VPC Service Controls 境界のトラブルシューティングに役立つ Unique Identifier
Google Cloud Japan Team
※この投稿は米国時間 2019 年 12 月 3 日に、Google Cloud blog に投稿されたものの抄訳です。
VPC Service Controls は、資格情報の盗難、クライアントのなりすまし、悪意ある内部者、IAM ポリシーの誤構成によるクラウド データ侵害リスクを軽減するのに役立つ強力なツールです。このツールを使用すれば、管理者は定義したポリシーに基づいて、Cloud Storage、BigQuery、Stackdriver Logging のようなマルチテナント サービスのリソースを分割して隔離するセキュリティ境界を設定できます。VPC Service Controls は、こうしたリソースにおける 3 つのネットワーク インターフェース間(インターネット、VPC ネットワーク、サービス バックエンド パス)の通信を保護します。
一元的に構成された強力なポリシーを管理するには、サービスの特定の相互作用に対するポリシーの影響を管理者が理解する必要があります。そこで私たちはこのほど、VPC Service Controls Unique Identifier を提供することで、VPC Service Controls による拒否を簡単に理解し、デバッグできるようにしました。この機能を使用すると、Google Cloud ユーザーは、VPC Service Controls の拒否によって生じたエラーをセキュリティ管理者に簡単に伝えることができます。また管理者は、拒否されたリクエストを、対応する Cloud Audit Log エントリにすばやく関連づけることが可能です。この機能は、データ引き出しリスクを軽減する制御を継続しながら、管理者がアクセスの問題を迅速に解決するのに役立ちます。
VPC Service Controls の構成とトラブルシューティング
VPC Service Controls を使用するときは、組織内の特定のプロジェクトで使われる Google Cloud サービスを保護するサービス境界を定義します。サービス境界の構成には以下が含まれます。
保護対象サービス(BigQuery、Cloud Storage など)
保護対象プロジェクト(認可されたネットワークを特定するネットワーク プロジェクトを含む)
境界内のリソースにアクセスできる、境界外のクライアントの IP アドレス範囲と ID を定義するアクセス レベル
受信したデータ アクセス リクエストを VPC Service Controls が拒否すると、403 エラー メッセージが表示され、Cloud Audit Log エントリが生成されます。Unique Identifier を使用すれば、こうした 403 エラー メッセージを、関連する Cloud Audit Log エントリに簡単に接続することができます。これにより、VPC Service Controls のトラブルシューティングを迅速に行えるようになりました。
その仕組みは以下のとおりです。
1. ユーザーが VPC Service Controls にアクセスを拒否されると、固有識別子(UID)を含む 403 エラー メッセージが表示され、権限のないクライアントや侵害された可能性があるクライアントに対しては、拒否の根拠となっているポリシーの詳細は公開されません。
2. ユーザーはセキュリティ管理者と通信し、問題とともに UID を通知します。
3. セキュリティ管理者は Stackdriver Logging を用いて UID を検索します。
4. UID を使用しているため、関連するログ エントリだけが表示されます。関連する VPC Service Controls 境界とアクセス レベル ページへのリンクも含まれます。
5. セキュリティ管理者は、VPC Service Controls 境界またはアクセス レベルの構成を更新し、問題を解決します。
VPC Service Controls Unique Identifier は、VPC Service Controls の拒否に関連する問題を、最小限の労力で効率的に伝達してデバッグおよび解決できるよう支援します。データ侵害リスクを軽減しながら、お客様のユーザーが必要なデータにアクセスできることを保証するのに役立ちます。
VPC Service Controls の詳細はこちらのドキュメントをご覧ください。
- By Adam Gavish, Product Manager, VPC Service Controls
