Netzwerke für FedRAMP und DoD in Google Cloud konfigurieren

Last reviewed 2024-02-28 UTC

Dieses Dokument enthält Konfigurationsanleitungen, damit sie Google Cloud-Netzwerkrichtlinien in den USA bereitstellen können, die den Designanforderungen für FedRAMP High und Department of Defense (DoD) Impact Level 2 (IL2), Impact Level 4 (IL4) und Impact Level 5 (IL5) entsprechen. Dieses Dokument richtet sich an Lösungsarchitekten, Netzwerkingenieure und Sicherheitsingenieure. die Netzwerklösungen in Google Cloud entwerfen und bereitstellen. Das Folgende Das Diagramm zeigt ein Landing-Zone-Netzwerkdesign für stark regulierte Arbeitslasten.

Landing-Zonen-Netzwerkdesign für stark regulierte Arbeitslasten

Architektur

Das im vorherigen Diagramm gezeigte Netzwerkdesign entspricht der US-Compliance. für FedRAMP High und DoD IL2, IL4 und IL5 ein. Diese Architektur umfasst die folgenden Komponenten, die später in diesem Dokument näher beschrieben werden:

  • Virtual Private Cloud (VPC): Diese VPCs sind global, Sie müssen jedoch nur Subnetze in US-Regionen erstellen.
  • Regionale Load-Balancer: Diese Load-Balancer sind regional, nicht global. Sie unterstützen nur Bereitstellungen in den USA. Beachten Sie, dass die Verwendung von Balancern, auf die direkt über das Internet zugegriffen werden kann, möglicherweise eine zusätzliche Validierung mit DISA erfordern, um die DoD-Autorisierung für IL4 und IL5 zu bestätigen.
  • Google Cloud Armor Sicherheitsrichtlinien: Diese Richtlinien können mit unterstützten regionalen Load-Balancer-Sicherheitsrichtlinien genutzt werden.
  • Private Service Connect, Privater Google-Zugriff (PGA, Private Google Access) und Privater Dienstzugriff (PSA, Private Service Access): Diese Optionen ermöglichen eine private Verbindung zu von Google verwalteten Diensten innerhalb der Region. Sie müssen den privaten Zugriff auf die von Google verwalteten Dienste und APIs innerhalb der Region über die entsprechende Option für Ihren Anwendungsfall aktivieren.
  • Drittanbieterdienste: Bei Ersteller-Nutzer-Diensten von Drittanbietern müssen Sie dafür sorgen, dass sowohl der Erstellerdienst als auch die übertragenen Daten den gültigen Compliance-Anforderungen erfüllen.
  • Nicht-Produktion: Stellen Sie andere Umgebungen bereit, z. B. Nicht-Produktion, Test- und Qualitätssicherungsumgebungen (QA) in Übereinstimmung mit der VPC-Strategie Ihrer Organisation bereit.

Anwendungsfall

Assured Workloads ist ein Compliance-Framework, das helfen kann, die Sicherheitskontrollen bereitzustellen, die Sie benötigen, um die behördlichen Anforderungen für FedRAMP High, DoD IL2, IL4 und IL5 zu unterstützen. Nach der Bereitstellung mit Assured Workloads sind Sie dafür verantwortlich, konforme und sichere Netzwerkrichtlinien einzurichten. Andere Compliance-Zwecke finden Sie unter Mittlere und hohe FedRAMP-Arbeitslasten in Google Cloud hosten in der FedRAMP-Dokumentation.

Der Geltungsbereich dieser Anleitung beschränkt sich auf Netzwerkkomponenten. Sie müssen Arbeitslasten gemäß dem Modell der geteilten Verantwortung, der FedRAMP-Kundenverantwortungsmatrix, den Google Cloud-Diensten innerhalb des Geltungsbereichs und den FedRAMP- und Assured Workloads-Richtlinien konfigurieren. Weitere Informationen dazu, wie Sie Compliance-Anforderungen für andere Google Cloud-Dienste erfüllen, finden Sie im Center für Compliance-Ressourcen.

Die Dienste, auf die in diesem Dokument verwiesen wird, dienen nur als Beispiel. Sie müssen Dienste, die den Complianceprogrammen unterliegen, überprüfen, damit die richtigen Compliance-Anforderungen für Ihre Arbeitslast erfüllt sind.

Nicht infrage kommende Produkte

Die folgenden Dienste erfüllen die gesetzlichen Compliance-Anforderungen von FedRAMP High- oder DoD IL2, IL4 und IL5 nicht:

  • Globaler externer Application Load Balancer
  • Global Google Cloud Armor
  • Globaler externer Proxy-Load Balancer

Wir empfehlen Ihnen, das Risiko der Nutzung dieser Dienste in Ihrem Netzwerk mit Ihrem Google-Supportteam zu besprechen, bevor Sie mit dem Netzwerkdesign beginnen.

Designaspekte

In diesem Abschnitt werden Designüberlegungen beschrieben, für die die in diesem Dokument beschriebenen Konfigurationen eine geeignete Wahl sind.

Assured Workloads verwenden

Sie müssen Assured Workloads verwenden, um auf Google Cloud die Compliance-Anforderungen für Vorschriften zu erfüllen, die Anforderungen an die Datensouveränität und den Wohnsitz stellen, wie FedRAMP High und DoD IL4 und IL5. Um zu verstehen, ob diese Prinzipien für Ihr Compliance-Programm in der Google Cloud gelten, empfehlen wir Ihnen, sich früh in der Designphase mit der Übersicht über Assured Workloads zu beschäftigen. Sie sind für die Konfiguration Ihres eigenen Netzwerkes und Ihre IAM-Richtlinien verantwortlich.

Sie müssen ein Assured Workloads-Ordner konfigurieren und das entsprechende Complianceprogramm festlegen. Legen Sie in diesem Fall das entsprechende Complianceprogramm auf FedRAMP High oder IL2, IL4, IL5 fest. Dieser Ordner stellt eine rechtliche Grenze innerhalb einer Organisation dar, um regulierte Datentypen zu identifizieren. Standardmäßig übernimmt jedes Projekt in diesem Ordner die auf der Ebene des Ordners Assured Workloads festgelegten Sicherheits- und Compliance-Schutzmaßnahmen. Assured Workloads schränkt die Regionen ein, die Sie für diese Ressourcen basierend auf dem Complianceprogramm auswählen können, das Sie mit dem Organisationsrichtliniendienst zur Ressourceneinschränkung ausgewählt haben.

Regionale Ausrichtung

Sie müssen mindestens eine der Google-Regionen in den USA verwenden, um die Compliance-Programme zu unterstützen, die für diese Anleitung infrage kommen. Beachten Sie, dass FedRAMP High und DoD IL4 und IL5 die allgemeine Anforderung haben, dass Daten innerhalb der US-amerikanischen Grenzen vorgehalten werden müssen. Informationen dazu, welche Regionen Sie hinzufügen können, finden Sie unter Assured Workloads-Standorte.

Compliance auf Produktebene

Es liegt in Ihrer Verantwortung, zu bestätigen, dass ein Produkt oder ein Dienst die entsprechenden Anforderungen an Datenhoheit und Datenstandort für Ihren Anwendungsfall erfüllt. Wenn Sie Ihr Compliance-Programm erwerben oder nutzen, müssen Sie diese Richtlinien für jedes Produkt befolgen, das Sie verwenden, um die geltenden Compliance-Anforderungen zu erfüllen. Assured Workloads richtet eine anpassbare Organisationsrichtlinie mit einer zeitsensitiven Richtlinie zur Einschränkung der Ressourcennutzung ein. Diese Richtlinie spiegelt die Dienste wider, die dem ausgewählten Compliance-Framework entsprechen.

Bereitstellung

Damit Sie Ihre Compliance-Anforderungen erfüllen, empfehlen wir Ihnen, sich an die Richtlinien für einzelne Netzwerkdienste zu halten.

Virtual Private Cloud-Netzwerkkonfigurationen

Sie müssen die folgenden Virtual Private Cloud-Konfigurationen vornehmen:

  • Subnetze: Erstellen Sie Subnetze in den US-Regionen, auf die in der regionalen Ausrichtung verwiesen wird. Assured Workloads wendet Richtlinien an, um die Erstellung von Subnetzen an anderen Standorten einzuschränken.
  • Firewallregeln: Sie müssen Folgendes VPC-Firewallregeln konfigurieren, um nur Verbindungen zu oder von VM-Instanzen in Ihrem VPC-Netzwerk zuzulassen oder abzulehnen.

Private Service Connect-Konfigurationen

Private Service Connect ist eine Funktion des Google Cloud-Netzwerks, mit der Nutzer privat aus ihrem VPC-Netzwerk auf verwaltete Dienste zugreifen können.

Beide Private Service Connect-Typen (Private Service Connect-Endpunkte und -Back-Ends) unterstützen die in diesem Dokument beschriebenen Steuerungen, wenn sie mit regionalen Load Balancern konfiguriert wurden. Wir empfehlen, dass Sie die in der folgenden Tabelle beschriebenen Konfigurationsdetails anwenden:

Private Service Connect-Typ Unterstützte Load-Balancer Compliancestatus
Private Service Connect-Endpunkte für Google APIs Nicht zutreffend Nicht unterstützt
Private Service Connect-Back-Ends für Google APIs verwenden
  • Globaler externer Application Load Balancer
  • Regionaler externer Proxy-Network Load Balancer oder interner Application Load Balancer
  • Regionaler externer Proxy-Network Load Balancer
Konform bei Verwendung mit einem der folgenden regionalen Load Balancer:
  • Regionaler externer oder interner Application Load Balancer
  • Regionaler externer Proxy-Network Load Balancer
Private Service Connect-Endpunkte für veröffentlichte Dienste
  • Regionaler interner Application Load Balancer
  • Regionaler interner Passthrough-Network Load Balancer
  • Regionaler externer Proxy-Network Load Balancer
Konform
Private Service Connect-Back-Ends für veröffentlichte Dienste
  • Globaler externer Application Load Balancer
  • Regionaler externer oder interner Application Load Balancer
  • Regionaler externer Proxy-Network Load Balancer
  • Regionaler interner Passthrough-Network Load Balancer
Konform bei Verwendung mit dem folgenden regionalen Load Balancer:
  • Regionaler externer oder interner Application Load Balancer
  • Regionaler externer Proxy-Network Load Balancer
  • Regionaler interner Passthrough-Network Load Balancer

Paketspiegelung

Paketspiegelung ist eine VPC-Funktion, mit der Sie Compliance-Anforderungen einhalten können. Bei der Paketspiegelung werden Ihr gesamter Traffic und alle Paketdaten erfasst, einschließlich Payloads und Header, zur Analyse an Ziel-Collectors weitergeleitet. Bei der Paketspiegelung wird der VPC-Compliance-Status übernommen.

Cloud Load Balancing

Google Cloud bietet verschiedene Arten von Load Balancern, wie unter Übersicht über den Application Load Balancer Für diese Architektur müssen Sie regionale Load Balancer verwenden.

Cloud DNS

Mit Cloud DNS können Sie Ihre Compliance-Anforderungen leichter erfüllen. Cloud DNS ist ein verwalteter DNS-Dienst in Google Cloud, der private Weiterleitungszonen, Peering-Zonen, Reverse-Lookup-Zonen und DNS-Serverrichtlinien unterstützt. Öffentliche Cloud DNS-Zonen entsprechen nicht den Vorgaben von FedRAMP High und DoD IL2, IL4 oder IL5.

Cloud Router

Cloud Router ist ein regionales Produkt, das Sie für Cloud VPN, Cloud Interconnect und Cloud NAT konfigurieren können. Sie müssen nur Cloud Router in einer US-Region konfigurieren. Wenn Sie ein VPC-Netzwerk erstellen oder bearbeiten, können Sie den Modus für dynamisches Routing als regional oder global festlegen. Wenn Sie „Global“ aktivieren, müssen Sie den benutzerdefinierten beworbenen Modus so konfigurieren, dass nur US-Netzwerke einbezogen werden.

Cloud NAT

Cloud NAT ist ein regional verwaltetes NAT-Produkt, mit dem Sie ausgehenden Zugriff zum Internet für private Ressourcen ohne externe IP-Adressen ermöglichen können. Sie dürfen Cloud NAT-Gateways nur in den US-Regionen konfigurieren, denen die zugehörige Cloud Router-Komponente zugewiesen ist.

Cloud VPN

Sie dürfen nur in den USA befindliche Cloud VPN-Endpunkte verwenden. Achten Sie darauf, dass Ihr VPN-Gateway nur für die Verwendung in der vorgesehenen US-Region konfiguriert ist, wie unter Regionale Ausrichtung beschrieben. Wir empfehlen Ihnen, den Typ HA VPN für Cloud VPN zu verwenden. Für die Verschlüsselung dürfen nur FIPS 140-2-konforme Chiffren verwendet werden, um Zertifikate zu erstellen und die Sicherheit Ihrer IP-Adresse zu konfigurieren. Weitere Informationen zu unterstützten Chiffren in Cloud VPN, finden Sie unter Unterstützte IKE-Chiffren. Hinweise zur Auswahl einer Chiffre, die den FIPS 140-2-Standards entspricht, finden Sie unter Validiert gemäß FIPS 140-2 Nachdem Sie eine Konfiguration erstellt haben, gibt es keine Möglichkeit mehr, eine vorhandene Chiffre in Google Cloud zu ändern. Achten Sie darauf, dass Sie auf Ihrer Drittanbieter-Appliance auch die Chiffre konfigurieren, die Sie mit Cloud VPN verwenden.

Google Cloud Armor

Google Cloud Armor ist ein Dienst zum Schutz vor DDoS-Angriffen und Anwendungen. Er trägt zum Schutz vor DDoS-Angriffen auf Google Cloud-Kundenbereitstellungen mit Arbeitslasten bei, die dem Internet ausgesetzt sind. Google Cloud Armor für den regionalen externen Application Load Balancer bietet denselben Schutz und dieselben Funktionen für regionale Arbeitslasten mit Load-Balancing. Da Google Cloud Armor Web-Application Firewalls (WAFs) einen regionalen Bereich verwenden, befinden sich Ihre Konfigurationen und Ihr Traffic in der Region, in der die Ressourcen erstellt werden. Sie müssen regionale Back-End-Sicherheitsrichtlinien erstellen und an Backend-Dienste mit regionalem Geltungsbereich anhängen. Die neuen regionalen Sicherheitsrichtlinien können nur auf regionale Backend-Dienste in derselben Region angewendet werden und werden in der relevanten Region gespeichert, ausgewertet und erzwungen. Google Cloud Armor für Netzwerk-Load-Balancer und VMs erweitert den DDoS-Schutz von Google Cloud Armor für Arbeitslasten, die über Weiterleitungsregeln (oder Protokollweiterleitungen) für Netzwerk-Load-Balancer oder über eine direkt über eine öffentliche IP-Adresse zugängliche VM vom Internet aus erreicht werden können. Um diesen Schutz zu aktivieren, müssen Sie den erweiterten DDoS-Schutz für Netzwerke konfigurieren.

Dedicated Interconnect

Um Dedicated Interconnect zu verwenden, muss Ihr Netzwerk sich physisch mit dem Google-Netzwerk in einer unterstützten Colocations-Einrichtung verbinden. Der Einrichtungsanbieter stellt eine 10G- oder 100G-Netzwerkverbindung zwischen Ihrem Netzwerk und einem Google Edge Point of Presence bereit. Sie dürfen Cloud Interconnect nur in Colocations-Einrichtungen innerhalb den USA verwenden, die Google Cloud-Regionen in den USA bedienen.

Wenn Sie Partner Cloud Interconnect verwenden, müssen Sie sich an den Dienstleister wenden, um zu bestätigen, dass sich seine Standorte in den USA befinden und mit einem der Google Cloud-Standorte in den USA aus der Liste weiter unten in diesem Abschnitt verbunden sind.

Der über Cloud Interconnect gesendete Traffic ist standardmäßig unverschlüsselt. Wenn Sie über Cloud Interconnect gesendeten Traffic verschlüsseln möchten, können Sie VPN über Cloud Interconnect oder MACsec konfigurieren.

Die vollständige Liste der unterstützten Regionen und gemeinsamen Standorte finden Sie in der folgenden Tabelle:

Region Standort Name der Einrichtung Einrichtung
us-east4 (Virginia) Ashburn iad-zone1-1 Equinix Ashburn (DC1-DC11)
Ashburn iad-zone2-1 Equinix Ashburn (DC1-DC11)
Ashburn iad-zone1-5467 CoreSite - Reston (VA3)
Ashburn iad-zone2-5467 CoreSite - Reston (VA3)
us-east5 (Columbus) Columbus cmh-zone1-2377 Cologix COL1
Columbus cmh-zone2-2377 Cologix COL1
us-central1 (Iowa) Council Bluffs cbf-zone1-575 Nebraska-Rechenzentren (1623 Farnam)
Council Bluffs cbf-zone2-575 Nebraska-Rechenzentren (1623 Farnam)
us-south1 (Dallas) Dallas dfw-zone1-4 Equinix Dallas (DA1)
Dallas dfw-zone2-4 Equinix Dallas (DA1)
us-west1 (Oregon) Portland pdx-zone1-1922 EdgeConneX Portland (EDCPOR01)
Portland pdx-zone2-1922 EdgeConneX Portland (EDCPOR01)
us-west2 (Los Angeles) Los Angeles lax-zone1-8 Equinix Los Angeles (LA1)
Los Angeles lax-zone2-8 Equinix Los Angeles (LA1)
Los Angeles lax-zone1-19 CoreSite – LA1 – One Wilshire
Los Angeles lax-zone2-19 CoreSite – LA1 – One Wilshire
Los Angeles lax-zone1-403 Digital Realty LAX (600 West 7th)
Los Angeles lax-zone2-403 Digital Realty LAX (600 West 7th)
Los Angeles lax-zone1-333 Equinix LA3/LA4 - Los Angeles, El Segundo
Los Angeles lax-zone2-333 Equinix LA3/LA4 - Los Angeles, El Segundo
us-west3 (Salt Lake City) Salt Lake City slc-zone1-99001 Aligned Salt Lake (SLC-01)
Salt Lake City slc-zone2-99001 Aligned Salt Lake (SLC-01)
us-west4 (Las Vegas) Las Vegas las-zone1-770 Switch Las Vegas
Las Vegas las-zone2-770 Switch Las Vegas

Nächste Schritte

Beitragende

Autoren:

Weitere Beitragende: