Questo documento fornisce indicazioni sulla configurazione per aiutarti a di eseguire il deployment dei criteri di networking di Google Cloud negli Stati Uniti (USA) che con i requisiti di progettazione per FedRAMP High e Department of Defense (DoD) Impact Level 2 (IL2), Livello di impatto 4 (IL4) e livello di impatto 5 (IL5). Questo documento è rivolto a Solution Architect, Network Engineer e Security Engineer che progettano ed eseguono il deployment di soluzioni di networking su Google Cloud. Le seguenti mostra la progettazione di una rete in zone di destinazione per carichi di lavoro altamente regolamentati.
Architettura
La progettazione della rete mostrata nel diagramma precedente è in linea con la conformità per gli Stati Uniti framework di riferimento per FedRAMP High e DoD IL2, IL4 e IL5. Questa architettura include i seguenti componenti, descritti in maggiore dettaglio più avanti in questo documento:
- Virtual Private Cloud (VPC): questi VPC sono globali, ma devi solo crea subnet nelle regioni degli Stati Uniti.
- Bilanciatori del carico a livello di regione: sono bilanciatori del carico a livello di regione, non globale. Supportano solo le implementazioni negli Stati Uniti. Tieni presente che l'uso di carichi esterni bilanciatori oltre a quelli accessibili direttamente da internet potrebbero richiedere un'ulteriore convalida con DISA per garantire l’autorizzazione del Dipartimento della Difesa per IL4 e IL5.
- Google Cloud Armor criteri di sicurezza: questi criteri possono essere utilizzati con regionale e i criteri di sicurezza del bilanciatore del carico.
- Private Service Connect, Accesso privato Google (PGA), e Accesso privato ai servizi (PSA): Queste opzioni abilitano la connettività privata ai servizi gestiti di Google all'interno della regione. Devi abilitare l'accesso privato alle app gestite da Google servizi e API all'interno della regione tramite l'opzione pertinente caso d'uso.
- Servizi di terze parti. Per i servizi di produttori-consumatori di terze parti, l'utente garantire che sia il servizio producer sia i dati in transito soddisfino le tue di conformità.
- Non di produzione: esegui il provisioning di altri ambienti, ad esempio non di produzione, di test e qualità e controllo (QA) secondo la strategia VPC della tua organizzazione.
Caso d'uso
Assured Workloads è un framework di conformità che può aiutare a fornire i controlli di sicurezza devi supportare i requisiti normativi per FedRAMP High, DoD IL2, IL4 e IL5. Dopo aver eseguito il deployment con Assured Workloads, sei responsabile per configurare criteri di rete conformi e sicuri. Per altri utilizzi relativi alla conformità consulta Hosting di carichi di lavoro FedRAMP Moderate e High High su Google Cloud nella documentazione FedRAMP.
L'ambito di queste linee guida è limitato ai componenti di networking. Devi e configurare i carichi di lavoro in conformità con il modello di responsabilità condivisa. Matrice delle responsabilità del cliente FedRAMP, servizi Google Cloud che rientrano nell'ambito, FedRAMP, e Assured Workloads. Per ulteriori informazioni per soddisfare i requisiti di conformità per altri servizi Google Cloud, consulta le Centro risorse per la conformità.
I servizi a cui si fa riferimento in questo documento sono solo a scopo di esempio. Devi Rivedi i servizi che rientrano nell'ambito dei programmi di conformità per assicurare il corretto livello di conformità richiesto per il carico di lavoro.
Prodotti fuori ambito
I seguenti servizi non sono conformi a FedRAMP High o DoD IL2, IL4 e IL5 requisiti di conformità ai confini giurisdizionali:
- Bilanciatore del carico delle applicazioni esterno globale
- Google Cloud Armor globale
- Bilanciatore del carico proxy esterno globale
Ti consigliamo di discutere del rischio associato all'utilizzo di questi servizi nella tua rete con l'Assistenza Google prima di iniziare a progettare la rete.
Considerazioni sul design
Questa sezione descrive le considerazioni sulla progettazione per cui le configurazioni descritti in questo documento rappresentano una scelta appropriata.
Utilizza Assured Workloads
Devi utilizzare Assured Workloads per soddisfare i requisiti basati sulla conformità su Google Cloud per i regolamenti che prevedono sovranità e residenza dei dati come FedRAMP High, DoD IL4 e IL5. Per capire se questi principi si applicano al programma di conformità su Google Cloud, che esamini Panoramica di Assured Workloads nelle prime fasi della progettazione. Sei responsabile della configurazione la tua rete e i tuoi criteri IAM.
Devi configurare un'istanza Assured Workloads
cartella
e impostare il programma di conformità appropriato. In questo caso, imposta il programma di conformità appropriato su FedRAMP
High
o IL2, IL4, IL5
. Questa cartella fornisce un confine normativo all'interno di
per identificare i tipi di dati regolamentati. Per impostazione predefinita, tutti i progetti
questa cartella erediterà i sistemi di protezione di sicurezza e conformità impostati
Livello di cartella Assured Workloads.
Assured Workloads limita le regioni per cui puoi selezionare
queste risorse in base al programma di conformità scelto utilizzando
restrizione delle risorse
Servizio criteri dell'organizzazione.
Allineamento regionale
Devi utilizzare una o più regioni di Google degli Stati Uniti per supportare la conformità programmi nell'ambito di queste linee guida. Tieni presente che FedRAMP High e DoD IL4 e IL5 hanno un requisito generale che prevede che i dati vengano conservati in un'area geografica degli Stati Uniti confine. Per sapere quali regioni puoi aggiungere, consulta Località di Assured Workloads.
Conformità a livello di prodotto
È tua responsabilità confermare che un prodotto o un servizio supporti il ai requisiti appropriati di sovranità e residenza dei dati per il tuo caso d'uso. Quando che acquisti o utilizzi il tuo target conformità devi seguire queste linee guida per ogni prodotto che utilizzi per: soddisfare i requisiti di conformità applicabili. Set Assured Workloads Configura un criterio dell'organizzazione modificabile con un criterio di limitazione dell'utilizzo delle risorse point-in-time che rifletta i servizi conformi al framework di conformità scelto.
Deployment
Per aiutarti a soddisfare i requisiti di conformità, ti consigliamo di seguire le le linee guida in questa sezione per i singoli servizi di networking.
Configurazioni di rete Virtual Private Cloud
Devi effettuare le seguenti configurazioni del virtual private cloud:
- Subnet: crea subnet nelle regioni degli Stati Uniti a cui viene fatto riferimento in Allineamento regionale. Assured Workloads applica criteri per limitare la creazione di subnet in altre località.
- Regole firewall: devi configurare Regole firewall VPC per consentire o negare solo le connessioni istanze di macchine virtuali (VM) per la tua rete VPC.
Configurazioni di Private Service Connect
Private Service Connect è una funzionalità di networking di Google Cloud che consente ai consumatori di accedere privatamente ai servizi gestiti dall'interno della rete VPC.
Entrambi Tipi di Private Service Connect (Endpoint Private Service Connect e backend Private Service Connect) supportano i controlli descritti in questo documento quando vengono configurati con bilanciatori del carico a livello di regione. Ti consigliamo di applicare di configurazione automatica descritti nella seguente tabella:
Tipo Private Service Connect | Bilanciatori del carico supportati | Stato di conformità |
---|---|---|
Endpoint Private Service Connect per le API di Google | Non applicabile | Non supportata |
Backend Private Service Connect per le API di Google |
|
Conforme quando utilizzato con uno dei seguenti carichi regionali
bilanciatori:
|
Endpoint Private Service Connect per i servizi pubblicati |
|
Conforme |
Backend Private Service Connect per i servizi pubblicati |
|
Conforme se utilizzato con il seguente bilanciatore del carico a livello di regione:
|
Mirroring pacchetto
Mirroring pacchetto è una funzionalità VPC che puoi usare per mantenere la conformità. Mirroring pacchetto acquisisce tutto il traffico e i dati dei pacchetti, tra cui e le intestazioni, quindi lo inoltra ai raccoglitori di destinazione per l’analisi. Mirroring pacchetto eredita lo stato di conformità del VPC.
Cloud Load Balancing
Google Cloud offre diversi tipi di bilanciatori del carico, come descritto in Panoramica del bilanciatore del carico delle applicazioni Per questa architettura, devi usare bilanciatori del carico a livello di regione.
Cloud DNS
Puoi utilizzare Cloud DNS per soddisfare i requisiti di conformità. Cloud DNS è un servizio DNS gestito di Google Cloud che supporta privato zone di inoltro, zone di peering, zone di ricerca inversa, e Criteri del server DNS. Le zone pubbliche di Cloud DNS non sono conformi a FedRAMP High e DoD IL2, IL4, o IL5.
Router Cloud
Router Cloud è un prodotto regionale che puoi configurare per Cloud VPN, Cloud Interconnect e Cloud NAT. Devi configurare solo il router Cloud nelle regioni degli Stati Uniti. Quando crei o modifichi una rete VPC, puoi impostare modalità di routing dinamico a livello di regione o globale. Se attivi l'impostazione globale modalità di routing, devi configurare la modalità di annuncio personalizzato per includere solo le reti statunitensi.
Cloud NAT
Cloud NAT è un prodotto NAT gestito a livello di regione che puoi utilizzare per abilitare l'accesso in uscita per le risorse private senza indirizzi IP esterni. Tu deve configurare il gateway Cloud NAT solo nelle regioni degli Stati Uniti a cui è associato Componente router Cloud.
Cloud VPN
Devi utilizzare gli endpoint Cloud VPN che si trovano negli Stati Uniti. Assicurati che il gateway VPN è configurato solo per essere utilizzato nella regione degli Stati Uniti corretta, come descritto in Allineamento regionale. Ti consigliamo di utilizza il tipo VPN ad alta disponibilità per Cloud VPN. Per la crittografia, è necessario utilizzare solo crittografie conformi a FIPS 140-2 e configurare la sicurezza dell'indirizzo IP. Per scoprire di più sui modelli supportati crittografie in Cloud VPN, consulta Crittografia IKE supportata. Per indicazioni su come scegliere una crittografia conforme agli standard FIPS 140-2, vedi FIPS 140-2 convalidato. Dopo aver effettuato una configurazione, non è possibile modificare una crittografia esistente in Google Cloud. Assicurati di configurare la stessa crittografia sui server di terze parti che utilizzi con Cloud VPN.
Google Cloud Armor
Google Cloud Armor è un servizio di mitigazione degli attacchi DDoS e protezione delle applicazioni. Aiuta a proteggere contro gli attacchi DDoS ai deployment dei clienti Google Cloud con carichi di lavoro esposte a internet. Google Cloud Armor per Bilanciatore del carico delle applicazioni esterno regionale è progettato per fornire la stessa protezione e le stesse capacità per il carico a livello di regione di carichi di lavoro bilanciati. Poiché i web application firewall (WAF) di Google Cloud Armor utilizzano a livello di regione, le configurazioni e il traffico risiedono nella regione in cui vengono create le risorse. Devi creare criteri di sicurezza del backend regionali e di collegarli a servizi di backend con ambito regionale. Il nuovo i criteri di sicurezza a livello di regione possono essere applicati solo a backend con ambito regionale nella stessa regione e vengono archiviati, valutati e applicati all'interno della regione. Google Cloud Armor per i bilanciatori del carico di rete e le VM si estende Protezione DDoS di Google Cloud Armor per i carichi di lavoro esposti a internet mediante una regola di forwarding del bilanciatore del carico di rete (o di forwarding del protocollo), oppure attraverso una VM esposta direttamente tramite un IP pubblico. Per attivare questa protezione, devi configurare protezione DDoS di rete avanzata.
Dedicated Interconnect
Per utilizzare Dedicated Interconnect la tua rete deve connettersi fisicamente alla rete Google in un di colocation. Il fornitore della struttura fornisce un circuito da 10G o 100G tra la tua rete e un POP Google Edge. Devi utilizzare Cloud Interconnect solo nelle strutture di colocation all'interno gli Stati Uniti che gestiscono le regioni Stati Uniti di Google Cloud.
Quando utilizzi Partner Cloud Interconnect, devi consultare il servizio per verificare che le sue sedi si trovino negli Stati Uniti e siano collegate a un delle località di Google Cloud negli Stati Uniti elencate più avanti in questa sezione.
Per impostazione predefinita, il traffico inviato su Cloud Interconnect non è criptato. Se vuoi criptare il traffico inviato su Cloud Interconnect, lattina Configurare VPN su Cloud Interconnect o MACsec
Per l'elenco completo delle regioni e delle colocalità supportate, consulta la seguente tabella:
Regione | Località | Nome della struttura | Struttura |
---|---|---|---|
us-east4 (Virginia) | (Ashburn) | iad-zone1-1 |
Equinix Ashburn (DC1-DC11) |
(Ashburn) | iad-zone2-1 |
Equinix Ashburn (DC1-DC11) | |
(Ashburn) | iad-zone1-5467 |
CoreSite - Reston (VA3) | |
(Ashburn) | iad-zone2-5467 |
CoreSite - Reston (VA3) | |
us-east5 (Columbus) | Columbus | cmh-zone1-2377 |
Cologix COL1 |
Columbus | cmh-zone2-2377 |
Cologix COL1 | |
us-central1 (Iowa) | Council Bluffs | cbf-zone1-575 |
Data center in Nebraska (1623 Farnam) |
Council Bluffs | cbf-zone2-575 |
Data center in Nebraska (1623 Farnam) | |
us-south1 (Dallas) | Dallas | dfw-zone1-4 |
Equinix Dallas (DA1) |
Dallas | dfw-zone2-4 |
Equinix Dallas (DA1) | |
us-west1 (Oregon) | Portland | pdx-zone1-1922 |
EdgeConneX Portland (EDCPOR01) |
Portland | pdx-zone2-1922 |
EdgeConneX Portland (EDCPOR01) | |
us-west2 (Los Angeles) | Los Angeles | lax-zone1-8 |
Equinix Los Angeles (LA1) |
Los Angeles | lax-zone2-8 |
Equinix Los Angeles (LA1) | |
Los Angeles | lax-zone1-19 |
CoreSite - LA1 - One Wilshire | |
Los Angeles | lax-zone2-19 |
CoreSite - LA1 - One Wilshire | |
Los Angeles | lax-zone1-403 |
Digital Realty LAX (600 West 7th) | |
Los Angeles | lax-zone2-403 |
Digital Realty LAX (600 West 7th) | |
Los Angeles | lax-zone1-333 |
Equinix LA3/LA4 - Los Angeles, El Segundo | |
Los Angeles | lax-zone2-333 |
Equinix LA3/LA4 - Los Angeles, El Segundo | |
us-west3 (Salt Lake City) | Salt Lake City | slc-zone1-99001 |
Slogan allineato (SLC-01) |
Salt Lake City | slc-zone2-99001 |
Slogan allineato (SLC-01) | |
us-west4 (Las Vegas) | Las Vegas | las-zone1-770 |
Cambia Las Vegas |
Las Vegas | las-zone2-770 |
Cambia Las Vegas |
Passaggi successivi
- Scopri di più sui prodotti Google Cloud utilizzati in questa guida alla progettazione:
- Per altre architetture di riferimento, diagrammi e best practice, esplora il Centro architetture cloud.
Collaboratori
Autori:
- Haider Witwit | Customer Engineer
- Bhavin Desai Product manager
Altri collaboratori:
- Ashwin Gururaghavendran | Ingegnere informatico
- Percy Wadia | Group Product Manager
- Daniele Lessi | Cloud Security Architect
- Marquis Carroll | Consulente
- Michele Chubirka | Consulente per la sicurezza cloud