GCPの新機能、VPSSCのドライランモードを解剖する (2023.JUNE.18th, with ChatGCPT-4)

Google Cloud Platform（GCP）のVPC Service Controls（VPSSC）は、クラウド環境のセキュリティを強化するための重要なツールです。その中でも、ドライランモードは特に注目を集めています。このモードを使用すると、サービスパーリメーターの作成や変更が環境にどのような影響を及ぼすかを事前に確認することができます。しかし、その機能と利用方法はまだ十分に理解されていないかもしれません。そこで今回は、このドライランモードについて詳しく解説します。

ドライランモードとは

ドライランモードは、VPC Service Controlsの新機能で、サービスパーリメーターの作成や変更が環境にどのような影響を及ぼすかを事前に確認することができます。具体的には、パーリメーターポリシーに違反するリクエストを拒否せずにログに記録します。これにより、パーリメーター設定のテストや、リソースへのアクセスを阻止せずにサービスの使用状況を監視することが可能になります。

ドライランモードの利用シーン

ドライランモードの利用シーンは以下のようなものがあります。

1. 既存のサービスパーリメーターの変更がどのような影響を及ぼすかを確認する。

2. 新たに設定するサービスパーリメーターがどのような影響を及ぼすかをプレビューする。

3. サービスパーリメーターの外部から保護されたサービスへのリクエストを監視する。例えば、特定のサービスへのリクエストがどこから来ているかを確認したり、組織内で予期しないサービスの使用を特定することができます。

4. 開発環境で、本番環境と同じパーリメーター構成を作成する。これにより、パーリメーターが引き起こす問題を特定し、本番環境への変更を行う前に対策を講じることができます。

サービスパーリメーターは、ドライランモードだけで存在することも可能です。また、強制モードとドライランモードのハイブリッドを使用するサービスパーリメーターも作成できます。

ドライランモードの利点

ドライランモードを使用すると、新しいサービスパーリメーターを作成したり、複数の既存パーリメーターを変更したりしても、既存の環境に影響を与えずに済みます。新しいパーリメーター設定に違反するリクエストはブロックされません。また、VPC Service Controlsと統合されていないすべてのサービスを使用している環境でパーリメーターの影響を理解することもできます。

VPC Service Controlsのログを分析して拒否された内容を確認し、潜在的な問題を修正した後、新しいセキュリティポスチャを強制することができます。

パーリメーター設定の問題が解決できない場合でも、パーリメーターのドライラン設定を維持し、予期しない拒否が発生した場合のログを監視することができます。ただし、パーリメーターへのリクエストは拒否されません。

ドライランモードの制約

ドライランモードはパーリメーターにのみ適用され、制限されたVIPまたはプライベートVIPへのGoogle Cloud APIアクセスの制限の影響を理解するのには役立ちません。すべてのサービスが制限されたVIPで利用可能であることを確認することをお勧めします。

既存の環境で使用しているAPIが制限されたVIPでサポートされているかどうか不確かな場合は、プライベートVIPを使用することをお勧めします。サポートされているサービスに対してパーリメーターのセキュリティを強制することはできますが、プライベートVIPを使用すると、ネットワーク内のエンティティはGmailやDriveの消費者版など、VPC Service Controlsによってサポートされていない非セキュアなサービスにアクセスできます。プライベートVIPはVPC Service Controlsによってサポートされていないサービスも許可するため、ネットワーク内の侵害されたコード、マルウェア、または悪意のあるユーザーが、それらの非セキュアなサービスを使用してデータを外部に送信する可能性があります。

まとめ

GCPのVPC Service Controlsのドライランモードは、サービスパーリメーターの設定や変更が環境に与える影響を事前に確認できる強力なツールです。しかし、その利用には注意が必要で、特に制限されたVIPまたはプライベートVIPへのGoogle Cloud APIアクセスの制限の影響を理解するのには役立ちません。そのため、すべてのサービスが制限されたVIPで利用可能であることを確認することが重要です。