Modo de ejecución de prueba para perímetros de servicio

Cuando usas los Controles del servicio de VPC, puede ser difícil determinar el impacto en el entorno cuando se crea o modifica un perímetro de servicio. Con el modo de ejecución de prueba, puedes comprender mejor el impacto que tiene habilitar los Controles del servicio de VPC y los cambios en los perímetros en los entornos existentes.

En el modo de ejecución de prueba, las solicitudes que infringen la política del perímetro no se rechazan, solo se registran. El modo de ejecución de prueba se usa para probar la configuración del perímetro y supervisar el uso de los servicios sin evitar el acceso a los recursos. Los casos de uso comunes incluyen los siguientes:

  • Determinar el impacto que tendrán los cambios en los perímetros de servicio existentes.

  • Obtener una vista previa del impacto que tendrán los perímetros de servicio nuevos.

  • Supervisar solicitudes a servicios protegidos que se originan fuera del perímetro de servicio. Por ejemplo, puedes ver el origen de las solicitudes a un servicio determinado o identificar el uso inesperado de un servicio en la organización.

  • En los entornos de desarrollo, crear una arquitectura de perímetro análoga para el entorno de producción. Esto te permite identificar y mitigar los problemas que causarán los perímetros de servicio antes de enviar los cambios al entorno de producción.

Los perímetros de servicio pueden existir solo mediante el modo de ejecución de prueba. También puedes tener perímetros de servicio que usen un modo híbrido de modos de ejecución de prueba y de aplicación forzosa.

Beneficios del modo de ejecución de prueba

Mediante el modo de ejecución de prueba, puedes crear perímetros de servicio nuevos o cambiar varios perímetros existentes sin causar un impacto en un entorno existente. No se bloquean las solicitudes que infringen la nueva configuración de perímetro. También puedes comprender el impacto del perímetro en un entorno en el que no todos los servicios que se usan están integrados en los Controles del servicio de VPC.

Puedes analizar los registros de los Controles del servicio de VPC para detectar rechazos, cambiar la configuración a fin de corregir posibles problemas y, luego, aplicar la nueva postura de seguridad.

Si no se pueden resolver los problemas con la configuración del perímetro, puedes optar por mantener la configuración de ejecución de prueba del perímetro y supervisar los registros en busca de denegaciones inesperadas que pueden indicar un intento de robo de datos. Sin embargo, las solicitudes al perímetro no se rechazan.

Conceptos del modo de ejecución de prueba

El modo de ejecución de prueba funciona como un segundo pase de evaluación de la configuración del perímetro. De forma predeterminada, la configuración del modo de aplicación forzosa para todos los perímetros de servicio se hereda en la configuración del modo de ejecución de prueba, en la que se puede modificar o borrar esta configuración sin afectar la operación del perímetro de servicio.

Debido a que el modo de ejecución de prueba hereda la configuración del modo de aplicación forzosa, en cada paso, ambas opciones de configuración deben ser válidas. En particular, un proyecto solo puede estar en un perímetro en la configuración de aplicación forzosa y un perímetro en la configuración de ejecución de prueba. Como resultado, los cambios que abarcan varios perímetros, como mover un proyecto entre perímetros, deben secuenciarse en el orden adecuado.

El modo de ejecución de prueba solo registra una solicitud si cumple con los siguientes requisitos:

  • La configuración de aplicación forzosa del perímetro no rechaza la solicitud.

  • La solicitud infringe la configuración de ejecución de prueba de perímetro.

También puedes crear perímetros que solo tengan una configuración de ejecución de prueba. Esto te permite simular el impacto de un nuevo perímetro de aplicación forzosa en el entorno.

Semántica de las políticas

En la siguiente sección, se describe la relación de política entre el modo de ejecución de prueba y de aplicación forzosa, y en qué orden se resuelve la aplicación.

Restricción de membresía única

Un proyecto de Google Cloud solo se puede incluir en una configuración de aplicación forzosa y una configuración de ejecución de prueba. Sin embargo, no es necesario que las opciones de configuración de ejecución de prueba y de aplicación forzosa se apliquen para el mismo perímetro. Esto te permite probar el impacto de trasladar un proyecto de un perímetro a otro sin comprometer la seguridad aplicada al proyecto.

Ejemplo

En este momento, el proyecto corp-storage está protegido por la configuración de aplicación forzosa del perímetro PA. Debes probar el impacto que generará mover corp-storage al perímetro PB.

Aún no se modificó la configuración de ejecución de prueba para PA. Debido a que la configuración de ejecución de prueba no está modificada, hereda corp-storage de la configuración de aplicación forzosa.

Para probar el impacto, primero quita corp-storage de la configuración de ejecución de prueba de PA y agrega el proyecto a la configuración de ejecución de prueba de PB. Primero debes quitar corp-storage de la configuración de ejecución de prueba de PA, ya que los proyectos solo pueden existir en una configuración de ejecución de prueba a la vez.

Cuando estés satisfecho con la migración de corp-storage de PA a PB sin efectos adversos en la postura de seguridad, puedes aplicar los cambios.

Existen dos maneras de aplicar los cambios a los perímetros PA y PB:

  • Puedes quitar de forma manual corp-storage de la configuración de aplicación forzosa de PA y agregar el proyecto a la configuración de aplicación forzosa de PB. Debido a que corp-storage solo puede estar en una configuración de aplicación forzosa a la vez, debes seguir los pasos en este orden.

    o bien

  • Puedes usar la herramienta de línea de comandos de gcloud o la API de Access Context Manager para aplicar todas las opciones de configuración de ejecución de prueba. Esta operación se aplica a todas las opciones de configuración de ejecución de prueba modificadas para los perímetros, por lo que querrás coordinar la operación con cualquier otra persona de la organización que haya modificado las opciones de configuración de ejecución de prueba de los perímetros. Debido a que la configuración de ejecución de prueba de PA ya excluye corp-storage, no se requieren pasos adicionales.

La configuración de aplicación forzosa de un perímetro se ejecuta primero

Solo las solicitudes permitidas por la configuración de aplicación forzosa de un perímetro, pero denegadas por la configuración de ejecución de prueba, se registran como un incumplimiento de política de la ejecución de prueba. Las solicitudes rechazadas por la configuración de aplicación forzosa, pero que la configuración de ejecución de prueba permitiría, no se registrarán.

Los niveles de acceso no tienen un modo de ejecución de prueba equivalente

Si bien puedes crear una configuración de ejecución de prueba para un perímetro, los niveles de acceso no tienen dicha configuración. En la práctica, esto significa que si deseas probar cómo un cambio en el nivel de acceso afectaría la configuración de ejecución de prueba, debes hacer lo siguiente:

  1. Crea un nivel de acceso que refleje los cambios que deseas realizar en un nivel de acceso existente.

  2. Aplica el nuevo nivel de acceso a la configuración de ejecución de prueba para el perímetro.

El modo de ejecución de prueba no tiene un impacto negativo en la seguridad

Los cambios en una configuración de ejecución de prueba para un perímetro, como la incorporación de proyectos nuevos o niveles de acceso a un perímetro, o el cambio de los servicios que están protegidos o los que son accesibles a redes dentro del perímetro, no tienen impacto en la aplicación real de un perímetro.

Por ejemplo, supongamos que tienes un proyecto que pertenece al perímetro de servicio PA. Si el proyecto se agrega a la configuración de ejecución de prueba de otro perímetro, la seguridad real que se aplica al proyecto no cambia. El proyecto sigue protegido por la configuración de aplicación forzosa del perímetro PA, según lo previsto.

Acciones de ejecución de prueba y estados de configuración

Mediante la función de ejecución de prueba, puedes hacer lo siguiente:

  • Crear un perímetro con solo una configuración de ejecución de prueba

  • Actualizar la configuración de ejecución de prueba de un perímetro existente

  • Trasladar un proyecto nuevo a un perímetro existente

  • Trasladar un proyecto de un perímetro a otro

  • Borrar la configuración de ejecución de prueba de un perímetro

Según la acción que se realizó en el modo de ejecución de prueba, un perímetro puede estar en uno de los siguientes estados de configuración:

Heredada de la configuración de aplicación forzosa: El estado predeterminado para los perímetros de aplicación forzosa. En este estado, los cambios en la configuración de aplicación forzosa del perímetro también se aplican a la configuración de ejecución de prueba.

Modificada: La configuración de ejecución de prueba para un perímetro que se visualizó o cambió y, luego, se guardó. En este estado, los cambios en la configuración de aplicación forzosa de un perímetro no se aplican a la configuración de ejecución de prueba.

Nuevo: El perímetro solo tiene una configuración de ejecución de prueba. Incluso si se realizan cambios en la configuración de ejecución de prueba, hasta que este perímetro tenga una configuración de aplicación forzosa, el estado permanece como Nuevo.

Borrado: Se borró la configuración de la ejecución de prueba para el perímetro. Este estado permanece hasta que crees una nueva configuración de ejecución de prueba para el perímetro o deshagas la acción. En este estado, los cambios en la configuración de aplicación forzosa de un perímetro no se aplican a la configuración de ejecución de prueba.

Limitaciones del modo de ejecución de prueba

El modo de ejecución de prueba solo se aplica a los perímetros. No ayuda a comprender el impacto de la restricción de acceso a la API de Google Cloud a la VIP restringida o privada. Recomendamos que te asegures de que todos los servicios que quieras usar estén disponibles en la VIP restringida antes de que configures el dominio restricted.googleapis.com.

Si no estás seguro de si las API que estás usando en un entorno existente son compatibles con la VIP restringida, te recomendamos que uses la VIP privada. Aún puedes aplicar la seguridad perimetral para los servicios compatibles. Sin embargo, si usas la VIP privada, las entidades de la red tendrán acceso a servicios no seguros (servicios que no son compatibles con los Controles del servicio de VPC), como las versiones de Gmail y Drive para consumidores. Debido a que la VIP privada permite servicios que no son compatibles con los Controles del servicio de VPC, es posible que el código vulnerado, el software malicioso o un usuario malicioso dentro de la red accedan a los datos con esos servicios no protegidos.

Próximos pasos