Modalità di prova per perimetri di servizio

Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.

Quando utilizzi i Controlli di servizio VPC, può essere difficile determinare l'impatto sul tuo ambiente quando viene creato o modificato un perimetro di servizio. Con la modalità di prova, puoi capire meglio l'impatto dell'abilitazione dei Controlli di servizio VPC e delle modifiche ai perimetri negli ambienti esistenti.

In modalità di prova, le richieste che violano il criterio perimetrale non vengono rifiutate, ma solo registrate. La modalità di prova è utilizzata per testare la configurazione del perimetro e monitorare l'utilizzo dei servizi senza impedire l'accesso alle risorse. I casi d'uso comuni includono:

  • Determinazione dell'impatto delle modifiche ai perimetri di servizio esistenti.

  • Anteprima dell'impatto dei nuovi perimetri di servizio.

  • Monitoraggio delle richieste a servizi protetti provenienti dall'esterno di un perimetro di servizio. Ad esempio, puoi conoscere la provenienza delle richieste di un determinato servizio o identificare l'utilizzo imprevisto del servizio nella tua organizzazione.

  • Nei tuoi ambienti di sviluppo, crea un'architettura perimetrale simile al tuo ambiente di produzione. In questo modo puoi identificare e mitigare eventuali problemi che saranno causati dai perimetri di servizio prima di eseguire il push delle modifiche al tuo ambiente di produzione.

I perimetri di servizio possono esistere esclusivamente in modalità di prova. Puoi anche avere perimetri di servizio che utilizzano un ibrido di modalità di esecuzione forzata e di prova.

Vantaggi della modalità di prova

Utilizzando la modalità di prova, puoi creare nuovi perimetri di servizio o modificare più perimetri esistenti senza alcun impatto su un ambiente esistente. Le richieste che violano la nuova configurazione perimetrale non sono bloccate. Puoi anche comprendere l'impatto del perimetro in un ambiente in cui non tutti i servizi utilizzati sono integrati con i Controlli di servizio VPC.

Puoi analizzare i log di Controlli di servizio VPC per i rifiuti, modificare la configurazione per correggere potenziali problemi e quindi applicare il nuovo livello di sicurezza.

Se i problemi relativi alla configurazione del perimetro non possono essere risolti, puoi scegliere di mantenere la configurazione di prova del perimetro e monitorare i log per i rifiuti imprevisti che potrebbero indicare un tentativo di esfiltrazione. Tuttavia, le richieste perimetrali non vengono rifiutate.

Concetti della modalità di prova

La modalità di prova funziona come secondo passaggio di valutazione della configurazione del perimetro. Per impostazione predefinita, la configurazione della modalità di applicazione forzata per tutti i perimetri di servizio viene ereditata nella configurazione della modalità di prova, dove la configurazione può essere modificata o eliminata senza influire sul funzionamento del perimetro di servizio.

Poiché la modalità di prova eredita la configurazione della modalità di applicazione forzata, ogni passaggio deve essere valido per entrambe le configurazioni. In particolare, un progetto può trovarsi solo in un perimetro nella configurazione di applicazione forzata e in un perimetro nella configurazione di prova. Di conseguenza, le modifiche che riguardano più perimetri, come lo spostamento di un progetto tra perimetri, devono essere sequenziate nell'ordine corretto.

La modalità di prova registra una richiesta solo se soddisfa i seguenti criteri:

  • La richiesta non viene rifiutata dalla configurazione applicata del perimetro.

  • La richiesta viola la configurazione di prova del perimetro.

Puoi anche creare perimetri che hanno solo una configurazione di prova. Ciò consente di simulare l'impatto di un nuovo perimetro applicato nel tuo ambiente.

Semantica della norma

La sezione seguente descrive la relazione del criterio tra la modalità di applicazione forzata e di prova e in quale ordine viene risolta l'applicazione.

Vincolo di appartenenza univoco

Un progetto Google Cloud può essere incluso solo in una configurazione applicata e in una configurazione di prova. Tuttavia, le configurazioni di esecuzione forzata e di applicazione forzata non devono necessariamente essere per lo stesso perimetro. Questo ti permette di testare l'impatto dello spostamento di un progetto da un perimetro a un altro senza compromettere la sicurezza attualmente applicata al progetto.

Esempio

Il progetto corp-storage è attualmente protetto dalla configurazione applicata del perimetro PA. Vuoi testare l'impatto dello spostamento di corp-storage nel perimetro del PB.

La configurazione di prova per PA non è stata ancora modificata. Poiché la configurazione di prova non viene modificata, eredita corp-storage dalla configurazione applicata.

Per testare l'impatto, devi prima rimuovere corp-storage dalla configurazione di prova per PA e aggiungere il progetto alla configurazione di prova per PB. Devi prima rimuovere corp-storage dalla configurazione di prova per PA perché i progetti possono esistere in una sola configurazione di prova alla volta.

Se ritieni che la migrazione di corp-storage da PA a PB non abbia effetti negativi sul tuo livello di sicurezza, decidi di applicare le modifiche.

Esistono due modi per applicare le modifiche ai perimetri PA e PB:

  • Puoi rimuovere manualmente corp-storage dalla configurazione con applicazione forzata per PA e aggiungere il progetto alla configurazione con applicazione forzata per PB. Poiché corp-storage può trovarsi solo in una singola configurazione applicata alla volta, devi eseguire i passaggi in questo ordine.

    oppure

  • Puoi utilizzare lo strumento a riga di comando gcloud o l'API Gestore contesto accesso per applicare tutte le configurazioni di prova. Questa operazione si applica a tutte le configurazioni di prova modificate per i tuoi perimetri. Pertanto, sarà utile coordinare le operazioni con tutti gli altri utenti dell'organizzazione che hanno modificato le configurazioni di prova per i tuoi perimetri. Poiché la configurazione di prova per PA esclude già corp-storage, non sono necessari ulteriori passaggi.

La configurazione forzata di un perimetro viene eseguita per prima

Solo le richieste consentite dalla configurazione applicata di un perimetro, ma negate dalla configurazione di prova, vengono registrate come violazioni dei criteri di prova. Le richieste rifiutate dalla configurazione forzata, ma che sono consentite dalla configurazione di prova non vengono registrate.

I livelli di accesso non hanno un equivalente della modalità di prova

Sebbene sia possibile creare una configurazione di prova per un perimetro, i livelli di accesso non hanno una configurazione di prova. In pratica, ciò significa che se vuoi testare l'impatto di una modifica a un livello di accesso sulla tua configurazione di prova, devi:

  1. Crea un livello di accesso che rifletta le modifiche da apportare a un livello di accesso esistente.

  2. Applica il nuovo livello di accesso alla configurazione di prova per il perimetro.

La modalità di prova non ha un impatto negativo sulla sicurezza

Le modifiche a una configurazione di prova per un perimetro, come l'aggiunta di nuovi progetti o i livelli di accesso a un perimetro oppure la modifica dei servizi protetti o accessibili alle reti all'interno del perimetro, non hanno alcun impatto sull'applicazione effettiva di un perimetro.

Ad esempio, supponi di avere un progetto che appartiene al perimetro del servizio PA. Se il progetto viene aggiunto alla configurazione di prova di un altro perimetro, la sicurezza effettiva applicata al progetto non cambia. Il progetto continua a essere protetto dalla configurazione applicata del perimetro PA, come previsto.

Azioni di prova e stati della configurazione

Con la funzionalità di prova, puoi:

  • Creazione di un perimetro con una sola configurazione di prova

  • Aggiorna una configurazione di prova con perimetro esistente

  • Spostare un nuovo progetto in un perimetro esistente

  • Spostare un progetto da un perimetro a un altro

  • Elimina una configurazione di prova di un perimetro

In base all'azione intrapresa in modalità di prova, il perimetro può trovarsi in uno dei seguenti stati di configurazione:

Ereditato da applicato: stato predefinito per i perimetri applicati. In questo stato, le modifiche applicate alla configurazione perimetrale vengono applicate anche alla configurazione di prova.

Modificata: la configurazione della prova di un perimetro è stata visualizzata o modificata e quindi salvata. In questo stato, le modifiche applicate alla configurazione di un perimetro non vengono applicate alla configurazione di prova.

Novità. Il perimetro ha solo una configurazione di prova. Anche se vengono apportate modifiche alla configurazione di prova, fino a quando questo perimetro non ha una configurazione applicata, lo stato rimane Nuovo.

Eliminata: è stata eliminata la configurazione di prova per il perimetro. Questo stato rimane fino alla creazione di una nuova configurazione di prova per il perimetro o all'annullamento dell'azione. In questo stato, le modifiche applicate alla configurazione di un perimetro non vengono applicate alla configurazione di prova.

Limiti della modalità di prova

La modalità di prova viene applicata solo ai perimetri. Non aiuta a comprendere l'impatto della limitazione dell'accesso dell'API Google Cloud al VIP a limitato o privato. Ti consigliamo di assicurare che tutti i servizi che vuoi usare siano disponibili sul VIP con limitazioni prima di configurare il dominio restricted.googleapis.com.

Se non sai con certezza se le API che stai utilizzando in un ambiente esistente sono supportate dal VIP con limitazioni, ti consigliamo di utilizzare il VIP privato. Puoi comunque applicare la sicurezza perimetrale ai servizi supportati. Tuttavia, se utilizzi il VIP privato, le entità all'interno della tua rete avranno accesso ai servizi non protetti (servizi che non sono supportati dai Controlli di servizio VPC), come le versioni per consumatori di Gmail e Drive. Poiché il VIP privato consente di accedere a servizi non supportati dai Controlli di servizio VPC, è possibile che codice compromesso, malware o un utente malintenzionato all'interno della tua rete possano esfiltrare i dati utilizzando tali servizi non protetti.

Passaggi successivi