Questo documento fornisce indicazioni di configurazione per aiutarti a eseguire il deployment sicuro dei criteri di rete di Google Cloud negli Stati Uniti (US) in conformità ai requisiti di progettazione per FedRAMP High e per il livello di impatto 2 (IL2), il livello di impatto 4 (IL4) e il livello di impatto 5 (IL5) del Dipartimento della difesa (DoD). Questo documento è rivolto a Solution Architect, Network Engineer e Security Engineer che progettano ed eseguono il deployment di soluzioni di networking su Google Cloud. Le seguenti mostra la progettazione di una rete in una zona di destinazione per carichi di lavoro altamente regolamentati.
Architettura
La progettazione della rete mostrata nel diagramma precedente è in linea con la conformità per gli Stati Uniti framework di riferimento per FedRAMP High e DoD IL2, IL4 e IL5. Questa architettura include i seguenti componenti, descritti in modo più dettagliato più avanti in questo documento:
- Virtual Private Cloud (VPC): questi VPC sono globali, ma devi solo creare subnet nelle regioni degli Stati Uniti.
- Bilanciatori del carico a livello di regione: sono bilanciatori del carico a livello di regione, non globale. Supportano solo i deployment negli Stati Uniti. Tieni presente che l'uso di carichi esterni bilanciatori oltre a quelli accessibili direttamente da internet potrebbero richiedere un'ulteriore convalida con DISA per garantire l’autorizzazione del Dipartimento della Difesa per IL4 e IL5.
- Google Cloud Armor criteri di sicurezza: questi criteri possono essere utilizzati con regionale e i criteri di sicurezza del bilanciatore del carico.
- Private Service Connect, Accesso privato Google (PGA), e Accesso privato ai servizi (PSA): Queste opzioni abilitano la connettività privata ai servizi gestiti di Google all'interno della regione. Devi abilitare l'accesso privato alle app gestite da Google servizi e API all'interno della regione tramite l'opzione pertinente caso d'uso.
- Servizi di terze parti: per i servizi di produzione e consumo di terze parti, devi assicurarti che sia il servizio di produzione sia i dati in transito soddisfino i tuoi requisiti di conformità.
- Non di produzione: esegui il provisioning di altri ambienti, ad esempio non di produzione, di test e qualità e controllo (QA) secondo la strategia VPC della tua organizzazione.
Caso d'uso
Assured Workloads è un framework di conformità che può aiutare a fornire i controlli di sicurezza devi supportare i requisiti normativi per FedRAMP High, DoD IL2, IL4 e IL5. Dopo il deployment con Assured Workloads, è tua responsabilità configurare criteri di rete conformi e sicuri. Per altri utilizzi relativi alla conformità consulta Hosting di carichi di lavoro FedRAMP Moderate e High Load su Google Cloud nella documentazione FedRAMP.
L'ambito di queste linee guida è limitato ai componenti di networking. Devi e configurare i carichi di lavoro in conformità con il modello di responsabilità condivisa. Matrice delle responsabilità del cliente FedRAMP, servizi Google Cloud che rientrano nell'ambito, FedRAMP, e Assured Workloads. Per ulteriori informazioni per soddisfare i requisiti di conformità per altri servizi Google Cloud, consulta le Centro risorse per la conformità.
I servizi a cui si fa riferimento in questo documento sono solo a scopo di esempio. Devi Rivedi i servizi che rientrano nell'ambito dei programmi di conformità per assicurare il corretto livello di conformità richiesto per il carico di lavoro.
Prodotti fuori ambito
I seguenti servizi non sono conformi a FedRAMP High o DoD IL2, IL4 e IL5 requisiti di conformità ai confini giurisdizionali:
- Bilanciatore del carico delle applicazioni esterno globale
- Google Cloud Armor a livello globale
- Bilanciatore del carico proxy esterno globale
Ti consigliamo di discutere del rischio di utilizzare questi servizi nella tua rete con il team dell'Assistenza Google prima di iniziare a progettare la rete.
Considerazioni sul design
Questa sezione descrive considerazioni sulla progettazione per cui le configurazioni descritti in questo documento rappresentano una scelta appropriata.
Utilizzare Assured Workloads
Devi utilizzare Assured Workloads per soddisfare i requisiti basati sulla conformità su Google Cloud per i regolamenti che prevedono sovranità e residenza dei dati come FedRAMP High, DoD IL4 e IL5. Per capire se questi principi si applicano al tuo programma di conformità su Google Cloud, ti consigliamo di consultare la Panoramica di Assured Workloads nelle prime fasi della fase di progettazione. Sei responsabile della configurazione la tua rete e i tuoi criteri IAM.
Devi configurare una cartella Assured Workloads e impostare il programma di conformità appropriato. In questo caso, imposta il programma di conformità appropriato su FedRAMP
High o IL2, IL4, IL5. Questa cartella fornisce un confine normativo all'interno di
per identificare i tipi di dati regolamentati. Per impostazione predefinita, tutti i progetti
questa cartella erediterà i sistemi di protezione di sicurezza e conformità impostati
Livello di cartella Assured Workloads.
Assured Workloads limita le regioni per cui puoi selezionare
queste risorse in base al programma di conformità scelto utilizzando
restrizione delle risorse
Servizio criteri dell'organizzazione.
Allineamento regionale
Devi utilizzare una o più regioni Google degli Stati Uniti per supportare i programmi di conformità coperti da queste indicazioni. Tieni presente che FedRAMP High e DoD IL4 e IL5 hanno un requisito generale che prevede che i dati vengano conservati in un'area geografica degli Stati Uniti confine. Per scoprire quali regioni puoi aggiungere, consulta la sezione Località di Assured Workloads.
Conformità a livello di prodotto
È tua responsabilità confermare che un prodotto o un servizio supporti il ai requisiti appropriati di sovranità e residenza dei dati per il tuo caso d'uso. Quando che acquisti o utilizzi il tuo target conformità devi seguire queste linee guida per ogni prodotto che utilizzi per: soddisfare i requisiti di conformità applicabili. Assured Workloads imposta un criterio dell'organizzazione modificabile con un criterio di limitazione dell'utilizzo delle risorse in un determinato momento che riflette i servizi conformi al framework di conformità scelto.
Deployment
Per aiutarti a soddisfare i requisiti di conformità, ti consigliamo di seguire le le linee guida in questa sezione per i singoli servizi di networking.
Configurazioni di rete Virtual Private Cloud
Devi apportare le seguenti configurazioni del virtual private cloud:
- Subnet: crea subnet nelle regioni degli Stati Uniti a cui si fa riferimento in Allineamento regionale. Assured Workloads applica criteri per limitare la creazione di subnet in altre località.
- Regole firewall: devi configurare le regole firewall VPC per consentire o negare le connessioni solo da o verso le istanze di macchine virtuali (VM) nella tua rete VPC.
Configurazioni di Private Service Connect
Private Service Connect è una funzionalità di networking di Google Cloud che consente ai consumatori di accedere privatamente ai servizi gestiti dall'interno della rete VPC.
Entrambi Tipi di Private Service Connect (Endpoint Private Service Connect e backend Private Service Connect) supportano i controlli descritti in questo documento quando vengono configurati con bilanciatori del carico regionali. Ti consigliamo di applicare di configurazione automatica descritti nella seguente tabella:
| Tipo Private Service Connect | Bilanciatori del carico supportati | Stato di conformità |
|---|---|---|
| Endpoint Private Service Connect per le API di Google | Non applicabile | Non supportata |
| Backend Private Service Connect per le API di Google |
|
Conforme se utilizzato con uno dei seguenti bilanciatori del carico a livello di regione:
|
| Endpoint Private Service Connect per i servizi pubblicati |
|
Conforme |
| Back-end Private Service Connect per i servizi pubblicati |
|
Conforme se utilizzato con il seguente bilanciatore del carico a livello di regione:
|
Mirroring pacchetto
Il mirroring dei pacchetti è una funzionalità VPC che puoi utilizzare per mantenere la conformità. Il mirroring dei pacchetti acquisisce tutto il traffico e i dati dei pacchetti, inclusi payload e intestazioni, e li inoltra ai collector di destinazione per l'analisi. Mirroring pacchetto eredita lo stato di conformità del VPC.
Cloud Load Balancing
Google Cloud offre diversi tipi di bilanciatori del carico, come descritto nella panoramica del bilanciatore del carico delle applicazioni. Per questa architettura, devi usare bilanciatori del carico a livello di regione.
Cloud DNS
Puoi utilizzare Cloud DNS per aiutarti a soddisfare i tuoi requisiti di conformità. Cloud DNS è un servizio DNS gestito di Google Cloud che supporta privato zone di inoltro, zone di peering, zone di ricerca inversa, e Criteri del server DNS. le zone pubbliche di Cloud DNS non sono conformi a FedRAMP High e DoD IL2, IL4, o IL5.
Router Cloud
Router Cloud è un prodotto regionale che puoi configurare per Cloud VPN, Cloud Interconnect e Cloud NAT. Devi configurare solo il router Cloud nelle regioni degli Stati Uniti. Quando crei o modifichi una rete VPC, puoi impostare la modalità di routing dinamico su regionale o globale. Se attivi l'impostazione globale modalità di routing, devi configurare la modalità di annuncio personalizzato per includere solo le reti statunitensi.
Cloud NAT
Cloud NAT è un prodotto NAT gestito a livello di regione che puoi utilizzare per abilitare l'accesso in uscita a internet per le risorse private senza indirizzi IP esterni. Devi configurare il gateway Cloud NAT solo nelle regioni degli Stati Uniti che dispongono del componente router Cloud associato.
Cloud VPN
Devi utilizzare gli endpoint Cloud VPN che si trovano negli Stati Uniti. Assicurati che il gateway VPN sia configurato solo per l'utilizzo nella regione degli Stati Uniti corretta, come descritto in Allineamento regionale. Ti consigliamo di utilizza il tipo VPN ad alta disponibilità per Cloud VPN. Per la crittografia, devi utilizzare solo algoritmi di crittografia conformi a FIPS 140-2 per creare i certificati e configurare la sicurezza dell'indirizzo IP. Per scoprire di più sulle chiavi di crittografia supportate in Cloud VPN, consulta Tipi di crittografia IKE supportati. Per indicazioni su come selezionare un'algoritmo di crittografia conforme agli standard FIPS 140-2, consulta Convalida FIPS 140-2. Dopo aver eseguito una configurazione, non è possibile modificare una crittografia esistente in Google Cloud. Assicurati di configurare la stessa crittografia sui server di terze parti che utilizzi con Cloud VPN.
Google Cloud Armor
Google Cloud Armor è un servizio di mitigazione degli attacchi DDoS e di protezione delle applicazioni. Aiuta a proteggere contro gli attacchi DDoS ai deployment dei clienti Google Cloud con carichi di lavoro esposte a internet. Google Cloud Armor per Bilanciatore del carico delle applicazioni esterno regionale è progettato per fornire le stesse funzionalità e protezione per i carichi di lavoro bilanciati a livello di regione. Poiché i web application firewall (WAF) di Google Cloud Armor utilizzano a livello di regione, le configurazioni e il traffico risiedono nella regione in cui vengono create le risorse. Devi creare criteri di sicurezza del backend regionali e di collegarli a servizi di backend con ambito regionale. Il nuovo i criteri di sicurezza a livello di regione possono essere applicati solo a backend con ambito regionale nella stessa regione e vengono archiviati, valutati e applicati all'interno della regione. Google Cloud Armor per bilanciatori del carico di rete e VM estende la protezione DDoS di Google Cloud Armor per i carichi di lavoro esposti a internet tramite una regola di inoltro del bilanciatore del carico di rete (o del forwarding del protocollo) o tramite una VM esposta direttamente tramite un IP pubblico. Per attivare questa protezione, devi configurare la protezione DDoS di rete avanzata.
Dedicated Interconnect
Per utilizzare Dedicated Interconnect, la tua rete deve connettersi fisicamente alla rete di Google in una struttura di colocation supportata. Il fornitore della struttura fornisce un circuito 10G o 100G tra la tua rete e un POP Google Edge. Devi utilizzare Cloud Interconnect solo nelle strutture di colocation all'interno degli Stati Uniti che servono le regioni Google Cloud degli Stati Uniti.
Quando utilizzi Partner Cloud Interconnect, devi consultare il servizio per verificare che le sue sedi si trovino all'interno degli Stati Uniti e siano collegate a un delle località di Google Cloud negli Stati Uniti elencate più avanti in questa sezione.
Per impostazione predefinita, il traffico inviato tramite Cloud Interconnect non è criptato. Se vuoi criptare il traffico inviato tramite Cloud Interconnect, puoi configurare la VPN su Cloud Interconnect o MACsec.
Per l'elenco completo delle regioni e delle colocalità supportate, consulta la tabella seguente:
| Regione | Località | Nome della struttura | Struttura |
|---|---|---|---|
| us-east4 (Virginia) | (Ashburn) | iad-zone1-1 |
Equinix Ashburn (DC1-DC11) |
| (Ashburn) | iad-zone2-1 |
Equinix Ashburn (DC1-DC11) | |
| (Ashburn) | iad-zone1-5467 |
CoreSite - Reston (VA3) | |
| (Ashburn) | iad-zone2-5467 |
CoreSite - Reston (VA3) | |
| us-east5 (Columbus) | Columbus | cmh-zone1-2377 |
Cologix COL1 |
| Columbus | cmh-zone2-2377 |
Cologix COL1 | |
| us-central1 (Iowa) | Council Bluffs | cbf-zone1-575 |
Data center in Nebraska (1623 Farnam) |
| Council Bluffs | cbf-zone2-575 |
Data center in Nebraska (1623 Farnam) | |
| us-south1 (Dallas) | Dallas | dfw-zone1-4 |
Equinix Dallas (DA1) |
| Dallas | dfw-zone2-4 |
Equinix Dallas (DA1) | |
| us-west1 (Oregon) | Portland | pdx-zone1-1922 |
EdgeConneX Portland (EDCPOR01) |
| Portland | pdx-zone2-1922 |
EdgeConneX Portland (EDCPOR01) | |
| us-west2 (Los Angeles) | Los Angeles | lax-zone1-8 |
Equinix Los Angeles (LA1) |
| Los Angeles | lax-zone2-8 |
Equinix Los Angeles (LA1) | |
| Los Angeles | lax-zone1-19 |
CoreSite - LA1 - One Wilshire | |
| Los Angeles | lax-zone2-19 |
CoreSite - LA1 - One Wilshire | |
| Los Angeles | lax-zone1-403 |
Digital Realty LAX (600 West 7th) | |
| Los Angeles | lax-zone2-403 |
Digital Realty LAX (600 West 7th) | |
| Los Angeles | lax-zone1-333 |
Equinix LA3/LA4 - Los Angeles, El Segundo | |
| Los Angeles | lax-zone2-333 |
Equinix LA3/LA4 - Los Angeles, El Segundo | |
| us-west3 (Salt Lake City) | Salt Lake City | slc-zone1-99001 |
Aligned Salt Lake (SLC-01) |
| Salt Lake City | slc-zone2-99001 |
Aligned Salt Lake (SLC-01) | |
| us-west4 (Las Vegas) | Las Vegas | las-zone1-770 |
Switch Las Vegas |
| Las Vegas | las-zone2-770 |
Switch Las Vegas |
Passaggi successivi
- Scopri di più sui prodotti Google Cloud utilizzati in questa guida di progettazione:
- Per altre architetture di riferimento, diagrammi e best practice, visita il Centro architetture di Google Cloud.
Collaboratori
Autori:
- Haider Witwit | Customer Engineer
- Bhavin Desai | Product Manager
Altri collaboratori:
- Ashwin Gururaghavendran | Ingegnere informatico
- Percy Wadia | Group Product Manager
- Daniel Lees | Cloud Security Architect
- Marquis Carroll | Consulente
- Michele Chubirka | Consulente per la sicurezza cloud