サービス境界のドライラン モード

VPC Service Controls を使用すると、サービス境界を作成または変更するときに、環境への影響を判断するのが難しくなる場合があります。ドライラン モードでは、VPC Service Controls の有効化と既存の環境での境界の変更の影響をより深く把握できます。

ドライラン モードでは、境界ポリシーに違反するリクエストは拒否されず、ログに記録されるのみです。ドライラン モードは、リソースへのアクセスを妨げることなく、境界構成のテストや、サービスの使用状況のモニタリングに使用されます。一般的な使用例:

  • 既存のサービス境界の変更による影響を判断する。

  • 新しいサービス境界の影響をプレビューする。

  • サービス境界の外部から発信される保護されたサービスへのリクエストをモニタリングする。たとえば、特定のサービスへのリクエストの送信元の確認や、組織内の予期しないサービスの使用の特定です。

  • 開発環境で、本番環境と同様の境界アーキテクチャを作成する。これにより、本番環境に変更を push する前に、サービス境界に起因する問題を特定して軽減できます。

サービス境界は、ドライラン モードを使用することに限定されます。自動適用モードとドライラン モードのハイブリッドを使用するサービス境界を設定することもできます。

ドライラン モードの利点

ドライランモードを使用すると、既存の環境に影響を与えることなく、新しいサービス境界の作成や、複数の既存の境界の変更ができます。新しい境界構成に違反するリクエストはブロックされません。使用されているサービスが VPC Service Controls とすべては統合されていない環境での境界の影響も理解できます。

VPC Service Controls ログで拒否を分析し、構成を変更して潜在的な問題を修正してから、新しいセキュリティ体制を適用できます。

境界構成の問題を解決できない場合は、境界のドライランの構成を維持し、データ抽出の試みの可能性を示す予期しない拒否のログを確認します。ただし、境界へのリクエストは拒否されません。

ドライラン モードのコンセプト

ドライラン モードは、境界構成の 2 回目の評価パスとして機能します。デフォルトでは、すべてのサービス境界の自動適用モードの構成は、ドライランモードの構成に継承されます。この構成は、サービス境界のオペレーションに影響を与えずに変更または削除できます。

ドライラン モードは、自動適用モードの構成を継承するため、各ステップで両方の構成が有効である必要があります。特に、プロジェクトは、適用された構成内の 1 つの境界と、ドライラン構成内の 1 つの境界内にのみ存在できます。そのため、境界間でのプロジェクトの移動など、複数の境界にまたがる変更は、正しい順序でシーケンスする必要があります。

ドライラン モードでは、次の条件を満たす場合にのみ、リクエストがログに記録されます。

  • 境界の適用済みの構成によってリクエストが拒否されていない

  • リクエストが、境界のドライラン構成に違反している。

ドライラン構成のみの境界を作成することもできます。その場合、環境内の新しく適用された境界の影響をシミュレートできます。

ポリシーのセマンティクス

次のセクションでは、自動適用モードとドライラン モード間のポリシー関係、および適用が解決される順序について説明します。

一意のメンバーシップ制約

Google Cloud プロジェクトは、1 つの適用済みの構成と 1 つのドライラン構成にのみ含めることができます。ただし、適用済みの構成とドライラン構成は同じ境界用である必要はありません。これにより、プロジェクトに現在適用されているセキュリティを損なうことなく、プロジェクトをある境界から別の境界に移行した場合の影響をテストできます。

プロジェクト corp-storage は現在、境界 PA の適用済みの構成によって保護されています。corp-storage を境界 PB に移行した場合の影響をテストする必要があります。

PA のドライラン構成はまだ変更されていません。ドライラン構成は変更されていないため、適用済みの構成から corp-storage を継承します。

影響をテストするには、PA のドライラン構成から corp-storage を削除し、プロジェクトを PB のドライラン構成に追加します。 プロジェクトは一度に 1 つのドライラン構成でしか存在できないため、PA のドライラン構成から corp-storage を削除する必要があります。

corp-storage を PA から PB へ移行しても、セキュリティ体制に悪影響が及ばないと判断した場合は、変更を適用することにします。

境界 PA と境界 PB に変更を適用するには、次の 2 つの方法があります。

  • PA の適用済みの構成から corp-storage手動で削除し、PB の適用済みの構成にプロジェクトを追加します。corp-storage は一度に 1 つの適用済み構成にしかできないため、この順序で手順を実行する必要があります。

    または

  • gcloud コマンドライン ツールまたは Access Context Manager API を使用して、ドライラン構成すべてを適用します。このオペレーションは、すべての変更した境界のドライラン構成に適用されるため、境界のドライラン構成を変更した組織内のメンバーとオペレーションの調整を行う必要があります。PA のドライラン構成ではすでに corp-storage が除外されているため、追加の手順は必要ありません。

境界の適用済みの構成が最初に実行される

境界の適用済みの構成で許可されているが、ドライラン構成によって拒否されたリクエストのみが、ドライラン ポリシー違反としてログに記録されます。適用済みの構成によって拒否されたが、ドライラン構成によって許可されたリクエストは、ログに記録されません。

アクセスレベルにドライラン モードと同等のモードがない

境界のドライラン構成を作成できますが、アクセスレベルにはドライラン構成がありません。実際には、アクセスレベルの変更がドライラン構成にどのように影響するかをテストするには、以下を行う必要があります。

  1. 既存のアクセスレベルに加える変更を反映したアクセスレベルを作成します。

  2. 新しいアクセスレベルを境界のドライラン構成に適用します。

ドライラン モードはセキュリティに悪影響を与えない

境界のドライラン構成の変更(境界への新しいプロジェクトやアクセスレベルの追加、境界内のネットワークに対して保護されるまたはアクセスできるサービスの変更など)は、教会の実際の適用には影響がありません。

たとえば、サービス境界 PA に属するプロジェクトがあるとします。プロジェクトを別の境界のドライラン構成に追加しても、プロジェクトに適用される実際のセキュリティは変わりません。プロジェクトは、予期されるように、境界 PA の適用済みの構成による保護が継続されます。

ドライランのアクションと構成のステータス

ドライラン機能を使用すると、次のことができます。

  • 1 つのドライラン構成のみで境界を作成する

  • 既存の境界のドライラン構成を更新する

  • 新しいプロジェクトを既存の境界に移動する

  • 境界間でプロジェクトを移動する

  • 境界のドライラン構成を削除する

ドライラン モードで行われたアクションに基づいて、境界は次のいずれかの構成ステータスになります。

適用済みから継承: 適用済みの境界のデフォルトの状態。この状態では、境界の適用済みの構成の変更は、ドライラン構成にも適用されます。

変更済み: 境界のドライラン構成が表示または変更され、保存されます。この状態では、境界の適用構成に対する変更は、ドライラン構成には適用されません。

新規: 境界にはドライラン構成のみがあります。ドライラン構成に変更が加えられても、この境界が適用済みの構成を持つまでは、ステータスは新規のままです。

削除済み: 境界のドライラン構成が削除されています。このステータスは、境界用の新しいドライラン構成を作成するか、アクションを元に戻すまで維持されます。この状態では、境界の適用構成に対する変更は、ドライラン構成には適用されません。

ドライラン モードの制限事項

ドライラン モード境界のみが境界に適用されます。ただし、このことは、制限付き VIP またはプライベート VIP への Google Cloud API へのアクセスを制限することの影響の理解には役立ちません。restricted.googleapis.com ドメインを構成する前に、使用するすべてのサービスが制限付き VIP で利用可能であることを確認することをおすすめします。

既存の環境で使用している API が制限付き VIP でサポートされているかどうかが不明な場合は、プライベート VIP を使用することをおすすめします。サポート対象のサービスには境界セキュリティを適用できます。ただし、プライベート VIP を使用すると、ネットワーク内のエンティティは、Gmail や Drive の一般ユーザー向けバージョンのような、保護されていないサービス(VPC Service Controls のサポート対象外のサービス)にアクセスできます。プライベート VIP は VPC Service Controls でサポートされていないサービスを許可するため、感染コード、マルウェア、ネットワーク内の悪意のあるユーザーが、保護されていないサービスを使用してデータを盗み出す可能性があります。

次のステップ