Modalità dry run per i perimetri di servizio

Quando si utilizzano i Controlli di servizio VPC, può essere difficile determinare l'impatto sull'ambiente quando viene creato o modificato un perimetro di servizio. Con la modalità dry run, puoi comprendere meglio l'effetto dell'attivazione dei Controlli di servizio VPC e delle modifiche ai perimetri negli ambienti esistenti.

Nella modalità dry run, le richieste che violano la policy del perimetro non vengono rifiutate, ma solo registrate. Puoi utilizzare la modalità dry run per testare la configurazione del perimetro e monitorare l'utilizzo dei servizi senza impedire l'accesso alle risorse. I casi d'uso comuni includono:

• Determinare l'impatto delle modifiche sui perimetri di servizio esistenti.

• Visualizzare in anteprima l'impatto dei nuovi perimetri di servizio.

• Monitorare le richieste ai servizi protetti provenienti dall'esterno di un perimetro di servizio. Ad esempio, per vedere da dove provengono le richieste a un determinato servizio o identificare un utilizzo imprevisto del servizio all'interno dell'organizzazione.

• Creare un'architettura di perimetro analoga a quella dell'ambiente di produzione nei tuoi ambienti di sviluppo. Questo consente di identificare e mitigare gli eventuali problemi causati dai perimetri di servizio prima di eseguire il push delle modifiche nell'ambiente di produzione.

I perimetri di servizio possono esistere utilizzando esclusivamente la modalità dry run. Possono anche esistere perimetri di servizio che utilizzano una combinazione di modalità di applicazione forzata e dry run.

Vantaggi della modalità dry run

Utilizzando la modalità dry run, puoi creare nuovi perimetri di servizio o modificare più perimetri esistenti senza influire su un ambiente esistente. Le richieste che violano la configurazione del nuovo perimetro non vengono bloccate. Puoi anche comprendere l'impatto del perimetro in un ambiente in cui non tutti i servizi in uso sono integrati con i Controlli di servizio VPC.

Puoi analizzare i log dei Controlli di servizio VPC per individuare i rifiuti, modificare la configurazione per risolvere i potenziali problemi e poi applicare in modo forzato la nuova postura di sicurezza.

Se i problemi relativi alla configurazione del perimetro non possono essere risolti, puoi scegliere di mantenere la configurazione dry run del perimetro e monitorare i log per identificare eventuali rifiuti imprevisti che potrebbero indicare un tentativo di esfiltrazione. Le richieste al perimetro non vengono rifiutate.

Concetti della modalità dry run

La modalità dry run funziona come un secondo passaggio di valutazione della configurazione del perimetro. Per impostazione predefinita, la configurazione della modalità di applicazione forzata per tutti i perimetri di servizio viene ereditata nella configurazione della modalità dry run, in cui la configurazione può essere modificata o eliminata senza effetti sul funzionamento del perimetro di servizio.

Poiché la modalità dry run eredita la configurazione della modalità di applicazione forzata, a ogni passaggio entrambe le configurazioni devono essere valide. In particolare, un progetto può trovarsi in un solo perimetro nella configurazione applicata e in un solo perimetro nella configurazione dry run. Di conseguenza, le modifiche che interessano più perimetri, ad esempio lo spostamento di un progetto tra perimetri, devono essere eseguite nell'ordine corretto.

La modalità dry run registra una richiesta solo se soddisfa entrambi i seguenti criteri:

• La richiesta non è già stata rifiutata dalla configurazione dry run o forzata del perimetro.

• La richiesta viola la configurazione dry run del perimetro.

Ad esempio, se configurazioni identiche della modalità dry run e della modalità di applicazione forzata limitano un bucket Cloud Storage, la modalità di applicazione forzata blocca e registra qualsiasi richiesta al bucket Cloud Storage. La modalità dry run registra solo le differenze nelle violazioni rispetto alla modalità di applicazione forzata.

Negli audit log di un controllo delle policy in modalità dry run, il valore del campo metadata.dryRun nel log di controllo è impostato su True. Per saperne di più, consulta Contenuti dei record di audit log.

Puoi anche creare perimetri che hanno solo una configurazione dry run. Questo consente di simulare l'impatto di un nuovo perimetro in modalità di applicazione forzata nel tuo ambiente.

Per valutare la configurazione dry run di un perimetro di servizio, imposta il campo useExplicitDryRunSpec nella configurazione del perimetro di servizio su True. Per saperne di più, consulta accessPolicies.servicePerimeters.

Semantica delle policy

La sezione seguente descrive la relazione tra le policy in modalità di applicazione forzata e modalità dry run e l'ordine in cui viene risolta l'applicazione.

Vincolo di appartenenza univoca

Un progetto Google Cloud può essere incluso in una sola configurazione applicata e in una sola configurazione dry run. Tuttavia, le configurazioni applicate e dry run non devono necessariamente riguardare lo stesso perimetro. Questo ti permette di testare l'impatto dello spostamento di un progetto da un perimetro a un altro senza compromettere la sicurezza attualmente applicata al progetto.

Esempio

Il progetto corp-storage è attualmente protetto dalla configurazione applicata del perimetro PA. Vuoi testare l'impatto dello spostamento di corp-storage nel perimetro PB.

La configurazione dry run per PA non è ancora stata modificata. Poiché la configurazione dry run non è stata modificata, eredita corp-storage dalla configurazione applicata.

Per testare l'impatto, per prima cosa rimuovi corp-storage dalla configurazione dry run per PA e poi aggiungi il progetto alla configurazione dry run per PB. Devi prima rimuovere corp-storage dalla configurazione dry run per PA perché i progetti possono esistere in una sola configurazione dry run alla volta.

Una volta accertato che la migrazione di corp-storage da PA a PB non avrà effetti negativi sulla tua postura di sicurezza, decidi di applicare le modifiche.

Esistono due modi per applicare le modifiche ai perimetri PA e PB:

• Puoi rimuovere manualmente corp-storage dalla configurazione applicata per PA e aggiungere il progetto alla configurazione applicata per PB. Poiché corp-storage può trovarsi in una sola configurazione applicata alla volta, devi eseguire i passaggi in questo ordine.

  -oppure-

• Puoi utilizzare lo strumento a riga di comando gcloud o l'API Gestore contesto accesso per applicare in modo forzato tutte le configurazioni dry run. Questa operazione si applica a tutte le configurazioni dry run modificate per i tuoi perimetri, pertanto ti consigliamo di coordinare l'operazione con chiunque altro nella tua organizzazione abbia modificato le configurazioni dry run per i perimetri. Poiché la configurazione dry run per PA esclude già corp-storage, non sono necessari ulteriori passaggi.

La configurazione forzata di un perimetro viene eseguita per prima

Solo le richieste consentite dalla configurazione applicata di un perimetro, ma negate dalla configurazione dry run, vengono registrate come violazioni della policy dry run. Le richieste rifiutate dalla configurazione applicata, ma che sarebbero consentite dalla configurazione dry run, non vengono registrate.

I livelli di accesso non hanno un equivalente della modalità dry run

Anche se puoi creare una configurazione dry run per un perimetro, i livelli di accesso non hanno una configurazione dry run. In pratica, questo vuol dire che se vuoi testare l'impatto di una modifica a un livello di accesso sulla configurazione dry run, devi:

1. Creare un livello di accesso che rifletta le modifiche che vuoi apportare a un livello di accesso esistente.

2. Applicare il nuovo livello di accesso alla configurazione dry run per il perimetro.

La modalità dry run non ha un impatto negativo sulla sicurezza

Le modifiche a una configurazione dry run per un perimetro, ad esempio l'aggiunta di nuovi progetti o livelli di accesso a un perimetro o la modifica dei servizi protetti o accessibili alle reti all'interno del perimetro, non influiscono sull'applicazione effettiva di un perimetro.

Ad esempio, supponiamo che tu abbia un progetto che appartiene al perimetro di servizio PA. Se il progetto viene aggiunto alla configurazione dry run di un altro perimetro, la sicurezza effettiva applicata al progetto non cambia. Il progetto continua a essere protetto dalla configurazione applicata del perimetro PA, come previsto.

Azioni e stati della configurazione dry run

Utilizzando la funzionalità dry run, puoi:

• Creare un perimetro con una sola configurazione dry run

• Aggiornare la configurazione dry run di un perimetro esistente

• Spostare un nuovo progetto in un perimetro esistente

• Spostare un progetto da un perimetro all'altro

• Eliminare la configurazione dry run di un perimetro

In base all'azione intrapresa in modalità dry run, un perimetro può trovarsi in uno dei seguenti stati di configurazione:

Ereditata da applicata: stato predefinito per i perimetri in modalità di applicazione forzata. In questo stato, qualsiasi modifica alla configurazione applicata del perimetro viene applicata anche alla configurazione dry run.

Modificata: la configurazione dry run per un perimetro è stata visualizzata o modificata e poi salvata. In questo stato, le modifiche alla configurazione applicata di un perimetro non vengono applicate alla configurazione dry run.

Nuova: il perimetro ha una sola configurazione dry run. Anche se vengono apportate modifiche alla configurazione dry run, finché questo perimetro ha una configurazione applicata, lo stato rimane Nuova.

Eliminata: la configurazione dry run per il perimetro è stata eliminata. Questo stato rimane finché non crei una nuova configurazione dry run per il perimetro o annulli l'azione. In questo stato, le modifiche alla configurazione applicata di un perimetro non vengono applicate alla configurazione dry run.

Limitazioni della modalità dry run

La modalità dry run si applica solo ai perimetri. Non aiuta a comprendere l'impatto della limitazione dell'accesso dell'API Google Cloud al VIP privato o con limitazioni. Ti consigliamo di verificare che tutti i servizi che vuoi utilizzare siano disponibili sul VIP con limitazioni prima di configurare il dominio restricted.googleapis.com.

Se non sai se le API che utilizzi in un ambiente esistente sono supportate dal VIP limitato, ti consigliamo di utilizzare il VIP privato. Puoi comunque applicare in modo forzato la sicurezza del perimetro per i servizi supportati. Tuttavia, se utilizzi il VIP privato, le entità all'interno della tua rete avranno accesso a servizi non protetti (servizi non supportati dai Controlli di servizio VPC), come le versioni consumer di Gmail e Drive. Poiché il VIP privato consente servizi non supportati dai Controlli di servizio VPC, è possibile che codice compromesso, malware o un utente malintenzionato all'interno della tua rete esfiltrino dati utilizzando questi servizi non protetti.

Passaggi successivi

• Crea un perimetro in modalità dry run

• Scopri come gestire le configurazioni dry run.

• Esamina i comandi dello strumento a riga di comando gcloud per la modalità dry run