Mode simulation pour les périmètres de service

Lorsque vous utilisez VPC Service Controls, il peut être difficile de déterminer l'impact sur votre environnement lors de la création ou de la modification d'un périmètre de service. Le mode simulation vous permet de mieux comprendre l'impact de l'activation de VPC Service Controls et des modifications apportées aux périmètres des environnements existants.

En mode simulation, les requêtes qui ne respectent pas la règle de périmètre ne sont pas refusées, mais sont uniquement consignées. Le mode simulation permet de tester la configuration du périmètre et de surveiller l'utilisation des services sans empêcher l'accès aux ressources. Vous trouverez ci-dessous des cas d'utilisation courants :

  • Déterminer l'impact des modifications apportées aux périmètres de service existants.

  • Prévisualiser l'impact des nouveaux périmètres de service.

  • Surveiller les requêtes adressées à des services protégés provenant de l'extérieur d'un périmètre de service (par exemple, voir d'où proviennent les requêtes envoyées à un service donné ou identifier l'utilisation inattendue d'un service dans votre organisation).

  • Dans vos environnements de développement, créer une architecture de périmètre calquée sur votre environnement de production. Cela vous permet d'identifier et de limiter les problèmes liés aux périmètres de service avant d'appliquer des modifications à votre environnement de production.

Les périmètres de service peuvent exister exclusivement à l'aide du mode simulation. Vous pouvez également avoir des périmètres de service qui utilisent un mode hybride de modes forcé et simulation.

Avantages du mode simulation

Le mode simulation vous permet de créer des périmètres de service ou de modifier plusieurs périmètres existants sans aucun impact sur un environnement existant. Les requêtes qui ne respectent pas la nouvelle configuration du périmètre ne sont pas bloquées. Vous pouvez également comprendre l'impact du périmètre dans un environnement dans lequel tous les services utilisés ne sont pas intégrés à VPC Service Controls.

Vous pouvez analyser les journaux de VPC Service Controls à la recherche de refus, modifier la configuration pour résoudre les problèmes potentiels, puis appliquer la nouvelle stratégie de sécurité.

Si les problèmes de configuration du périmètre ne peuvent pas être résolus, vous pouvez choisir de conserver la configuration de simulation de ce périmètre et de surveiller les journaux pour détecter les messages inattendus susceptibles d'indiquer une tentative d'exfiltration. Notez toutefois que les requêtes adressées au périmètre ne sont pas refusées.

Concepts du mode simulation

Le mode simulation opère comme une deuxième évaluation de la configuration du périmètre. Par défaut, la configuration en mode forcé de tous les périmètres de service est héritée dans la configuration en mode simulation, qui peut être modifiée ou supprimée sans affecter le fonctionnement du périmètre de service.

Étant donné que le mode simulation hérite de la configuration du mode forcé, les deux configurations doivent être valides à chaque étape. En particulier, un projet ne peut se trouver que dans un seul périmètre de la configuration forcée et un périmètre de la configuration de simulation. Par conséquent, les modifications s'étendant sur plusieurs périmètres, telles que le déplacement d'un projet entre des périmètres, doivent être séquencées dans l'ordre approprié.

Le mode simulation n'enregistre une requête que si elle répond aux critères suivants :

  • La requête n'est pas refusée par la configuration forcée du périmètre.

  • La requête ne respecte pas la configuration de simulation du périmètre.

Vous pouvez également créer des périmètres qui n'ont qu'une configuration de simulation. Cela vous permet de simuler l'impact d'un nouveau périmètre forcé dans votre environnement.

Sémantique de la règle

La section suivante décrit la relation existant entre le mode forcé et le mode simulation et dans quel ordre le mode forcé est résolu.

Contrainte d'adhésion unique

Un projet Google Cloud ne peut être inclus que dans une configuration forcée et une configuration de simulation. Toutefois, les configurations forcées et simulées n'ont pas besoin d'être destinées au même périmètre. Cela vous permet de tester l'impact du déplacement d'un projet d'un périmètre à un autre, sans compromettre la sécurité actuellement appliquée au projet.

Exemple

Le projet corp-storage est actuellement protégé par la configuration forcée du périmètre PA. Vous souhaitez tester l'impact du déplacement de corp-storage vers le périmètre PB.

La configuration de simulation de PA n'a pas encore été modifiée. Étant donné que la configuration de simulation est inchangée, elle hérite de corp-storage de la configuration forcée.

Pour tester l'impact, vous devez d'abord supprimer corp-storage de la configuration de simulation de PA, puis ajouter le projet à la configuration de simulation de PB. Vous devez d'abord supprimer corp-storage de la configuration de simulation de PA, car les projets ne peuvent exister que dans une configuration de simulation à la fois.

Lorsque vous êtes certain que migrer corp-storage de PA vers PB n'aura pas d'effet négatif sur votre stratégie de sécurité, vous décidez d'appliquer les modifications.

Il existe deux manières d'appliquer les modifications aux périmètres PA et PB :

  • Vous pouvez supprimer manuellement corp-storage de la configuration forcée de PA et ajouter le projet à la configuration forcée de PB. Comme corp-storage ne peut se trouver que dans une seule configuration forcée à la fois, vous devez effectuer les étapes dans cet ordre.

    -ou-

  • Vous pouvez utiliser l'outil de ligne de commande gcloud ou l'API Access Context Manager pour appliquer toutes les configurations de simulation. Cette opération s'applique à toutes les configurations de simulation modifiées pour vos périmètres. Vous devez donc coordonner l'opération avec tous les autres membres de votre organisation qui ont modifié les configurations de simulation pour vos périmètres. Étant donné que la configuration de simulation de PA exclut déjà corp-storage, aucune étape supplémentaire n'est requise.

La configuration forcée d'un périmètre est exécutée en premier.

Seules les requêtes autorisées par la configuration forcée d'un périmètre mais refusées par la configuration de simulation sont consignées en tant que violations de la règle de simulation. Les requêtes refusées par la configuration forcée mais qui seraient autorisées par la configuration de simulation ne sont pas consignées.

Les niveaux d'accès n'ont pas d'équivalent en mode simulation.

Bien que vous puissiez créer une configuration de simulation pour un périmètre, les niveaux d'accès ne disposent pas d'une configuration de simulation. En pratique, cela signifie que si vous souhaitez tester l'impact d'une modification d'un niveau d'accès sur votre configuration de simulation, vous devez procéder comme suit :

  1. Créer un niveau d'accès qui reflète les modifications que vous souhaitez apporter à un niveau d'accès existant

  2. Appliquer le nouveau niveau d'accès à la configuration de simulation du périmètre

Le mode simulation n'a pas d'impact négatif sur la sécurité.

Les modifications apportées à une configuration de simulation d'un périmètre (par exemple, ajouter de nouveaux projets ou des niveaux d'accès à un périmètre ou changer les services qui sont protégés ou accessibles à des réseaux au sein du périmètre) n'ont aucun impact sur l'application effective d'un périmètre.

Par exemple, supposons que vous disposez d'un projet appartenant au périmètre de service PA. Si le projet est ajouté à la configuration de simulation d'un autre périmètre, la sécurité réelle appliquée au projet ne change pas. Le projet continue d'être protégé par la configuration forcée du périmètre PA, comme prévu.

Actions de simulation et états de configuration

Avec la fonctionnalité de simulation vous pouvez :

  • Créer un périmètre avec uniquement une configuration de simulation

  • Mettre à jour la configuration de simulation d'un périmètre existant

  • Déplacer un nouveau projet dans un périmètre existant

  • Déplacer un projet d'un périmètre à un autre

  • Supprimer la configuration de simulation d'un périmètre

En fonction de l'action effectuée en mode simulation, un périmètre peut être dans l'un des états de configuration suivants :

Hérité de la configuration forcée : état par défaut des périmètres forcés. Dans cet état, toutes les modifications apportées à la configuration forcée du périmètre sont également appliquées à la configuration de simulation.

Modifié : la configuration de simulation d'un périmètre a été affichée ou modifiée, puis enregistrée. Dans cet état, les modifications apportées à la configuration forcée d'un périmètre ne sont pas appliquées à la configuration de simulation.

Nouveau : le périmètre ne dispose que d'une configuration de simulation. Même si des modifications sont apportées à la configuration de simulation, tant qu'aucune configuration forcée n'est appliquée à ce périmètre, l'état reste Nouveau.

Supprimé : la configuration de simulation pour le périmètre a été supprimée. Cet état perdure jusqu'à ce que vous créiez une nouvelle configuration de simulation pour le périmètre ou que vous annuliez l'action. Dans cet état, les modifications apportées à la configuration forcée d'un périmètre ne sont pas appliquées à la configuration de simulation.

Limites du mode simulation

Le mode simulation ne s'applique qu'aux périmètres. Il ne permet pas de comprendre l'impact de la restriction de l'accès de l'API Google Cloud à l'adresse IP virtuelle restreinte ou privée. Nous vous recommandons de vous assurer que tous les services que vous souhaitez utiliser sont disponibles sur l'adresse IP virtuelle restreinte avant de configurer le domaine restricted.googleapis.com.

Si vous n'êtes pas sûr que les API que vous utilisez dans un environnement existant sont compatibles avec l'adresse IP virtuelle restreinte, nous vous recommandons d'utiliser l'adresse IP virtuelle privée. Vous pouvez toutefois appliquer la sécurité du périmètre pour les services compatibles. Cependant, si vous utilisez l'adresse IP virtuelle privée, les entités de votre réseau ont accès à des services non sécurisés (services non compatibles avec VPC Service Controls), tels que les versions grand public de Gmail et de Drive. Étant donné que l'adresse IP virtuelle privée autorise les services non compatibles avec VPC Service Controls, il est possible qu'un code compromis, un logiciel malveillant ou un utilisateur malintentionné ayant accès à votre réseau exfiltre des données à l'aide de ces services non sécurisés.

Étapes suivantes