Quando utilizzi Controlli di servizio VPC, può essere difficile determinare l'impatto sul tuo ambiente quando viene creato o modificato un perimetro di servizio. Con la modalità di simulazione, puoi comprendere meglio l'effetto dell'attivazione dei Controlli di servizio VPC e delle modifiche ai perimetri negli ambienti esistenti.
Nella modalità di prova, le richieste che violano il criterio del perimetro non vengono rifiutate, ma solo registrate. Puoi utilizzare la modalità di prova simulata per testare la configurazione del perimetro e monitorare l'utilizzo dei servizi senza impedire l'accesso alle risorse. I casi d'uso comuni includono:
Determinare l'impatto delle modifiche ai perimetri di servizio esistenti.
Anteprima dell'impatto che avranno i nuovi perimetri di servizio.
Monitoraggio delle richieste ai servizi protetti provenienti dall'esterno di un perimetro di servizio. Ad esempio, per vedere da dove provengono le richieste a un determinato servizio o per identificare un utilizzo imprevisto del servizio nella tua organizzazione.
Negli ambienti di sviluppo, crea un'architettura di perimetro analoga a quella dell'ambiente di produzione. In questo modo puoi identificare e attenuare eventuali problemi causati dai perimetri dei servizi prima di inviare le modifiche all'ambiente di produzione.
I perimetri di servizio possono esistere solo utilizzando la modalità di prova. Puoi anche avere perimetri di servizio che utilizzano una combinazione di modalità di applicazione e di prova simulata.
Vantaggi della modalità di prova
Con la modalità di prova, puoi creare nuovi perimetri di servizio o modificare più perimetri esistenti senza alcun impatto su un ambiente esistente. Le richieste che violano la nuova configurazione del perimetro non vengono bloccate. Puoi anche comprendere l'impatto del perimetro in un ambiente in cui non tutti i servizi in uso sono integrati con i Controlli di servizio VPC.
Puoi analizzare i log di VPC Service Controls per rilevare i rifiuti, modificare la configurazione per risolvere potenziali problemi e applicare la nuova postura di sicurezza.
Se i problemi relativi alla configurazione del perimetro non possono essere risolti, puoi scegliere di mantenere la configurazione della simulazione del perimetro e monitorare i log per verificare la presenza di rifiuti imprevisti che potrebbero indicare un tentativo di esfiltrazione. Tuttavia, le richieste al perimetro non vengono rifiutate.
Concetti della modalità dry run
La modalità di prova funziona come una seconda passata di valutazione della configurazione del perimetro. Per impostazione predefinita, la configurazione della modalità forzata per tutti i perimetri di servizio viene ereditata nella configurazione della modalità di prova, dove può essere modificata o eliminata senza influire sul funzionamento del perimetro di servizio.
Poiché la modalità di prova eredita la configurazione della modalità applicata, in ogni passaggio entrambe le configurazioni devono essere valide. In particolare, un progetto può essere solo in un perimetro nella configurazione applicata e in un perimetro nella configurazione della prova. Di conseguenza, le modifiche che interessano più perimetri, ad esempio il trasferimento di un progetto da un perimetro all'altro, devono essere sequenziate nell'ordine corretto.
La modalità di prova registra una richiesta solo se soddisfa entrambi i seguenti criteri:
La richiesta non è già stata rifiutata dalla configurazione applicata del perimetro.
La richiesta viola la configurazione di prova del perimetro.
Ad esempio, se configurazioni identiche in modalità dry run e in modalità di applicazione limitano un bucket Cloud Storage, questa modalità blocca e registra qualsiasi richiesta nel bucket Cloud Storage. La modalità di prova registra solo le differenze nelle violazioni rispetto alla modalità applicata.
Puoi anche creare perimetri con solo una configurazione di prova. In questo modo, puoi simulare l'impatto di un nuovo perimetro in modalità di applicazione forzata nel tuo ambiente.
Semantica dei criteri
La sezione seguente descrive la relazione tra le norme relative alla modalità di applicazione e di prova e la modalità di applicazione dell'ingiunzione.
Vincolo di appartenenza univoco
Un progetto Google Cloud può essere incluso solo in una configurazione forzata e in una configurazione di prova. Tuttavia, le configurazioni applicate e di prova non devono necessariamente riguardare lo stesso perimetro. In questo modo, puoi verificare l'impatto del trasferimento di un progetto da un perimetro all'altro senza compromettere la sicurezza attualmente applicata al progetto.
Esempio
Il progetto corp-storage è attualmente protetto dalla configurazione impostata del perimetro PA. Vuoi testare l'impatto del trasferimento di corp-storage al perimetro PB.
La configurazione di prova per la PA non è stata ancora modificata. Poiché la configurazione di prova non è modificata, eredita corp-storage dalla configurazione applicata.
Per testare l'impatto, rimuovi prima corp-storage dalla configurazione di prova per PA e aggiungi il progetto alla configurazione di prova per PB.
Devi prima rimuovere corp-storage dalla configurazione di prova per la PA
perché i progetti possono esistere in una sola configurazione di prova alla volta.
Quando hai la certezza che la migrazione di corp-storage da PA a PB non avrà effetti negativi sulla tua postura di sicurezza, decidi di applicare le modifiche.
Esistono due modi per applicare le modifiche ai perimetri PA e PB:
Puoi rimuovere manualmente
corp-storagedalla configurazione impostata per la PA e aggiungere il progetto alla configurazione impostata per la PB. Poichécorp-storagepuò essere in una sola configurazione applicata alla volta, devi eseguire i passaggi in questo ordine.-o-
Puoi utilizzare lo strumento a riga di comando
gcloudo l'API Access Context Manager per applicare tutte le configurazioni di prova secca. Questa operazione si applica a tutte le configurazioni di prova simulata modificate per i tuoi perimetri, quindi ti consigliamo di coordinarla con gli altri utenti della tua organizzazione che hanno modificato le configurazioni di prova simulata per i tuoi perimetri. Poiché la configurazione di prova per la PA esclude giàcorp-storage, non sono necessari ulteriori passaggi.
La configurazione applicata di un perimetro viene eseguita per prima
Solo le richieste consentite dalla configurazione applicata di un perimetro, ma negate dalla configurazione di prova, vengono registrate come violazioni dei criteri di prova. Le richieste rifiutate dalla configurazione applicata, ma che sarebbero consentite dalla configurazione di prova, non vengono registrate.
I livelli di accesso non hanno una modalità di prova equivalente
Sebbene sia possibile creare una configurazione di prova per un perimetro, i livelli di accesso non hanno una configurazione di prova. In pratica, se vuoi verificare come una modifica a un livello di accesso influisca sulla configurazione della simulazione, devi:
Crea un livello di accesso che rifletta le modifiche che vuoi apportare a un livello di accesso esistente.
Applica il nuovo livello di accesso alla configurazione del dry run per il perimetro.
La modalità di prova non ha un impatto negativo sulla sicurezza
Le modifiche a una configurazione di prova per un perimetro, ad esempio l'aggiunta di nuovi progetti o livelli di accesso a un perimetro o la modifica dei servizi protetti o accessibili alle reti all'interno del perimetro, non influiscono sull'applicazione effettiva di un perimetro.
Ad esempio, supponiamo che tu abbia un progetto che appartiene al perimetro di servizio PA. Se il progetto viene aggiunto alla configurazione della simulazione di un altro perimetro, la sicurezza effettiva applicata al progetto non cambia. Il progetto continua a essere protetto dalla configurazione applicata dell'accesso protetto al perimetro, come previsto.
Azioni e stati di configurazione del dry run
Con la funzionalità di prova simulata puoi:
Creare un perimetro con solo una configurazione di prova
Aggiornare la configurazione del dry run di un perimetro esistente
Spostare un nuovo progetto in un perimetro esistente
Spostare un progetto da un perimetro all'altro
Eliminare la configurazione di prova di un perimetro
In base all'azione intrapresa in modalità dry run, un perimetro può trovarsi in uno dei seguenti stati di configurazione:
Ereditato da applicato:stato predefinito per i perimetri in modalità di applicazione forzata. In questo stato, eventuali modifiche alla configurazione impostata del perimetro vengono applicate anche alla configurazione della simulazione.
Modificata:la configurazione di prova di un perimetro è stata visualizzata o modificata e poi salvata. In questo stato, le modifiche alla configurazione impostata di un perimetro non vengono applicate alla configurazione di prova.
Novità: il perimetro ha solo una configurazione di prova. Anche se vengono apportate modifiche alla configurazione del dry run, lo stato rimane Nuovo finché a questo perimetro non viene applicata una configurazione.
Eliminata: la configurazione di prova per il perimetro è stata eliminata. Questo stato rimane fino a quando non crei una nuova configurazione di prova secca per il perimetro o annulli l'azione. In questo stato, le modifiche alla configurazione impostata di un perimetro non vengono applicate alla configurazione di prova.
Limiti della modalità di prova
La modalità di prova si applica solo ai perimetri. Non aiuta a comprendere l'impatto della limitazione dell'accesso all'API Google Cloud al VIP limitato o privato. Ti consigliamo di assicurarti che tutti i servizi che vuoi utilizzare siano disponibili nel VIP limitato prima di configurare il dominio restricted.googleapis.com.
Se non sai con certezza se le API che utilizzi in un ambiente esistente sono supportate dal VIP limitato, ti consigliamo di utilizzare il VIP privato. Puoi ancora applicare la sicurezza perimetrale per i servizi supportati. Tuttavia, se utilizzi il VIP privato, le entità all'interno della tua rete avranno accesso a servizi non sicuri (servizi non supportati dai Controlli di servizio VPC), come le versioni per consumatori di Gmail e Drive. Poiché l'IP privato consente servizi che non sono supportati da Controlli di servizio VPC, è possibile che codice compromesso, malware o un utente malintenzionato all'interno della tua rete esfiltrino i dati utilizzando questi servizi non sicuri.
Passaggi successivi
Scopri come gestire le configurazioni di prova
Esamina i comandi dello strumento a riga di comando
gcloudper la modalità di prova secca