Quando utilizzi Controlli di servizio VPC, può essere difficile determinare l'impatto sul tuo ambiente quando viene creato o modificato un perimetro di servizio. Con la modalità dry run, puoi comprendere meglio l'effetto dell'attivazione dei Controlli di servizio VPC e delle modifiche ai perimetri negli ambienti esistenti.
Nella modalità di prova, le richieste che violano i criteri del perimetro non vengono rifiutate, ma solo registrate. Puoi utilizzare la modalità di prova per testare la configurazione del perimetro e monitorare l'utilizzo dei servizi senza impedire l'accesso alle risorse. I casi d'uso comuni includono:
Determinare l'impatto delle modifiche ai perimetri di servizio esistenti.
Visualizzazione in anteprima dell'impatto dei nuovi perimetri di servizio.
Monitoraggio delle richieste ai servizi protetti provenienti dall'esterno di un perimetro di servizio. Ad esempio, puoi vedere da dove provengono le richieste a un determinato servizio o identificare un utilizzo imprevisto del servizio nella tua organizzazione.
Nei tuoi ambienti di sviluppo, crea un'architettura perimetrale analoga a quella dell'ambiente di produzione. In questo modo puoi identificare e mitigare eventuali problemi causati dai perimetri di servizio prima di eseguire il push delle modifiche nell'ambiente di produzione.
I perimetri di servizio possono esistere utilizzando esclusivamente la modalità dry run. Puoi anche avere perimetri di servizio che utilizzano una combinazione di modalità di applicazione e di prova.
Vantaggi della modalità dry run
Utilizzando la modalità di prova, puoi creare nuovi perimetri di servizio o modificare più perimetri esistenti senza influire su un ambiente esistente. Le richieste che violano la nuova configurazione del perimetro non vengono bloccate. Puoi anche comprendere l'impatto del perimetro in un ambiente in cui non tutti i servizi utilizzati sono integrati con i Controlli di servizio VPC.
Puoi analizzare i log di Controlli di servizio VPC per i rifiuti, modificare la configurazione per risolvere potenziali problemi e poi applicare la nuova postura di sicurezza.
Se i problemi relativi alla configurazione del perimetro non possono essere risolti, puoi scegliere di mantenere la configurazione di prova del perimetro e monitorare i log per rilevare negazioni inattese che potrebbero indicare un tentativo di esfiltrazione. Le richieste al perimetro non vengono rifiutate.
Concetti della modalità dry run
La modalità dry run funziona come un secondo passaggio di valutazione della configurazione del perimetro. Per impostazione predefinita, la configurazione della modalità di applicazione per tutti i perimetri di servizio viene ereditata nella configurazione della modalità di prova, in cui la configurazione può essere modificata o eliminata senza influire sul funzionamento del perimetro di servizio.
Poiché la modalità di prova eredita la configurazione della modalità applicata, a ogni passaggio entrambe le configurazioni devono essere valide. In particolare, un progetto può trovarsi in un solo perimetro nella configurazione applicata e in un solo perimetro nella configurazione di prova. Di conseguenza, le modifiche che interessano più perimetri, ad esempio lo spostamento di un progetto tra perimetri, devono essere sequenziate nell'ordine corretto.
La modalità di prova dry run registra una richiesta solo se soddisfa entrambi i seguenti criteri:
La richiesta non è già stata rifiutata dalla configurazione applicata del perimetro.
La richiesta viola la configurazione di prova del perimetro.
Ad esempio, se le configurazioni identiche della modalità di prova e della modalità di applicazione limitano un bucket Cloud Storage, la modalità di applicazione blocca e registra qualsiasi richiesta al bucket Cloud Storage. La modalità dry run registra solo le differenze nelle violazioni rispetto alla modalità applicata.
Nei log di controllo di un controllo delle policy in modalità di prova, il valore del campo metadata.dryRun
nel log di controllo è impostato su True. Per ulteriori informazioni, vedi
Contenuto del record del log di controllo.
Puoi anche creare perimetri con solo una configurazione di prova. In questo modo puoi simulare l'impatto di un nuovoperimetro in modalità di applicazione forzatao nel tuo ambiente.
Per valutare la configurazione di prova di un perimetro di servizio, imposta il campo
useExplicitDryRunSpec nella configurazione del perimetro di servizio su True.
Per ulteriori informazioni, vedi accessPolicies.servicePerimeters.
Semantica dei criteri
La sezione seguente descrive la relazione tra le norme in modalità di applicazione e di prova e l'ordine in cui viene risolta l'applicazione.
Vincolo di appartenenza univoca
Un progetto Google Cloud può essere incluso solo in una configurazione applicata e in una configurazione di prova. Tuttavia, le configurazioni applicate e di prova non devono riguardare lo stesso perimetro. In questo modo, puoi testare l'impatto dello spostamento di un progetto da un perimetro all'altro senza compromettere la sicurezza attualmente applicata al progetto.
Esempio
Il progetto corp-storage è attualmente protetto dalla configurazione forzata del perimetro PA. Vuoi testare l'impatto dello spostamento di corp-storage nel perimetro PB.
La configurazione di prova per PA non è ancora stata modificata. Poiché la configurazione dry run non è stata modificata, eredita corp-storage dalla configurazione applicata.
Per testare l'impatto, rimuovi prima corp-storage dalla configurazione di prova per PA e aggiungi il progetto alla configurazione di prova per PB.
Devi rimuovere corp-storage dalla configurazione dry run per PA prima
perché i progetti possono esistere in una sola configurazione dry run alla volta.
Quando hai la certezza che la migrazione di corp-storage da PA a PB non avrà effetti negativi sulla tua postura di sicurezza, decidi di applicare le modifiche.
Esistono due modi per applicare le modifiche ai perimetri PA e PB:
Puoi rimuovere manualmente
corp-storagedalla configurazione forzata per PA e aggiungere il progetto alla configurazione forzata per PB. Poichécorp-storagepuò trovarsi in una sola configurazione applicata alla volta, devi eseguire i passaggi in questo ordine.-or-
Puoi utilizzare lo
gcloudstrumento a riga di comando o l'API Access Context Manager per applicare tutte le configurazioni di prova. Questa operazione si applica a tutte le configurazioni di prova modificate per i tuoi perimetri, pertanto ti consigliamo di coordinarla con chiunque altro nella tua organizzazione abbia modificato le configurazioni di prova per i tuoi perimetri. Poiché la configurazione di prova per PA esclude giàcorp-storage, non sono necessari ulteriori passaggi.
Viene eseguita per prima la configurazione forzata di un perimetro
Solo le richieste consentite dalla configurazione applicata di un perimetro, ma negate dalla configurazione di prova, vengono registrate come violazioni delle policy di prova. Le richieste rifiutate dalla configurazione applicata, ma che sarebbero consentite dalla configurazione dry run, non vengono registrate.
I livelli di accesso non hanno una modalità dry run equivalente
Sebbene tu possa creare una configurazione dry run per un perimetro, i livelli di accesso non hanno una configurazione dry run. In pratica, se vuoi testare l'impatto di una modifica a un livello di accesso sulla configurazione dry run, devi:
Crea un livello di accesso che rifletta le modifiche che vuoi apportare a un livello di accesso esistente.
Applica il nuovo livello di accesso alla configurazione dry run per il perimetro.
La modalità di prova non ha un impatto negativo sulla sicurezza
Le modifiche a una configurazione di prova per un perimetro, ad esempio l'aggiunta di nuovi progetti o livelli di accesso a un perimetro o la modifica dei servizi protetti o accessibili alle reti all'interno del perimetro, non influiscono sull'applicazione effettiva di un perimetro.
Ad esempio, supponiamo che tu abbia un progetto che appartiene al perimetro di servizio PA. Se il progetto viene aggiunto alla configurazione di prova di un altro perimetro, la sicurezza effettiva applicata al progetto non cambia. Il progetto continua a essere protetto dalla configurazione forzata di PA perimetrale, come previsto.
Azioni e stati di configurazione dry run
Utilizzando la funzionalità di prova generale, puoi:
Crea un perimetro con una sola configurazione di prova
Aggiornare la configurazione dry run di un perimetro esistente
Spostare un nuovo progetto in un perimetro esistente
Spostare un progetto da un perimetro all'altro
Eliminare la configurazione di prova di un perimetro
In base all'azione intrapresa in modalità dry run, un perimetro può trovarsi in uno dei seguenti stati di configurazione:
Ereditato da applicato in modo forzato:stato predefinito per i perimetri in modalità di applicazione forzata. In questo stato, qualsiasi modifica alla configurazione applicata del perimetro viene applicata anche alla configurazione di prova.
Modificata:la configurazione della prova generale per un perimetro è stata visualizzata o modificata e poi salvata. In questo stato, le modifiche alla configurazione applicata di un perimetro non vengono applicate alla configurazione dry run.
Nuovo:il perimetro ha solo una configurazione di prova. Anche se vengono apportate modifiche alla configurazione dry run, finché questo perimetro non ha una configurazione applicata, lo stato rimane Nuovo.
Eliminata: la configurazione di prova per il perimetro è stata eliminata. Questo stato rimane fino a quando non crei una nuova configurazione dry run per il perimetro o annulli l'azione. In questo stato, le modifiche alla configurazione applicata di un perimetro non vengono applicate alla configurazione dry run.
Limitazioni della modalità dry run
La modalità di prova si applica solo ai perimetri. Non aiuta a comprendere l'impatto
della limitazione dell'accesso all'API Google Cloud all'IP virtuale privato o con limitazioni. Ti consigliamo di assicurarti che
tutti i servizi che vuoi utilizzare siano disponibili sul VIP con limitazioni prima di
configurare il dominio restricted.googleapis.com.
Se non sai se le API che utilizzi in un ambiente esistente sono supportate dal VIP limitato, ti consigliamo di utilizzare il VIP privato. Puoi comunque applicare la sicurezza perimetrale per i servizi supportati. Tuttavia, se utilizzi il VIP privato, le entità all'interno della tua rete avranno accesso a servizi non protetti (servizi non supportati dai Controlli di servizio VPC), come le versioni consumer di Gmail e Drive. Poiché il VIP privato consente servizi non supportati da Controlli di servizio VPC, è possibile che codice compromesso, malware o un utente malintenzionato all'interno della tua rete esfiltrino i dati utilizzando questi servizi non protetti.
Passaggi successivi
Scopri come gestire le configurazioni di prova.
Esamina i comandi dello strumento a riga di comando
gcloudper la modalità di prova