Ce document fournit des conseils de configuration pour vous aider à déployer en toute sécurité des règles de mise en réseau Google Cloud aux États-Unis (US) conformes aux exigences de conception du niveau d'impact élevé du FedRAMP et des niveaux d'impact 2, 4 et 5 (IL2, IL4 et IL5) du ministère de la Défense (DoD). Ce document s'adresse aux architectes de solutions, aux ingénieurs réseau et aux ingénieurs en sécurité qui conçoivent et déploient des solutions de mise en réseau sur Google Cloud. Le schéma illustre la conception d'un réseau de zone de destination pour les charges de travail hautement réglementées.
Architecture
La conception du réseau illustrée dans le schéma précédent est conforme aux exigences du framework de conformité américain pour le niveau d'impact élevé du FedRAMP et les contrôles du Département de la Défense américain (DoD) IL2, IL4 et IL5. Cette architecture comprend les composants suivants, décrits plus en détail plus loin dans ce document :
- Cloud privé virtuel (VPC) : ces VPC sont globaux, mais vous ne devez créer des sous-réseaux que dans les régions des États-Unis.
- Équilibreurs de charge régionaux : ces équilibreurs de charge sont régionaux et non globaux. Ils ne sont compatibles qu'avec les déploiements aux États-Unis. Notez que l'utilisation d'équilibreurs de charge externes qui sont directement accessibles par Internet peut nécessiter une validation DISA supplémentaire pour assurer l'autorisation du DoD pour les niveaux d'impact IL4 et IL5.
- Règles de sécurité Google Cloud Armor : ces règles peuvent être utilisées avec les stratégies de sécurité d'équilibreur de charge régionales compatibles.
- Private Service Connect, Accès privé à Google (PGA) et Accès privé aux services (PSA) : ces options permettent d'établir une connectivité privée aux services gérés par Google dans la région. Vous devez activer l'accès privé aux services et API gérés par Google dans la région via l'option appropriée pour votre cas d'utilisation.
- Services tiers : pour les services tiers de producteurs-consommateur, vous devez vous assurer que le service du producteur et les données en transit répondent à vos exigences de conformité.
- Hors production : provisionnez d'autres environnements, tels que les environnements hors production, de test et de contrôle qualité, conformément à la stratégie VPC de votre organisation.
Cas d'utilisation
Assured Workloads est un framework de conformité qui peut vous aider à fournir les contrôles de sécurité dont vous avez besoin pour répondre aux exigences réglementaires du niveau d'impact élevé du FedRAMP et des niveaux d'impact IL2, IL4 et IL5 du DoD. Après le déploiement avec Assured Workloads, vous devez configurer des règles de mise en réseau conformes et sécurisées. Pour les autres cas d'utilisation de conformité, consultez la page Hébergement de charges de travail sur Google Cloud (niveau d'impact modéré et élevé du FedRAMP) dans la documentation du FedRAMP.
Le champ d'application de ces instructions se limite aux composants de mise en réseau. Vous devez configurer les charges de travail conformément au modèle de responsabilité partagée, au tableau de responsabilité du client du FedRAMP, aux services Google Cloud concernés, aux consignes du FedRAMP et d'Assured Workloads. Pour en savoir plus sur le respect des exigences de conformité pour d'autres services Google Cloud, consultez le centre de ressources pour la conformité.
Les services référencés dans ce document sont fournis à titre d'exemple uniquement. Vous devez examinez les services respectant les règles de conformité pour garantir le niveau de conformité requis pour votre charge de travail.
Produits hors du champ d'application
Les services suivants ne répondent pas aux exigences de conformité du niveau d'impact élevé du FedRAMP, ou des niveaux d'impact IL2, IL4 et IL5 du DoD :
- Équilibreur de charge d'application externe global
- Google Cloud Armor global
- Équilibreur de charge proxy externe global
Nous vous recommandons de discuter des risques liés à l'utilisation de ces services sur votre réseau avec votre équipe d'assistance Google avant de commencer à concevoir votre réseau.
Considérations de conception
Cette section décrit les considérations de conception pour lesquelles les configurations décrites dans ce document constituent un choix approprié.
Utiliser Assured Workloads
Vous devez utiliser Assured Workloads pour répondre aux exigences de conformité sur Google Cloud liées aux réglementations qui présentent des exigences de souveraineté et de résidence des données, telles que le niveau d'impact élevé du FedRAMP et les niveaux d'impact IL4 et IL5 du DoD. Pour savoir si ces principes s'appliquent à votre programme de conformité sur Google Cloud, nous vous recommandons de consulter la présentation d'Assured Workloads dès les premières étapes de votre phase de conception. Vous êtes responsable de la configuration de votre propre réseau et de vos propres stratégies IAM.
Vous devez configurer un dossier Assured Workloads et définir le programme de conformité approprié. Dans ce cas, définissez le programme de conformité approprié sur FedRAMP
High
ou IL2, IL4, IL5
. Ce dossier fournit une limite réglementaire au sein d'une organisation permettant d'identifier les types de données réglementés. Par défaut, tout projet sous ce dossier héritera des garde-fous de sécurité et de conformité définis au niveau du dossier Assured Workloads.
Assured Workloads limite les régions que vous pouvez sélectionner pour ces ressources en fonction du programme de conformité que vous avez choisi à l'aide du service de règles d'administration de restriction des ressources.
Alignement régional
Vous devez utiliser une ou plusieurs régions Google aux États-Unis pour prendre en charge les programmes de conformité concernés par ces consignes. Notez que les niveaux d'impact élevé du FedRAMP et IL4 et IL5 du DoD ont des exigences générales concernant la conservation des données dans la limite géographique des États-Unis. Pour savoir quelles régions vous pouvez ajouter, consultez la page Emplacements d'Assured Workloads.
Conformité au niveau du produit
Il vous incombe de vérifier qu'un produit ou un service est compatible avec les exigences de souveraineté et de résidence des données appropriées pour votre cas d'utilisation. Quand vous achetez ou utilisez votre programme de conformité cible, vous devez également suivre ces consignes pour chaque produit que vous utilisez afin de répondre aux exigences de conformité applicables. Assured Workloads configure une règle d'administration modifiable avec une règle de restriction d'utilisation des ressources à un moment précis qui reflète les services conformes au framework de conformité choisi.
Déploiement
Pour vous aider à répondre à vos exigences de conformité, nous vous recommandons de suivre les consignes de cette section pour les services de réseau individuels.
Configurations réseau de cloud privé virtuel
Vous devez effectuer les configurations de cloud privé virtuel suivantes :
- Sous-réseaux : créez des sous-réseaux dans les régions des États-Unis référencées dans la section Alignement régional. Assured Workloads applique des règles pour limiter la création de sous-réseaux dans d'autres emplacements.
- Règles de pare-feu : vous devez configurer des règles de pare-feu VPC pour autoriser ou refuser les connexions uniquement vers ou depuis des instances de machines virtuelles (VM) dans votre réseau VPC.
Configurations de Private Service Connect
Private Service Connect est une fonctionnalité de mise en réseau de Google Cloud qui permet aux clients d'accéder à des services gérés en mode privé depuis leur réseau VPC.
Les deux types Private Service Connect (points de terminaison et backends Private Service Connect) sont compatibles avec les contrôles décrits dans ce document lorsqu'ils sont configurés avec des équilibreurs de charge régionaux. Nous vous recommandons d'appliquer les détails de configuration décrits dans le tableau suivant :
Type Private Service Connect | Équilibreurs de charge compatibles | État de conformité |
---|---|---|
Points de terminaison Private Service Connect pour les API Google | Non applicable | Non compatible |
Backends Private Service Connect pour les API Google |
|
Conforme lorsqu'il est utilisé avec l'un des équilibreurs de charge régionaux suivants :
|
Points de terminaison Private Service Connect pour les services publiés |
|
Conforme |
Backends Private Service Connect pour les services publiés |
|
Conforme lorsqu'il est utilisé avec l'équilibreur de charge régional suivant :
|
Mise en miroir de paquets
La mise en miroir de paquets est une fonctionnalité VPC qui vous aide à maintenir la conformité. La mise en miroir de paquets permet de capturer toutes les données sur le trafic et les paquets, y compris les charges utiles et les en-têtes, et de les transférer aux collecteurs cibles pour analyse. La mise en miroir de paquets hérite de l'état de conformité du VPC.
Cloud Load Balancing
Google Cloud propose différents types d'équilibreurs de charge, comme décrit dans la présentation de l'équilibreur de charge d'application. Pour cette architecture, vous devez utiliser des équilibreurs de charge régionaux.
Cloud DNS
Vous pouvez utiliser Cloud DNS pour vous aider à répondre à vos exigences de conformité. Cloud DNS est un service DNS géré dans Google Cloud qui accepte les zones de transfert, zones d'appairage, zones de recherche inversée et règles du serveur DNS privées. Les zones publiques de Cloud DNS ne sont pas conformes aux contrôles de niveau d'impact élevé du FedRAMP et de niveaux d'impact IL2, IL4 ou IL5 du DoD.
Cloud Router
Cloud Router est un produit régional que vous pouvez configurer pour Cloud VPN, Cloud Interconnect et Cloud NAT. Vous ne devez configurer Cloud Router que dans les régions des États-Unis. Lorsque vous créez ou modifiez un réseau VPC, vous pouvez définir le mode de routage dynamique comme régional ou global. Si vous activez le mode de routage global, vous devez configurer le mode d'annonces personnalisées pour n'inclure que les réseaux des États-Unis.
Cloud NAT
Cloud NAT est un produit NAT géré régional qui vous permet d'activer l'accès sortant à Internet pour les ressources privées sans adresse IP externe. Vous ne devez configurer la passerelle Cloud NAT que dans les régions des États-Unis qui disposent du composant Cloud Router associé.
Cloud VPN
Vous devez utiliser des points de terminaison Cloud VPN situés aux États-Unis. Vérifiez que votre passerelle VPN n'est configurée pour être utilisée que dans la bonne région des États-Unis, comme décrit dans l'alignement régional. Nous vous recommandons d'utiliser le type VPN haute disponibilité pour Cloud VPN. Pour le chiffrement, vous ne devez utiliser que des algorithmes de chiffrement conformes à la norme FIPS 140-2 pour créer des certificats et configurer la sécurité de vos adresses IP. Pour en savoir plus sur les algorithmes de chiffrement compatibles avec Cloud VPN, consultez la section Algorithmes de chiffrement IKE compatibles. Pour plus d'informations sur le choix d'un algorithme de chiffrement conforme à la norme FIPS 140-2, consultez la page Certification FIPS 140-2. Une fois la configuration effectuée, il n'existe aucun moyen de modifier un algorithme de chiffrement existant dans Google Cloud. Veillez à configurer sur votre dispositif tiers le même algorithme de chiffrement que celui utilisé avec Cloud VPN.
Google Cloud Armor
Google Cloud Armor est un service d'atténuation des attaques DDoS et de protection des applications. Il contribue à protéger contre les attaques DDoS sur les déploiements de clients Google Cloud avec des charges de travail exposées à Internet. Google Cloud Armor pour l'équilibreur de charge d'application externe régional est conçu pour fournir la même protection et les mêmes capacités pour les charges de travail régionales à équilibrage de charge. Étant donné que les pare-feu d'application Web (WAF) Google Cloud Armor utilisent un champ d'application régional, vos configurations et votre trafic résident dans la région où les ressources sont créées. Vous devez créer les règles de sécurité de backend régionales et les associer à des services de backend à l'échelle régionale. Les nouvelles règles de sécurité régionales ne peuvent être appliquées qu'aux services de backend à échelle régionale dans la même région et sont stockées, évaluées et appliquées dans la région. Google Cloud Armor pour les équilibreurs de charge réseau et les VM étend la protection DDoS de Google Cloud Armor pour les charges de travail exposées à Internet via une règle de transfert d'équilibreur de charge réseau (ou transfert de protocole) ou via une VM directement exposée via une adresse IP publique. Pour activer cette protection, vous devez configurer la protection DDoS avancée du réseau.
Dedicated Interconnect
Pour utiliser l'interconnexion dédiée, votre réseau doit se connecter physiquement au réseau de Google dans une installation hébergée en colocation compatible. Le fournisseur d'installations fournit un circuit 10G ou 100G entre votre réseau et un point de présence périphérique de Google. Vous ne devez utiliser Cloud Interconnect que dans des installations de colocation situées aux États-Unis desservant les régions Google Cloud des États-Unis.
Lorsque vous utilisez Partner Cloud Interconnect, vous devez contacter le fournisseur de services pour vérifier que ses emplacements se trouvent aux États-Unis et sont connectés à l'un des emplacements Google Cloud aux États-Unis répertoriés plus loin dans cette section.
Par défaut, le trafic envoyé via Cloud Interconnect n'est pas chiffré. Si vous souhaitez chiffrer le trafic envoyé via Cloud Interconnect, vous pouvez configurer un VPN sur Cloud Interconnect ou MACsec.
Pour obtenir la liste complète des régions et des colocations compatibles, consultez le tableau suivant :
Région | Emplacement | Nom de l'établissement | Installation |
---|---|---|---|
us-east4 (Virginie) | Ashburn | iad-zone1-1 |
Equinix Ashburn (DC1-DC11) |
Ashburn | iad-zone2-1 |
Equinix Ashburn (DC1-DC11) | |
Ashburn | iad-zone1-5467 |
CoreSite - Reston (VA3) | |
Ashburn | iad-zone2-5467 |
CoreSite - Reston (VA3) | |
us-east5 (Columbus) | Columbus | cmh-zone1-2377 |
Cologix COL1 |
Columbus | cmh-zone2-2377 |
Cologix COL1 | |
us-central1 (Iowa) | Council Bluffs | cbf-zone1-575 |
Centres de données du Nebraska (1623 Farnam) |
Council Bluffs | cbf-zone2-575 |
Centres de données du Nebraska (1623 Farnam) | |
us-south1 (Dallas) | Dallas | dfw-zone1-4 |
Equinix Dallas (DA1) |
Dallas | dfw-zone2-4 |
Equinix Dallas (DA1) | |
us-west1 (Oregon) | Portland | pdx-zone1-1922 |
EdgeConneX Portland (EDCPOR01) |
Portland | pdx-zone2-1922 |
EdgeConneX Portland (EDCPOR01) | |
us-west2 (Los Angeles) | Los Angeles | lax-zone1-8 |
Equinix Los Angeles (LA1) |
Los Angeles | lax-zone2-8 |
Equinix Los Angeles (LA1) | |
Los Angeles | lax-zone1-19 |
CoreSite – LA1 – One Wilshire | |
Los Angeles | lax-zone2-19 |
CoreSite – LA1 – One Wilshire | |
Los Angeles | lax-zone1-403 |
Digital Realty LAX (600 West 7th) | |
Los Angeles | lax-zone2-403 |
Digital Realty LAX (600 West 7th) | |
Los Angeles | lax-zone1-333 |
Equinix LA3/LA4 – Los Angeles, El Segundo | |
Los Angeles | lax-zone2-333 |
Equinix LA3/LA4 – Los Angeles, El Segundo | |
us-west3 (Salt Lake City) | Salt Lake City | slc-zone1-99001 |
Aligned Salt Lake (SLC-01) |
Salt Lake City | slc-zone2-99001 |
Aligned Salt Lake (SLC-01) | |
us-west4 (Las Vegas) | Las Vegas | las-zone1-770 |
Switch Las Vegas |
Las Vegas | las-zone2-770 |
Switch Las Vegas |
Étapes suivantes
- Découvrez les produits Google Cloud utilisés dans ce guide de conception :
- Pour découvrir d'autres architectures de référence, schémas et bonnes pratiques, consultez le Centre d'architecture cloud.
Contributeurs
Auteurs :
- Haider Witwit | Ingénieur client
- Bhavin Desai | Responsable produit
Autres contributeurs :
- Ashwin Gururaghavendran | Ingénieur logiciel
- Percy Wadia | Responsable groupe de produits
- Daniel Lees | Architecte en sécurité cloud
- Marquis Carroll | Consultant
- Michele Chubirka | Experte en sécurité cloud