Dokumen ini berisi panduan konfigurasi untuk membantu Anda men-deploy kebijakan jaringan Google Cloud dengan aman di Amerika Serikat (AS) yang mematuhi persyaratan desain untuk FedRAMP High dan Department of Defense (DoD) Impact Level 2 (IL2), Impact Level 4 (IL4), dan Impact Level 5 (IL5). Dokumen ini ditujukan untuk arsitek solusi, engineer jaringan, dan engineer keamanan yang mendesain dan men-deploy solusi jaringan di Google Cloud. Diagram berikut menunjukkan desain jaringan zona landing untuk workload yang diatur dengan ketat.
Arsitektur
Desain jaringan yang ditunjukkan pada diagram sebelumnya selaras dengan persyaratan framework kepatuhan AS untuk FedRAMP High, dan DoD IL2, IL4, dan IL5. Arsitektur ini mencakup komponen berikut, yang nanti akan dijelaskan secara lebih mendetail dalam dokumen ini:
- Virtual Private Cloud (VPC): VPC ini bersifat global, tetapi Anda hanya boleh membuat subnet di region AS.
- Load balancer regional: Load balancer ini bersifat regional, bukan global. Mereka hanya mendukung deployment AS.
- Kebijakan keamanan Google Cloud Armor: Kebijakan ini dapat digunakan dengan kebijakan keamanan load balancer regional yang didukung.
- Private Service Connect, Private Google Access (PGA), dan Private service access (PSA): Opsi ini memungkinkan konektivitas pribadi ke layanan terkelola Google dalam region tersebut. Anda harus mengaktifkan akses pribadi ke layanan dan API terkelola Google dalam region tersebut melalui opsi yang relevan untuk kasus penggunaan Anda.
- Layanan pihak ketiga: Untuk layanan produsen-pelanggan pihak ketiga, Anda harus memastikan bahwa layanan produsen dan data yang dalam pengiriman memenuhi persyaratan kepatuhan Anda.
- Non-produksi: Sediakan lingkungan lain seperti non-produksi, pengujian, dan uji mutu (QA) sesuai dengan strategi VPC organisasi Anda.
Kasus penggunaan
Assured Workloads adalah framework kepatuhan yang dapat membantu memberikan kontrol keamanan yang Anda perlukan guna mendukung persyaratan peraturan untuk FedRAMP High, dan DoD IL2, IL4, dan IL5. Setelah melakukan deployment dengan Assured Workloads, Anda bertanggung jawab untuk menyiapkan kebijakan jaringan yang aman dan patuh. Untuk kasus penggunaan kepatuhan lainnya, lihat Menghosting Beban Kerja FedRAMP Sedang dan Tinggi di Google Cloud dalam dokumentasi FedRAMP.
Cakupan panduan ini terbatas pada komponen jaringan. Anda harus mengonfigurasi workload sesuai dengan model tanggung jawab bersama, FedRAMP Customer Responsibility Matrix, layanan Google Cloud dalam cakupan, FedRAMP, dan panduan Assured Workloads. Untuk mengetahui informasi selengkapnya tentang cara memenuhi persyaratan kepatuhan untuk layanan Google Cloud lainnya, lihat Pusat referensi kepatuhan.
Produk di luar cakupan
Layanan berikut tidak memenuhi persyaratan kepatuhan batas yurisdiksi FedRAMP High, atau DoD IL2, IL4, dan IL5:
- Load Balancer Aplikasi Eksternal Global
- Google Cloud Armor Global
- Load Balancer Proxy Eksternal Global
- Cloud CDN dan Media CDN
- Network Intelligence Center
Sebaiknya diskusikan risiko penggunaan layanan ini di jaringan Anda dengan tim dukungan Google sebelum Anda mulai membuat desain jaringan.
Pertimbangan Desain
Bagian ini menjelaskan pertimbangan desain yang mana konfigurasi yang dijelaskan dalam dokumen ini merupakan pilihan yang tepat.
Menggunakan Assured Workloads
Anda harus menggunakan Assured Workloads untuk memenuhi persyaratan berbasis kepatuhan di Google Cloud untuk peraturan yang memiliki persyaratan kedaulatan data dan residensi, seperti FedRAMP High, serta DoD IL4 dan IL5. Untuk memahami apakah prinsip-prinsip ini berlaku untuk program kepatuhan Anda di Google Cloud, sebaiknya tinjau Ringkasan Assured Workloads pada tahap awal fase desain Anda. Anda bertanggung jawab untuk mengonfigurasi jaringan dan kebijakan IAM Anda sendiri.
Anda harus mengonfigurasi folder Assured Workloads dan menetapkan program kepatuhan yang sesuai. Dalam hal ini, setel program kepatuhan yang sesuai ke FedRAMP
High
atau IL2, IL4, IL5
. Folder ini memberikan batasan peraturan dalam
organisasi untuk mengidentifikasi jenis data yang diatur. Secara default, project apa pun dalam folder ini akan mewarisi pagar pembatas keamanan dan kepatuhan yang ditetapkan pada level folder Assured Workloads.
Assured Workloads membatasi region yang dapat Anda pilih untuk resource tersebut berdasarkan program kepatuhan yang Anda pilih menggunakan Layanan Kebijakan Organisasi pembatasan resource.
Perataan regional
Anda harus menggunakan satu atau beberapa region Google Amerika Serikat untuk mendukung program kepatuhan yang tercakup dalam panduan ini. Perlu diperhatikan bahwa FedRAMP High dan DoD IL4 serta IL5 memiliki persyaratan umum bahwa data disimpan dalam batas geografis AS. Untuk mempelajari region yang dapat Anda tambahkan, lihat lokasi Assured Workloads.
Kepatuhan tingkat produk
Anda bertanggung jawab untuk mengonfirmasi bahwa produk atau layanan mendukung persyaratan kedaulatan data dan residensi yang sesuai untuk kasus penggunaan Anda. Saat membeli atau menggunakan program kepatuhan target, Anda juga harus mengikuti panduan ini untuk setiap produk yang digunakan agar memenuhi persyaratan kepatuhan yang berlaku. Assured Workloads menyiapkan Kebijakan Organisasi yang dapat diubah dengan kebijakan pembatasan penggunaan resource titik waktu yang mencerminkan layanan yang sesuai dengan framework kepatuhan yang dipilih.
Deployment
Untuk membantu Anda memenuhi persyaratan kepatuhan, sebaiknya ikuti panduan di bagian ini untuk setiap layanan jaringan.
Konfigurasi jaringan Virtual Private Cloud
Anda harus membuat konfigurasi Virtual Private Cloud berikut:
- Subnet: Buat subnet di region AS yang dirujuk dalam Penyelarasan regional. Assured Workloads menerapkan kebijakan untuk membatasi pembuatan subnet di lokasi lain.
- Aturan firewall: Anda harus mengonfigurasi aturan firewall VPC untuk mengizinkan atau menolak koneksi hanya ke atau dari instance virtual machine (VM) di jaringan VPC Anda.
Konfigurasi Private Service Connect
Private Service Connect adalah kemampuan networking Google Cloud yang memungkinkan konsumen mengakses layanan terkelola secara pribadi dari dalam jaringan VPC-nya.
Jenis Private Service Connect (endpoint Private Service Connect dan backend Private Service Connect) mendukung kontrol yang dijelaskan dalam dokumen ini saat dikonfigurasi dengan load balancer regional. Sebaiknya terapkan detail konfigurasi yang dijelaskan dalam tabel berikut:
Jenis Private Service Connect | Load balancer yang didukung | Status kepatuhan |
---|---|---|
Endpoint Private Service Connect untuk Google API | Tidak berlaku | Tidak didukung |
Backend Private Service Connect untuk Google API |
|
Sesuai jika digunakan dengan salah satu load balancer regional berikut:
|
Endpoint Private Service Connect untuk layanan yang ditayangkan |
|
Patuh |
Backend Private Service Connect untuk layanan yang dipublikasikan |
|
Sesuai jika digunakan dengan load balancer regional berikut:
|
Duplikasi Paket
Duplikasi Paket adalah fitur VPC yang dapat Anda gunakan untuk membantu Anda menjaga kepatuhan. Duplikasi Paket merekam semua data paket dan traffic Anda, termasuk payload dan header, lalu meneruskannya ke kolektor target untuk dianalisis. Duplikasi Paket mewarisi status kepatuhan VPC.
Cloud Load Balancing
Google Cloud menawarkan berbagai jenis load balancer, seperti yang dijelaskan dalam Ringkasan Load Balancer Aplikasi. Untuk arsitektur ini, Anda harus menggunakan load balancer regional.
Cloud DNS
Anda dapat menggunakan Cloud DNS untuk membantu memenuhi persyaratan kepatuhan. Cloud DNS adalah layanan DNS terkelola di Google Cloud yang mendukung zona penerusan pribadi, zona peering, zona pencarian terbalik, dan kebijakan server DNS. Zona publik Cloud DNS tidak mematuhi kontrol FedRAMP High, dan DoD IL2, IL4, atau IL5.
Cloud Router
Cloud Router adalah produk regional yang dapat Anda konfigurasi untuk Cloud VPN, Cloud Interconnect, dan Cloud NAT. Anda hanya boleh mengonfigurasi Cloud Router di region AS. Saat membuat atau mengedit jaringan VPC, Anda dapat menetapkan mode perutean dinamis ke regional atau global. Jika mengaktifkan mode perutean global, Anda harus mengonfigurasi iklan rute kustom agar hanya menyertakan jaringan AS.
Cloud NAT
Cloud NAT adalah produk NAT terkelola regional yang dapat Anda gunakan untuk mengaktifkan akses keluar ke internet untuk resource pribadi tanpa alamat IP eksternal. Anda hanya boleh mengonfigurasi gateway Cloud NAT di region AS yang memiliki komponen Cloud Router terkait.
Cloud VPN
Anda harus menggunakan endpoint Cloud VPN yang berlokasi di Amerika Serikat. Pastikan gateway VPN Anda hanya dikonfigurasi untuk digunakan di region AS yang benar, seperti yang dijelaskan dalam Penyelarasan regional. Sebaiknya gunakan jenis VPN dengan ketersediaan tinggi (HA) untuk Cloud VPN. Untuk enkripsi, Anda hanya boleh menggunakan cipher yang sesuai dengan FIPS 140-2 untuk membuat sertifikat dan mengonfigurasi keamanan alamat IP Anda. Untuk mempelajari lebih lanjut cipher yang didukung di Cloud VPN, lihat Cipher IKE yang didukung. Untuk panduan tentang cara memilih cipher yang sesuai dengan standar FIPS 140-2, lihat Divalidasi FIPS 140-2. Setelah Anda membuat konfigurasi, cipher yang sudah ada tidak dapat diubah di Google Cloud. Pastikan Anda mengonfigurasi cipher yang sama di perangkat pihak ketiga yang Anda gunakan dengan Cloud VPN.
Google Cloud Armor
Google Cloud Armor adalah layanan perlindungan aplikasi dan mitigasi DDoS. Cloud data membantu melindungi dari serangan DDoS pada deployment pelanggan Google Cloud dengan workload yang terekspos ke internet. Google Cloud Armor untuk Load Balancer Aplikasi eksternal regional dirancang untuk memberikan perlindungan dan kemampuan yang sama untuk workload load balancing regional. Karena firewall aplikasi web (WAF) Google Cloud Armor menggunakan cakupan regional, konfigurasi dan traffic Anda berada di region tempat resource dibuat. Anda harus membuat kebijakan keamanan backend regional dan melampirkannya ke layanan backend yang dicakup secara regional. Kebijakan keamanan regional yang baru hanya dapat diterapkan pada layanan backend yang tercakup secara regional di region yang sama, serta disimpan, dievaluasi, dan diterapkan di region. Google Cloud Armor untuk Load Balancer dan VM Jaringan memperluas perlindungan DDoS Google Cloud Armor untuk workload yang terekspos ke internet melalui aturan penerusan Load Balancer Jaringan (atau penerusan protokol), atau melalui VM yang langsung terekspos melalui IP publik. Untuk mengaktifkan perlindungan ini, Anda harus mengonfigurasi perlindungan DDoS jaringan lanjutan.
Dedicated Interconnect
Untuk menggunakan Dedicated Interconnect, jaringan Anda harus terhubung secara fisik ke jaringan Google dalam fasilitas kolokasi yang didukung. Penyedia fasilitas menyediakan sirkuit 10G atau 100G antara jaringan Anda dan titik kehadiran Google Edge. Anda hanya boleh menggunakan Cloud Interconnect di fasilitas kolokasi di AS yang melayani region Google Cloud di AS.
Saat menggunakan Partner Cloud Interconnect, Anda harus berkonsultasi dengan penyedia layanan untuk mengonfirmasi bahwa lokasinya berada di AS dan terhubung ke salah satu lokasi Google Cloud AS yang tercantum nanti di bagian ini.
Secara default, traffic yang dikirim melalui Cloud Interconnect tidak dienkripsi. Jika ingin mengenkripsi traffic yang dikirim melalui Cloud Interconnect, Anda dapat mengonfigurasi VPN melalui Cloud Interconnect atau MACsec.
Untuk mengetahui daftar lengkap region dan lokasi bersama yang didukung, lihat tabel berikut:
Region | Location | Nama fasilitas | Fasilitas |
---|---|---|---|
us-east4 (Virginia) | Ashburn | iad-zone1-1 |
Equinix Ashburn (DC1-DC11) |
Ashburn | iad-zone2-1 |
Equinix Ashburn (DC1-DC11) | |
Ashburn | iad-zone1-5467 |
CoreSite - Reston (VA3) | |
Ashburn | iad-zone2-5467 |
CoreSite - Reston (VA3) | |
us-east5 (Columbus) | Columbus | cmh-zone1-2377 |
Cologix COL1 |
Columbus | cmh-zone2-2377 |
Cologix COL1 | |
us-central1 (Iowa) | Council Bluffs | cbf-zone1-575 |
Pusat data Neebraska (1623 Farnam) |
Council Bluffs | cbf-zone2-575 |
Pusat data Neebraska (1623 Farnam) | |
us-south1 (Dallas) | Dallas | dfw-zone1-4 |
Equinix Jakarta (DA1) |
Dallas | dfw-zone2-4 |
Equinix Jakarta (DA1) | |
us-west1 (Oregon) | Portland | pdx-zone1-1922 |
EdgeConneX Portland (EDCPOR01) |
Portland | pdx-zone2-1922 |
EdgeConneX Portland (EDCPOR01) | |
us-west2 (Los Angeles) | Los Angeles | lax-zone1-8 |
Equinix Los Angeles (LA1) |
Los Angeles | lax-zone2-8 |
Equinix Los Angeles (LA1) | |
Los Angeles | lax-zone1-19 |
CoreSite - LA1 - One Wilshire | |
Los Angeles | lax-zone2-19 |
CoreSite - LA1 - One Wilshire | |
Los Angeles | lax-zone1-403 |
Digital Realty LAX (600 West 7th) | |
Los Angeles | lax-zone2-403 |
Digital Realty LAX (600 West 7th) | |
Los Angeles | lax-zone1-333 |
Equinix LA3/LA4 - Los Angeles, El Segundo | |
Los Angeles | lax-zone2-333 |
Equinix LA3/LA4 - Los Angeles, El Segundo | |
us-west3 (Salt Lake City) | Salt Lake City | slc-zone1-99001 |
Selaraskan Salt Lake (SLC-01) |
Salt Lake City | slc-zone2-99001 |
Selaraskan Salt Lake (SLC-01) | |
us-west4 (Las Vegas) | Las Vegas | las-zone1-770 |
Beralih ke Las Vegas |
Las Vegas | las-zone2-770 |
Beralih ke Las Vegas |
Langkah selanjutnya
- Pelajari lebih lanjut produk Google Cloud yang digunakan dalam panduan desain ini:
- Untuk mengetahui lebih banyak tentang arsitektur referensi, diagram, dan praktik terbaik lainnya, jelajahi Pusat Arsitektur Cloud.
Kontributor
Penulis:
- Haider Witwit | Teknisi Pelanggan
- Bhavin Desai | Product Manager
Kontributor lainnya:
- Ashwin Gururaghavendran | Software Engineer
- Percy Wadia | Group Product Manager
- Daniel Lees | Arsitek Keamanan Cloud
- Marquis Carroll | Konsultan
- Michele Chubirka | Advokat Keamanan Cloud