サービス境界のドライラン モード

VPC Service Controls を使用すると、サービス境界を作成または変更するときに、環境への影響を判断するのが難しくなる場合があります。ドライラン モードでは、VPC Service Controls の有効化と既存の環境における境界の変更の影響をより深く把握できます。

ドライラン モードでは、境界ポリシーに違反するリクエストは拒否されず、ログに記録されるのみです。ドライラン モードを使用すると、リソースへのアクセスを妨げることなく、境界の構成をテストしたり、サービスの使用状況をモニタリングできます。一般的なユースケースは次のとおりです。

  • 既存のサービス境界の変更による影響を判断する。

  • 新しいサービス境界の影響をプレビューする。

  • サービス境界の外部から発信される保護されたサービスへのリクエストをモニタリングする。たとえば、特定のサービスへのリクエストの送信元の確認や、組織内の予期しないサービスの使用の特定です。

  • 開発環境で、本番環境と同様の境界アーキテクチャを作成する。これにより、本番環境に変更を push する前に、サービス境界に起因する問題を確認して軽減できます。

サービス境界は、ドライラン モードを使用することに限定されます。自動適用モードとドライラン モードのハイブリッドを使用するサービス境界を設定することもできます。

ドライラン モードの利点

ドライラン モードでは、既存の環境に影響を与えることなく、新しいサービス境界の作成や、既存の境界の変更を行うことができます。新しい境界構成に違反するリクエストはブロックされません。また、使用されているすべてのサービスが VPC Service Controls と統合されていない環境の境界を把握することもできます。

VPC Service Controls ログで拒否を分析し、構成を変更して潜在的な問題を修正してから、新しいセキュリティ体制を適用できます。

境界の構成の問題が解決できない場合は、境界のドライラン構成を保持し、引き出しの試みを示す予期しない拒否のログをモニタリングできます。ただし、境界へのリクエストは拒否されません。

ドライラン モードのコンセプト

ドライラン モードは、境界構成の 2 回目の評価パスとして機能します。デフォルトでは、すべてのサービス境界の自動適用モードの構成は、ドライラン モードの構成に継承されます。この構成は、サービス境界のオペレーションに影響を与えずに変更または削除できます。

ドライラン モードは、自動適用モードの構成を継承するため、各ステップで両方の構成が有効である必要があります。特に、プロジェクトは、適用された構成内の 1 つの境界と、ドライラン構成内の 1 つの境界内にのみ存在できます。そのため、境界間でのプロジェクトの移動など、複数の境界にまたがる変更は、正しい順序でシーケンスする必要があります。

ドライラン モードでは、次の条件を両方満たす場合にのみ、リクエストがログに記録されます。

  • 境界の適用済みの構成によってリクエストが拒否されていない

  • リクエストが、境界のドライラン構成に違反している。

たとえば、ドライラン モードと自動適用モードの構成が同じであり、これによって Cloud Storage バケットが制限されている場合、自動適用モードでは、Cloud Storage バケットに対するすべてのリクエストがブロックされ、ログに記録されます。ドライラン モードでは、自動適用モードと比較した場合の違反の差のみがログに記録されます。

ドライラン構成のみの境界を作成することもできます。その場合、環境内の新しく適用された境界の影響をシミュレートできます。

ポリシー セマンティクス

次のセクションでは、自動適用モードとドライラン モード間のポリシー関係、適用が解決される順序について説明します。

一意のメンバーの制約

Google Cloud プロジェクトは、1 つの適用済みの構成と 1 つのドライラン構成にのみ含めることができます。ただし、適用済みの構成とドライラン構成は同じ境界用である必要はありません。これにより、プロジェクトに現在適用されているセキュリティを損なうことなく、プロジェクトをある境界から別の境界に移行した場合の影響をテストできます。

プロジェクト corp-storage は現在、境界 PA の適用済みの構成によって保護されています。corp-storage を境界 PB に移行した場合の影響をテストする必要があります。

PA のドライラン構成はまだ変更されていません。ドライラン構成は変更されていないため、適用された構成から corp-storage を継承します。

影響をテストするには、PA のドライラン構成から corp-storage を削除し、プロジェクトを PB のドライラン構成に追加します。プロジェクトは一度に 1 つのドライラン構成でしか存在できないため、PA のドライラン構成から corp-storage を削除する必要があります。

corp-storage を PA から PB へ移行しても、セキュリティ体制に悪影響が及ばないと判断した場合は、変更を適用することにします。

境界 PA と境界 PB に変更を適用するには、次の 2 つの方法があります。

  • PA の適用済みの構成から corp-storage手動で削除し、PB の適用済みの構成にプロジェクトを追加します。corp-storage は一度に 1 つの適用済み構成にしかできないため、この順序で手順を実行する必要があります。

    または

  • gcloud コマンドライン ツールまたは Access Context Manager API を使用して、ドライラン構成すべてを適用します。このオペレーションは、すべての変更した境界のドライラン構成に適用されるため、境界のドライラン構成を変更した組織内のメンバーとオペレーションの調整を行う必要があります。PA のドライラン構成ではすでに corp-storage が除外されているため、追加の手順は必要ありません。

最初に境界の適用構成が実行される

境界の適用済みの構成で許可されているが、ドライラン構成によって拒否されたリクエストのみが、ドライラン ポリシー違反としてログに記録されます。適用済みの構成によって拒否されたが、ドライラン構成によって許可されたリクエストは、ログに記録されません。

アクセスレベルにドライラン モードと同等のモードがない

境界にドライラン構成を作成できますが、アクセスレベルにはドライランの構成がありません。アクセスレベルの変更がドライラン構成にどのように影響するかをテストする場合は、次の作業を行う必要があります。

  1. 既存のアクセスレベルに加える変更を反映するアクセスレベルを作成します。

  2. 新しいアクセスレベルを境界のドライラン構成に適用します。

ドライラン モードはセキュリティに悪影響を与えない

境界のドライラン構成の変更(境界への新しいプロジェクトやアクセスレベルの追加、境界内のネットワークに対して保護されるまたはアクセスできるサービスの変更など)は、境界の実際の適用には影響がありません。

たとえば、サービス境界 PA に属するプロジェクトがあるとします。別の境界のドライラン構成にプロジェクトを追加しても、プロジェクトに適用される実際のセキュリティは変更されません。プロジェクトは、境界 PA の適用構成によって保護されています。

ドライランのアクションと構成ステータス

ドライラン機能を使用すると、次のことができます。

  • 1 つのドライラン構成のみで境界を作成する

  • 既存の境界のドライランの構成を更新する

  • 既存のプロジェクトを既存の境界に移動する

  • 境界間でプロジェクトを移動する

  • 境界のドライランの構成を削除する

ドライラン モードで行われたアクションに基づいて、境界は次のいずれかの構成ステータスになります。

適用済みから継承: 適用済みの境界のデフォルトの状態。この状態では、境界の適用済みの構成の変更は、ドライラン構成にも適用されます。

変更済み: 境界のドライラン構成が表示または変更され、保存されます。この状態では、境界の適用構成に対する変更はドライラン構成に適用されません。

新規: 境界にはドライラン構成のみがあります。ドライラン構成に変更が加えられても、この境界が適用済みの構成を持つまでは、ステータスは新規のままです。

削除済み: 境界のドライラン構成が削除されています。このステータスは、境界用の新しいドライラン構成を作成するか、アクションを元に戻すまで維持されます。この状態では、境界の適用構成に対する変更はドライラン構成に適用されません。

ドライラン モードの制限事項

ドライラン モードは境界にのみ適用されます。ただし、これにより、制限付き VIP またはプライベート VIP に対する Google Cloud API のアクセスを制限することの影響を理解することはできません。restricted.googleapis.com ドメインを構成する前に、使用するすべてのサービスが制限付き VIP で利用可能であることを確認することをおすすめします。

既存の環境で使用している API が制限付き VIP でサポートされているかどうか不明な場合は、プライベート VIP を使用することをおすすめします。サポートされているサービスには境界セキュリティを適用できます。ただし、プライベート VIP を使用する場合、ネットワーク内のエンティティは、Gmail やドライブの一般ユーザー向けのバージョンなど、安全でないサービス(VPC Service Controls でサポートされていないサービスにアクセスできます。プライベート VIP では VPC Service Controls でサポートされていないサービスが許可されるため、ネットワーク内の感染コード、マルウェア、悪意のあるユーザーにより、こうした安全でないサービスを介してデータが流出する可能性があります。

次のステップ