiten.

  11. Klicken Sie auf Erstellen.

gcloud

Verwenden Sie das folgende Beispiel für den gcloud network-security org-address-groups create-Befehl,um eine Adressgruppe auf Organisationsebene mit dem Namen GROUP_NAME mit einer Kapazität von 1.000 IPv4-Adressen zu erstellen, die sowohl mit Google Cloud Armor als auch mit Cloud NGFW verwendet werden kann:

 gcloud beta network-security org-address-groups create GROUP_NAME \
     --location global \
     --description  "org address group description" \
     --capacity 1000 \
     --type IPv4 \
     --purpose DEFAULT,CLOUD_ARMOR

Alternativ können Sie eine organisationsbezogene Adressgruppe mit einer größeren Kapazität erstellen, indem Sie den Zweck ausschließlich auf CLOUD_ARMOR festlegen. Im folgenden Beispiel erstellen Sie eine Adressgruppe mit einer Kapazität von 10.000 IPv6-IP-Adressbereichen:

 gcloud beta network-security org-address-groups create GROUP_NAME \
     --location global \
     --description  "org address group description" \
     --capacity 10000 \
     --type IPv6 \
     --purpose CLOUD_ARMOR

Einer Adressgruppe auf Organisationsebene Elemente hinzufügen

Nachdem Sie eine Adressgruppe auf Organisationsebene erstellt haben, können Sie Elemente über die Google Cloud Console oder mit dem gcloud network-security org-address-groups add-items-Befehl hinzufügen.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Adressgruppen auf.

    Zu „Adressgruppen“

  2. Wählen Sie im Menü „Projektauswahl“ Ihre Organisation aus, sofern verfügbar.
  3. Wenn Sie eine Adressgruppe bearbeiten möchten, klicken Sie auf den Namen der Adressgruppe.
  4. Klicken Sie auf Bearbeiten.
  5. Fügen Sie dem Feld IP-Adressen die neuen Elemente zur durch Kommas getrennten Liste von IP-Adressen hinzu. Alternativ können Sie auf Adressen importieren klicken, um eine CSV-Datei mit einer Liste von IP-Adressen hochzuladen.
  6. Klicken Sie auf Speichern.

gcloud

Im folgenden Beispiel fügen Sie die IP-Adressen 192.168.1.2, 192.168.1.8 und 192.168.1.9 der Adressgruppe GROUP_NAME auf Organisationsebene hinzu. Sie geben eine durch Kommas getrennte Liste von Elementen mit dem Flag --items an:

 gcloud network-security org-address-groups add-items GROUP_NAME \
     --location global \
     --items 192.168.1.2,192.168.1.8,192.168.1.9

Elemente aus einer Adressgruppe auf Organisationsebene entfernen

Sie können Elemente aus einer organisationsbezogenen Adressgruppe über dieGoogle Cloud Console oder mit dem gcloud network-security org-address-groups remove-items-Befehl entfernen.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Adressgruppen auf.

    Zu „Adressgruppen“

  2. Wählen Sie im Menü „Projektauswahl“ Ihre Organisation aus, sofern verfügbar.
  3. Wenn Sie eine Adressgruppe bearbeiten möchten, klicken Sie auf den Namen der Adressgruppe.
  4. Klicken Sie auf Bearbeiten.
  5. Löschen Sie im Feld IP-Adressen die Elemente, die Sie aus der durch Kommas getrennten Liste der IP-Adressen entfernen möchten.
  6. Klicken Sie auf Speichern.

gcloud

Mit dem folgenden Befehl werden die IP-Adressen 192.168.1.2, 192.168.1.8 und 192.168.1.9 entfernt, die Sie im vorherigen Befehl hinzugefügt haben:

 gcloud network-security org-address-groups remove-items GROUP_NAME \
     --location global \
     --items 192.168.1.2,192.168.1.8,192.168.1.9

Adressgruppe auf Organisationsebene löschen

Sie können eine organisationsbezogene Adressgruppe nicht löschen, wenn eine Ressource, einschließlich einer Firewallrichtlinie oder Sicherheitsrichtlinie, darauf verweist. So löschen Sie eine Adressgruppe:

Console

  1. Rufen Sie in der Google Cloud Console die Seite Adressgruppen auf.

    Zu „Adressgruppen“

  2. Wählen Sie im Menü „Projektauswahl“ Ihre Organisation aus, sofern verfügbar.
  3. Markieren Sie das Kästchen neben der Adressgruppe, die Sie löschen möchten. Achten Sie darauf, dass die ausgewählte Adressgruppe nicht von einer Firewall- oder Sicherheitsrichtlinie referenziert wird.
  4. Klicken Sie auf Löschen und dann noch einmal auf Löschen, um den Löschvorgang zu bestätigen.

gcloud

Im folgenden Beispiel wird der Befehl gcloud network-security org-address-groups delete verwendet, um eine Adressgruppe mit dem Namen GROUP_NAME zu löschen.

 gcloud network-security org-address-groups delete GROUP_NAME \
     --location global

Adressgruppen auf Organisationsebene mit Sicherheitsrichtlinien verwenden

Nachdem Sie eine Adressgruppe erstellt und ihr IP-Adressen hinzugefügt haben, können Sie sie mit einer vorhandenen Google Cloud Armor-Back-End-Sicherheitsrichtlinie verwenden. Die folgenden Beispiele zeigen zwei verschiedene Möglichkeiten, Adressgruppen zu verwenden.

Eine Gruppe von IP-Adressen für alle Back-End-Dienste in einer Organisation ablehnen

Angenommen, Sie haben eine IP-Adressengruppe mit Organisationsbereich namens MALICIOUS_IPS mit 10.000 IP-Adressen,die bekanntermaßen schädlich sind. Sie können alle diese IP-Adressen für alle Backend-Dienste in Ihrer Organisation mit einer einzigen hierarchischen Sicherheitsrichtlinie ablehnen. Erstellen Sie eine hierarchische Sicherheitsrichtlinie und fügen Sie dann eine deny-Regel mit der folgenden Abgleichsbedingung hinzu:

evaluateOrganizationAddressGroup('MALICIOUS_IPS', origin.ip)

Verknüpfen Sie die hierarchische Sicherheitsrichtlinie schließlich mit allen Back-End-Diensten in Ihrer Organisation. Ersetzen Sie dabei POLICY_NAME durch den Namen Ihrer hierarchischen Sicherheitsrichtlinie und ORGANIZATION_ID durch die ID Ihrer Organisation:

  gcloud beta compute org-security-policies associations create \
      --security-policy=POLICY_NAME \
      --organization=ORGANIZATION_ID

Eine Gruppe von IP-Adressbereichen für alle Back-End-Dienste in einer Organisation wiederverwenden

Angenommen, Sie haben dieselbe Liste mit 10.000 IP-Adressen wie im vorherigen Beispiel, aber einige der IP-Adressen sind als Webcrawler bekannt. Sie möchten den Zugriff auf alle Back-End-Dienste in Ihrer Organisation über die IP-Adressen von Crawlern, die keine Webcrawler sind, blockieren. Sie möchten jedoch zulassen, dass projektbezogene Sicherheitsrichtlinien festlegen, ob die Webcrawler auf Ihre Back-End-Dienste zugreifen können, um die Suchmaschinenoptimierung (SEO) zu verbessern.

Führen Sie die folgenden Schritte aus, um allen Adressen den Zugriff auf BACKEND_SERVICE_1 zu verweigern, während die IP-Adressbereiche 66.249.77.32/27 und 66.249.77.64/27 auf BACKEND_SERVICE_2 zugreifen dürfen:

  1. Erstellen Sie eine Backend-Sicherheitsrichtlinie mit dem Namen BACKEND_POLICY_1.

  2. Fügen Sie BACKEND_POLICY_1 eine deny-Regel mit der folgenden Abgleichsbedingung hinzu, die alle IP-Adressen in MALICIOUS_IPS blockiert:

    evaluateOrganizationAddressGroup('MALICIOUS_IPS', origin.ip)

  3. Verwenden Sie den folgenden Befehl, um BACKEND_POLICY_1 mit BACKEND_SERVICE_1 zu verknüpfen:

     gcloud compute backend-services update BACKEND_SERVICE_1 \
     --security-policy BACKEND_POLICY_1

  4. Erstellen Sie eine zweite Back-End-Sicherheitsrichtlinie mit dem Namen BACKEND_POLICY_2.

  5. Fügen Sie BACKEND_POLICY_2 eine deny-Regel mit der folgenden Abgleichsbedingung hinzu, die alle IP-Adressen in MALICIOUS_IPS mit Ausnahme von 66.249.77.32/27 und 66.249.77.64/27 blockiert:

    evaluateOrganizationAddressGroup('MALICIOUS_IPS', origin.ip, [`66.249.77.32/27`, `66.249.77.64/27`])

  6. Verwenden Sie den folgenden Befehl, um BACKEND_POLICY_2 mit BACKEND_SERVICE_2 zu verknüpfen. Ersetzen Sie ORG_ID durch die ID Ihrer Organisation:

     gcloud compute backend-services update BACKEND_SERVICE_2 \
     --security-policy BACKEND_POLICY_2

Mit einer Adressgruppe Nutzer-IP-Adressen für alle Backend-Dienste in einer Organisation abgleichen

Angenommen, Sie haben eine IP-Adressgruppe namens MALICIOUS_IPS mit 10.000 IP-Adressen,die bekanntermaßen schädlich sind. Außerdem verwenden Sie einen Upstream-Proxy, der Informationen zur IP-Adresse des ursprünglichen Clients im Header enthält. Sie können den Zugriff auf alle Back-End-Dienste in Ihrer Organisation für alle diese IP-Adressen mit einer einzelnen deny-Regel in einer Sicherheitsrichtlinie mit der folgenden Abgleichsbedingung verweigern:

evaluateOrganizationAddressGroup('MALICIOUS_IPS', origin.user_ip)

Weitere Informationen zu Nutzer-IP-Adressen finden Sie unter Attribute.

Nächste Schritte