Dieses Dokument enthält Konfigurationsanleitungen, damit sie Google Cloud-Netzwerkrichtlinien in den USA bereitstellen können, die den Designanforderungen für FedRAMP High und Department of Defense (DoD) Impact Level 2 (IL2), Impact Level 4 (IL4) und Impact Level 5 (IL5) entsprechen. Dieses Dokument richtet sich an Lösungsarchitekten, Netzwerktechniker und Sicherheitstechniker, die Netzwerklösungen in Google Cloud entwerfen und bereitstellen. Das folgende Diagramm zeigt das Netzwerkdesign der Landing-Zone für stark regulierte Arbeitslasten.
Architektur
Das im vorherigen Diagramm gezeigte Netzwerkdesign entspricht den Anforderungen des US-Compliance-Frameworks für FedRAMP High und DoD IL2, IL4 und IL5. Diese Architektur enthält die folgenden Komponenten, die weiter unten in diesem Dokument ausführlicher beschrieben werden:
- Virtual Private Cloud (VPC): Diese VPCs sind global. Sie dürfen jedoch nur Subnetze in US-Regionen erstellen.
- Regionale Load-Balancer: Diese Load-Balancer sind regional und nicht global. Sie unterstützen nur US-Bereitstellungen.
- Google Cloud Armor-Sicherheitsrichtlinien: Diese Richtlinien können mit unterstützten regionalen Load-Balancer-Sicherheitsrichtlinien verwendet werden.
- Private Service Connect, Privater Google-Zugriff (PGA, Private Google Access) und Privater Dienstzugriff (PSA, Private Service Access): Diese Optionen ermöglichen eine private Verbindung zu von Google verwalteten Diensten innerhalb der Region. Sie müssen den privaten Zugriff auf von Google verwaltete Dienste und APIs in der Region über die entsprechende Option für Ihren Anwendungsfall aktivieren.
- Drittanbieterdienste: Bei Ersteller-Nutzer-Diensten von Drittanbietern müssen Sie dafür sorgen, dass sowohl der Erstellerdienst als auch die übertragenen Daten den gültigen Compliance-Anforderungen erfüllen.
- Nicht-Produktion: Stellen Sie andere Umgebungen wie Nicht-Produktion, Tests und Qualitätssicherung (Quality Assurance, QA) gemäß der VPC-Strategie Ihrer Organisation bereit.
Anwendungsfall
Assured Workloads ist ein Compliance-Framework, mit dem Sie die erforderlichen Sicherheitskontrollen bereitstellen können, um regulatorische Anforderungen für FedRAMP High und DoD IL2, IL4 und IL5 zu erfüllen. Nach der Bereitstellung mit Assured Workloads sind Sie für die Einrichtung konformer und sicherer Netzwerkrichtlinien verantwortlich. Informationen zu anderen Compliance-Anwendungsfällen finden Sie in der FedRAMP-Dokumentation unter FedRAMP Moderate- und High Workloads in Google Cloud hosten.
Der Geltungsbereich dieser Anleitung beschränkt sich auf Netzwerkkomponenten. Sie müssen Arbeitslasten gemäß dem Modell der geteilten Verantwortung, der FedRAMP-Kundenverantwortungsmatrix, den Google Cloud-Diensten innerhalb des Geltungsbereichs und den FedRAMP- und Assured Workloads-Richtlinien konfigurieren. Weitere Informationen zum Erfüllen der Compliance-Anforderungen für andere Google Cloud-Dienste finden Sie im Center für Compliance-Ressourcen.
Nicht zulässige Produkte
Die folgenden Dienste erfüllen die gesetzlichen Compliance-Anforderungen von FedRAMP High- oder DoD IL2, IL4 und IL5 nicht:
- Globaler externer Application Load Balancer
- Globales Google Cloud Armor
- Globaler externer Proxy-Load-Balancer
- Cloud CDN und Media CDN
- Network Intelligence Center
Wir empfehlen Ihnen, das Risiko der Verwendung dieser Dienste in Ihrem Netzwerk mit dem Google-Supportteam zu besprechen, bevor Sie mit der Erstellung Ihres Netzwerkdesigns beginnen.
Designaspekte
In diesem Abschnitt werden Designaspekte beschrieben, bei denen sich die in diesem Dokument beschriebenen Konfigurationen gut eignen.
Assured Workloads verwenden
Sie müssen Assured Workloads verwenden, um Compliance-basierte Anforderungen in Google Cloud für Vorschriften zu erfüllen, die Anforderungen an die Datenhoheit und den Datenstandort haben, wie z. B. FedRAMP High sowie DoD IL4 und IL5. Um zu verstehen, ob diese Prinzipien für Ihr Compliance-Programm in Google Cloud gelten, empfehlen wir Ihnen, den Überblick über Assured Workloads bereits in den frühen Phasen Ihrer Designphase zu lesen. Sie sind dafür verantwortlich, Ihr eigenes Netzwerk und Ihre IAM-Richtlinien zu konfigurieren.
Sie müssen einen Assured Workloads-Ordner konfigurieren und das entsprechende Compliance-Programm festlegen. Legen Sie in diesem Fall entweder das entsprechende Compliance-Programm auf FedRAMP
High
oder IL2, IL4, IL5
fest. Dieser Ordner stellt eine rechtliche Grenze innerhalb einer Organisation dar, um regulierte Datentypen zu identifizieren. Standardmäßig übernimmt jedes Projekt in diesem Ordner die Sicherheits- und Compliancevorkehrungen, die auf der Assured Workloads-Ordnerebene festgelegt wurden.
Assured Workloads schränkt die Regionen ein, die Sie für diese Ressourcen basierend auf dem Complianceprogramm auswählen können, das Sie mit dem Organisationsrichtliniendienst zur Ressourceneinschränkung ausgewählt haben.
Regionale Ausrichtung
Sie müssen eine oder mehrere der Google-Regionen in den USA verwenden, um die in dieser Anleitung beschriebenen Compliance-Programme zu unterstützen. Beachten Sie, dass FedRAMP High sowie DoD IL4 und IL5 eine allgemeine Anforderung darin haben, dass Daten innerhalb einer geografischen Grenze der USA gespeichert werden. Informationen zu den Regionen, die Sie hinzufügen können, finden Sie unter Assured Workloads-Standorte.
Compliance auf Produktebene
Es liegt in Ihrer Verantwortung, zu bestätigen, dass ein Produkt oder ein Dienst die entsprechenden Anforderungen an Datenhoheit und Datenstandort für Ihren Anwendungsfall erfüllt. Wenn Sie Ihr Compliance-Programm erwerben oder nutzen, müssen Sie diese Richtlinien für jedes Produkt befolgen, das Sie verwenden, um die geltenden Compliance-Anforderungen zu erfüllen. Assured Workloads richtet eine anpassbare Organisationsrichtlinie mit einer zeitsensitiven Richtlinie zur Einschränkung der Ressourcennutzung ein. Diese Richtlinie spiegelt die Dienste wider, die dem ausgewählten Compliance-Framework entsprechen.
Bereitstellung
Wir empfehlen Ihnen, die Richtlinien in diesem Abschnitt für einzelne Netzwerkdienste zu befolgen, um Ihre Compliance-Anforderungen zu erfüllen.
Virtual Private Cloud-Netzwerkkonfigurationen
Sie müssen die folgenden Virtual Private Cloud-Konfigurationen vornehmen:
- Subnetze: Erstellen Sie Subnetze in den US-Regionen, auf die unter Regionale Ausrichtung verwiesen wird. Assured Workloads wendet Richtlinien an, um das Erstellen von Subnetzen an anderen Standorten einzuschränken.
- Firewallregeln: Sie müssen Folgendes VPC-Firewallregeln konfigurieren, um nur Verbindungen zu oder von VM-Instanzen in Ihrem VPC-Netzwerk zuzulassen oder abzulehnen.
Private Service Connect-Konfigurationen
Private Service Connect ist eine Funktion des Google Cloud-Netzwerks, mit der Nutzer privat aus ihrem VPC-Netzwerk auf verwaltete Dienste zugreifen können.
Beide Private Service Connect-Typen (Private Service Connect-Endpunkte und -Back-Ends) unterstützen die in diesem Dokument beschriebenen Steuerungen, wenn sie mit regionalen Load Balancern konfiguriert wurden. Wir empfehlen, die in der folgenden Tabelle beschriebenen Konfigurationsdetails anzuwenden:
Private Service Connect-Typ | Unterstützte Load-Balancer | Compliancestatus |
---|---|---|
Private Service Connect-Endpunkte für Google APIs | Nicht zutreffend | Nicht unterstützt |
Private Service Connect-Back-Ends für Google APIs verwenden |
|
Konform bei Verwendung mit einem der folgenden regionalen Load-Balancer:
|
Private Service Connect-Endpunkte für veröffentlichte Dienste |
|
Konform |
Private Service Connect-Back-Ends für veröffentlichte Dienste |
|
Konform bei Verwendung mit dem folgenden regionalen Load-Balancer:
|
Paketspiegelung
Die Paketspiegelung ist eine VPC-Funktion, mit der Sie die Compliance wahren. Bei der Paketspiegelung werden alle Traffic- und Paketdaten, einschließlich Nutzlasten und Header, erfasst und zur Analyse an Ziel-Collectors weitergeleitet. Bei der Paketspiegelung wird der VPC-Compliancestatus übernommen.
Cloud Load Balancing
Google Cloud bietet verschiedene Arten von Load-Balancern, wie unter Application Load Balancer – Übersicht beschrieben. Für diese Architektur müssen Sie regionale Load-Balancer verwenden.
Cloud DNS
Mit Cloud DNS können Sie Ihre Compliance-Anforderungen erfüllen. Cloud DNS ist ein verwalteter DNS-Dienst in Google Cloud, der private Weiterleitungszonen, Peering-Zonen, Reverse-Lookup-Zonen und DNS-Serverrichtlinien unterstützt. Öffentliche Cloud DNS-Zonen entsprechen nicht den Vorgaben von FedRAMP High und DoD IL2, IL4 oder IL5.
Cloud Router
Cloud Router ist ein regionales Produkt, das Sie für Cloud VPN, Cloud Interconnect und Cloud NAT konfigurieren können. Sie dürfen Cloud Router nur in US-Regionen konfigurieren. Wenn Sie ein VPC-Netzwerk erstellen oder bearbeiten, können Sie den dynamischen Routingmodus als regional oder global festlegen. Wenn Sie den globalen Routingmodus aktivieren, müssen Sie benutzerdefiniertes Route Advertisement so konfigurieren, dass nur US-Netzwerke enthalten sind.
Cloud NAT
Cloud NAT ist ein regionales verwaltetes NAT-Produkt, mit dem Sie den ausgehenden Zugriff auf das Internet für private Ressourcen ohne externe IP-Adressen ermöglichen können. Sie dürfen Cloud NAT-Gateways nur in den US-Regionen konfigurieren, denen die zugehörige Cloud Router-Komponente zugewiesen ist.
Cloud VPN
Sie dürfen nur in den USA befindliche Cloud VPN-Endpunkte verwenden. Achten Sie darauf, dass Ihr VPN-Gateway nur für die Verwendung in der vorgesehenen US-Region konfiguriert ist, wie unter Regionale Ausrichtung beschrieben. Wir empfehlen die Verwendung des HA VPN-Typs für Cloud VPN. Für die Verschlüsselung dürfen Sie nur FIPS 140-2-konforme Chiffren verwenden, um Zertifikate zu erstellen und die Sicherheit Ihrer IP-Adresse zu konfigurieren. Weitere Informationen zu unterstützten Chiffren in Cloud VPN finden Sie unter Unterstützte IKE-Chiffren. Informationen zum Auswählen einer Chiffre, die den FIPS 140-2-Standards entspricht, finden Sie unter Validierung gemäß FIPS 140-2. Nachdem Sie eine Konfiguration erstellt haben, gibt es keine Möglichkeit mehr, eine vorhandene Chiffre in Google Cloud zu ändern. Achten Sie darauf, dass Sie auf Ihrer Drittanbieter-Appliance auch die Chiffre konfigurieren, die Sie mit Cloud VPN verwenden.
Google Cloud Armor
Google Cloud Armor ist ein DDoS-Abwehr- und Anwendungsschutz. Es schützt vor DDoS-Angriffen auf Google Cloud-Kundenbereitstellungen mit Arbeitslasten, die über das Internet zugänglich sind. Google Cloud Armor für den regionalen externen Application Load Balancer bietet denselben Schutz und dieselben Funktionen für regionale Arbeitslasten mit Load-Balancing. Da Google Cloud Armor Web-Application Firewalls (WAFs) einen regionalen Bereich verwenden, befinden sich Ihre Konfigurationen und Ihr Traffic in der Region, in der die Ressourcen erstellt werden. Sie müssen regionale Backend-Sicherheitsrichtlinien erstellen und an Backend-Dienste mit regionalem Geltungsbereich anhängen. Die neuen regionalen Sicherheitsrichtlinien können nur auf regionale Backend-Dienste in derselben Region angewendet werden und werden in der relevanten Region gespeichert, ausgewertet und erzwungen. Google Cloud Armor für Netzwerk-Load-Balancer und VMs erweitert den DDoS-Schutz von Google Cloud Armor für Arbeitslasten, die über Weiterleitungsregeln (oder Protokollweiterleitungen) für Netzwerk-Load-Balancer oder über eine direkt über eine öffentliche IP-Adresse zugängliche VM vom Internet aus erreicht werden können. Zum Aktivieren dieses Schutzes müssen Sie den erweiterten DDoS-Netzwerkschutz konfigurieren.
Dedicated Interconnect
Zur Verwendung von Dedicated Interconnect muss Ihr Netzwerk in einer unterstützten Colocations-Einrichtung eine physische Verbindung mit dem Netzwerk von Google herstellen. Der Einrichtungsanbieter stellt eine 10G- oder 100G-Netzwerkverbindung zwischen Ihrem Netzwerk und einem Google Edge-Point of Presence bereit. Sie dürfen Cloud Interconnect nur in Colocations-Einrichtungen innerhalb der USA verwenden, die Google Cloud-Regionen in den USA bedienen.
Wenn Sie Partner Cloud Interconnect verwenden, müssen Sie sich an den Dienstanbieter wenden, um zu bestätigen, dass sich seine Standorte innerhalb der USA befinden und mit einem der weiter unten in diesem Abschnitt aufgeführten Google Cloud-Standorte in den USA verbunden sind.
Standardmäßig ist der über Cloud Interconnect gesendete Traffic unverschlüsselt. Wenn Sie Traffic verschlüsseln möchten, der über Cloud Interconnect gesendet wird, können Sie VPN über Cloud Interconnect oder MACsec konfigurieren.
Eine vollständige Liste der unterstützten Regionen und Colocations-Standorte finden Sie in der folgenden Tabelle:
Region | Standort | Name der Einrichtung | Einrichtung |
---|---|---|---|
us-east4 (Virginia) | Ashburn | iad-zone1-1 |
Equinix Ashburn (DC1-DC11) |
Ashburn | iad-zone2-1 |
Equinix Ashburn (DC1-DC11) | |
Ashburn | iad-zone1-5467 |
CoreSite - Reston (VA3) | |
Ashburn | iad-zone2-5467 |
CoreSite - Reston (VA3) | |
us-east5 (Columbus) | Columbus | cmh-zone1-2377 |
Cologix COL1 |
Columbus | cmh-zone2-2377 |
Cologix COL1 | |
us-central1 (Iowa) | Council Bluffs | cbf-zone1-575 |
Nebraska-Rechenzentren (1623 Farnam) |
Council Bluffs | cbf-zone2-575 |
Nebraska-Rechenzentren (1623 Farnam) | |
us-south1 (Dallas) | Dallas | dfw-zone1-4 |
Equinix Dallas (DA1) |
Dallas | dfw-zone2-4 |
Equinix Dallas (DA1) | |
us-west1 (Oregon) | Portland | pdx-zone1-1922 |
EdgeConneX Portland (EDCPOR01) |
Portland | pdx-zone2-1922 |
EdgeConneX Portland (EDCPOR01) | |
us-west2 (Los Angeles) | Los Angeles | lax-zone1-8 |
Equinix Los Angeles (LA1) |
Los Angeles | lax-zone2-8 |
Equinix Los Angeles (LA1) | |
Los Angeles | lax-zone1-19 |
CoreSite – LA1 – One Wilshire | |
Los Angeles | lax-zone2-19 |
CoreSite – LA1 – One Wilshire | |
Los Angeles | lax-zone1-403 |
Digital Realty LAX (600 West 7th) | |
Los Angeles | lax-zone2-403 |
Digital Realty LAX (600 West 7th) | |
Los Angeles | lax-zone1-333 |
Equinix LA3/LA4 - Los Angeles, El Segundo | |
Los Angeles | lax-zone2-333 |
Equinix LA3/LA4 - Los Angeles, El Segundo | |
us-west3 (Salt Lake City) | Salt Lake City | slc-zone1-99001 |
Aligned Salt Lake (SLC-01) |
Salt Lake City | slc-zone2-99001 |
Aligned Salt Lake (SLC-01) | |
us-west4 (Las Vegas) | Las Vegas | las-zone1-770 |
Switch Las Vegas |
Las Vegas | las-zone2-770 |
Switch Las Vegas |
Nächste Schritte
- Weitere Informationen zu den in dieser Designanleitung verwendeten Google Cloud-Produkten:
- Weitere Referenzarchitekturen, Diagramme und Best Practices finden Sie im Cloud-Architekturcenter.
Beitragende
Autoren:
- Haider Witwit | Customer Engineer
- Bhavin Desai | Produktmanager
Weitere Beitragende:
- Ashwin Gururaghavendran Softwareingenieur
- Percy Wadia | Produktgruppenmanager
- Daniel Lees | Cloudsicherheitsarchitekt
- Marquis Carroll | Berater
- Michele Chubirka | Cloud Security Advocate