Dokumen ini memberikan panduan konfigurasi untuk membantu Anda men-deploy kebijakan jaringan Google Cloud dengan aman di Amerika Serikat (AS) yang mematuhi persyaratan desain untuk FedRAMP High dan Departemen Pertahanan (DoD) Impact Level 2 (IL2), Impact Level 4 (IL4), dan Impact Level 5 (IL5). Dokumen ini ditujukan untuk arsitek solusi, engineer jaringan, dan engineer keamanan yang mendesain dan men-deploy solusi jaringan di Google Cloud. Diagram berikut menunjukkan desain jaringan zona landing untuk beban kerja yang sangat diatur.
Arsitektur
Desain jaringan yang ditampilkan dalam diagram sebelumnya selaras dengan persyaratan framework kepatuhan Amerika Serikat untuk FedRAMP High, dan DoD IL2, IL4, dan IL5. Arsitektur ini mencakup komponen berikut, yang akan dijelaskan secara lebih mendetail nanti dalam dokumen ini:
- Virtual Private Cloud (VPC): VPC ini bersifat global, tetapi Anda hanya boleh membuat subnet di region Amerika Serikat.
- Load balancer regional: Load balancer ini bersifat regional, bukan global. Fitur ini hanya mendukung deployment di Amerika Serikat. Perhatikan bahwa penggunaan load balancer eksternal yang dapat diakses langsung oleh internet mungkin memerlukan validasi tambahan dengan DISA untuk memastikan otorisasi DoD untuk IL4 dan IL5.
- Kebijakan keamanan Google Cloud Armor: Kebijakan ini dapat digunakan dengan kebijakan keamanan load balancer regional yang didukung.
- Private Service Connect, Private Google Access (PGA), dan Private service access (PSA): Opsi ini memungkinkan konektivitas pribadi ke layanan terkelola Google dalam region. Anda harus mengaktifkan akses pribadi ke layanan dan API yang dikelola Google dalam wilayah melalui opsi yang relevan untuk kasus penggunaan Anda.
- Layanan pihak ketiga: Untuk layanan produsen-konsumen pihak ketiga, Anda harus memastikan bahwa layanan produsen dan data yang sedang dalam pengiriman memenuhi persyaratan kepatuhan Anda.
- Non-prod: Menyediakan lingkungan lain seperti non-prod, pengujian, dan jaminan kualitas (QA) sesuai dengan strategi VPC organisasi Anda.
Kasus penggunaan
Assured Workloads adalah framework kepatuhan yang dapat membantu memberikan kontrol keamanan yang Anda perlukan untuk mendukung persyaratan peraturan untuk FedRAMP High, dan DoD IL2, IL4, dan IL5. Setelah men-deploy dengan Assured Workloads, Anda bertanggung jawab untuk menyiapkan kebijakan jaringan yang mematuhi dan aman. Untuk kasus penggunaan kepatuhan lainnya, lihat Menghosting Workload FedRAMP Moderate dan High di Google Cloud dalam dokumentasi FedRAMP.
Cakupan panduan ini terbatas pada komponen jaringan. Anda harus mengonfigurasi workload sesuai dengan model tanggung jawab bersama, Customer Responsibility Matrix FedRAMP, layanan Google Cloud yang termasuk dalam cakupan, FedRAMP, dan pedoman Assured Workloads. Untuk informasi selengkapnya tentang cara memenuhi persyaratan kepatuhan untuk layanan Google Cloud lainnya, lihat Pusat referensi kepatuhan.
Layanan yang dirujuk dalam dokumen ini hanya untuk tujuan contoh. Anda harus meninjau layanan yang termasuk dalam cakupan program kepatuhan untuk memastikan persyaratan tingkat kepatuhan yang benar untuk workload Anda.
Produk di luar cakupan
Layanan berikut tidak memenuhi persyaratan kepatuhan batas wilayah yurisdiksi FedRAMP High, atau DoD IL2, IL4, dan IL5:
- Load Balancer Aplikasi Eksternal Global
- Google Cloud Armor Global
- Load Balancer Proxy Eksternal Global
Sebaiknya diskusikan risiko penggunaan layanan ini di jaringan Anda dengan tim dukungan Google sebelum Anda mulai membuat desain jaringan.
Pertimbangan Desain
Bagian ini menjelaskan pertimbangan desain yang konfigurasinya dijelaskan dalam dokumen ini adalah pilihan yang sesuai.
Menggunakan Assured Workloads
Anda harus menggunakan Assured Workloads untuk memenuhi persyaratan berbasis kepatuhan di Google Cloud untuk peraturan yang memiliki persyaratan kedaulatan dan residensi data, seperti FedRAMP High, serta DoD IL4 dan IL5. Untuk memahami apakah prinsip-prinsip ini berlaku untuk program kepatuhan Anda di Google Cloud, sebaiknya tinjau Ringkasan Assured Workloads pada tahap awal fase desain Anda. Anda bertanggung jawab untuk mengonfigurasi kebijakan IAM dan jaringan Anda sendiri.
Anda harus mengonfigurasi folder
Assured Workloads dan menetapkan program kepatuhan yang sesuai. Dalam hal ini, tetapkan program kepatuhan yang sesuai ke FedRAMP
High atau IL2, IL4, IL5. Folder ini menyediakan batas peraturan dalam organisasi untuk mengidentifikasi jenis data yang diatur. Secara default, setiap project di bawah
folder ini akan mewarisi panduan keamanan dan kepatuhan yang ditetapkan di
level folder Assured Workloads.
Assured Workloads membatasi region yang dapat Anda pilih untuk resource tersebut berdasarkan program kepatuhan yang Anda pilih menggunakan Layanan Kebijakan Organisasi pembatasan resource.
Perataan regional
Anda harus menggunakan satu atau beberapa wilayah Google di Amerika Serikat untuk mendukung program kepatuhan yang tercakup dalam panduan ini. Perhatikan bahwa FedRAMP High dan DoD IL4 dan IL5 memiliki persyaratan umum bahwa data disimpan dalam batas geografis AS. Untuk mempelajari region yang dapat Anda tambahkan, lihat Lokasi Assured Workloads.
Kepatuhan tingkat produk
Anda bertanggung jawab untuk mengonfirmasi bahwa produk atau layanan mendukung persyaratan kedaulatan dan residensi data yang sesuai untuk kasus penggunaan Anda. Saat membeli atau menggunakan program kepatuhan target, Anda juga harus mengikuti panduan ini untuk setiap produk yang Anda gunakan untuk memenuhi persyaratan kepatuhan yang berlaku. Assured Workloads menyiapkan Kebijakan Organisasi yang dapat diubah dengan kebijakan pembatasan penggunaan resource titik waktu yang mencerminkan layanan yang mematuhi framework kepatuhan yang dipilih.
Deployment
Untuk membantu Anda memenuhi persyaratan kepatuhan, sebaiknya ikuti panduan di bagian ini untuk setiap layanan jaringan.
Konfigurasi jaringan Virtual Private Cloud
Anda harus membuat konfigurasi Virtual Private Cloud berikut:
- Subnets: Buat subnet di region AS yang dirujuk dalam Penyesuaian regional. Assured Workloads menerapkan kebijakan untuk membatasi pembuatan subnet di lokasi lain.
- Aturan firewall: Anda harus mengonfigurasi aturan firewall VPC untuk mengizinkan atau menolak koneksi hanya ke atau dari instance virtual machine (VM) di jaringan VPC Anda.
Konfigurasi Private Service Connect
Private Service Connect adalah kemampuan jaringan Google Cloud yang memungkinkan konsumen mengakses layanan terkelola secara pribadi dari dalam jaringan VPC mereka.
Kedua jenis Private Service Connect (endpoint Private Service Connect dan backend Private Service Connect) mendukung kontrol yang dijelaskan dalam dokumen ini saat dikonfigurasi dengan load balancer regional. Sebaiknya terapkan detail konfigurasi yang dijelaskan dalam tabel berikut:
| Jenis Private Service Connect | Load balancer yang didukung | Status kepatuhan |
|---|---|---|
| Endpoint Private Service Connect untuk Google API | Tidak berlaku | Tidak didukung |
| Backend Private Service Connect untuk Google API |
|
Sesuai jika digunakan dengan salah satu load balancer regional berikut:
|
| Endpoint Private Service Connect untuk layanan yang ditayangkan |
|
Patuh |
| Backend Private Service Connect untuk layanan yang dipublikasikan |
|
Sesuai jika digunakan dengan load balancer regional berikut:
|
Duplikasi Paket
Duplikasi Paket adalah fitur VPC yang dapat Anda gunakan untuk membantu Anda mempertahankan kepatuhan. Duplikasi Paket merekam semua data traffic dan paket Anda, termasuk payload dan header, lalu meneruskannya ke kolektor target untuk dianalisis. Duplikasi Paket mewarisi status kepatuhan VPC.
Cloud Load Balancing
Google Cloud menawarkan berbagai jenis load balancer, seperti yang dijelaskan dalam Ringkasan Application Load Balancer. Untuk arsitektur ini, Anda harus menggunakan load balancer regional.
Cloud DNS
Anda dapat menggunakan Cloud DNS untuk membantu memenuhi persyaratan kepatuhan. Cloud DNS adalah layanan DNS terkelola di Google Cloud yang mendukung zona penerusan, zona peering, zona pencarian balik, dan kebijakan server DNS pribadi. Zona publik Cloud DNS tidak mematuhi kontrol FedRAMP High, dan DoD IL2, IL4, atau IL5.
Cloud Router
Cloud Router adalah produk regional yang dapat Anda konfigurasi untuk Cloud VPN, Cloud Interconnect, dan Cloud NAT. Anda hanya boleh mengonfigurasi Cloud Router di region Amerika Serikat. Saat membuat atau mengedit jaringan VPC, Anda dapat menetapkan mode pemilihan rute dinamis ke regional atau global. Jika mengaktifkan mode perutean global, Anda harus mengonfigurasi mode iklan kustom agar hanya menyertakan jaringan AS.
Cloud NAT
Cloud NAT adalah produk NAT terkelola regional yang dapat Anda gunakan untuk mengaktifkan akses keluar ke internet untuk resource pribadi tanpa alamat IP eksternal. Anda hanya boleh mengonfigurasi gateway Cloud NAT di region AS yang memiliki komponen Cloud Router terkait.
Cloud VPN
Anda harus menggunakan endpoint Cloud VPN yang berada di Amerika Serikat. Pastikan gateway VPN Anda hanya dikonfigurasi untuk digunakan di region AS yang benar, seperti yang dijelaskan dalam Penyesuaian regional. Sebaiknya gunakan jenis VPN dengan ketersediaan tinggi (HA) untuk Cloud VPN. Untuk enkripsi, Anda hanya boleh menggunakan cipher yang sesuai dengan FIPS 140-2 untuk membuat sertifikat dan mengonfigurasi keamanan alamat IP Anda. Untuk mempelajari cipher yang didukung di Cloud VPN lebih lanjut, lihat Cipher IKE yang didukung. Untuk panduan tentang cara memilih cipher yang sesuai dengan standar FIPS 140-2, lihat Tervalidasi FIPS 140-2. Setelah Anda membuat konfigurasi, tidak ada cara untuk mengubah cipher yang ada di Google Cloud. Pastikan Anda mengonfigurasi cipher yang sama di aplikasi pihak ketiga yang Anda gunakan dengan Cloud VPN.
Google Cloud Armor
Google Cloud Armor adalah layanan mitigasi DDoS dan perlindungan aplikasi. Fitur ini membantu melindungi dari serangan DDoS pada deployment pelanggan Google Cloud dengan beban kerja yang terekspos ke internet. Google Cloud Armor untuk Load Balancer Aplikasi eksternal regional dirancang untuk memberikan perlindungan dan kemampuan yang sama untuk workload load balancer regional. Karena firewall aplikasi web (WAF) Google Cloud Armor menggunakan cakupan regional, konfigurasi dan traffic Anda berada di region tempat resource dibuat. Anda harus membuat kebijakan keamanan backend regional dan melampirkan kebijakan tersebut ke layanan backend yang dicakup secara regional. Kebijakan keamanan regional yang baru hanya dapat diterapkan ke layanan backend cakupan regional di region yang sama, serta disimpan, dievaluasi, dan diterapkan dalam region. Google Cloud Armor untuk Load Balancer Jaringan dan VM memperluas perlindungan DDoS Google Cloud Armor untuk workload yang diekspos ke internet melalui aturan penerusan Load Balancer Jaringan (atau penerusan protokol), atau melalui VM yang diekspos langsung melalui IP publik. Untuk mengaktifkan perlindungan ini, Anda harus mengonfigurasi perlindungan DDoS jaringan lanjutan.
Dedicated Interconnect
Untuk menggunakan Dedicated Interconnect, jaringan Anda harus terhubung secara fisik ke jaringan Google di fasilitas kolokasi yang didukung. Penyedia fasilitas menyediakan sirkuit 10G atau 100G antara jaringan Anda dan titik kehadiran Google Edge. Anda hanya boleh menggunakan Cloud Interconnect di fasilitas kolokasi dalam AS yang melayani region Google Cloud AS.
Saat menggunakan Partner Cloud Interconnect, Anda harus berkonsultasi dengan penyedia layanan untuk mengonfirmasi bahwa lokasinya berada di Amerika Serikat dan terhubung ke salah satu lokasi Google Cloud di Amerika Serikat yang tercantum nanti di bagian ini.
Secara default, traffic yang dikirim melalui Cloud Interconnect tidak dienkripsi. Jika ingin mengenkripsi traffic yang dikirim melalui Cloud Interconnect, Anda dapat mengonfigurasi VPN melalui Cloud Interconnect atau MACsec.
Untuk mengetahui daftar lengkap region dan kolokasi yang didukung, lihat tabel berikut:
| Wilayah | Lokasi | Nama fasilitas | Fasilitas |
|---|---|---|---|
| us-east4 (Virginia) | Ashburn | iad-zone1-1 |
Equinix Ashburn (DC1-DC11) |
| Ashburn | iad-zone2-1 |
Equinix Ashburn (DC1-DC11) | |
| Ashburn | iad-zone1-5467 |
CoreSite - Reston (VA3) | |
| Ashburn | iad-zone2-5467 |
CoreSite - Reston (VA3) | |
| us-east5 (Columbus) | Columbus | cmh-zone1-2377 |
Cologix COL1 |
| Columbus | cmh-zone2-2377 |
Cologix COL1 | |
| us-central1 (Iowa) | Council Bluffs | cbf-zone1-575 |
Pusat data Nebraska (1623 Farnam) |
| Council Bluffs | cbf-zone2-575 |
Pusat data Nebraska (1623 Farnam) | |
| us-south1 (Dallas) | Dallas | dfw-zone1-4 |
Equinix Dallas (DA1) |
| Dallas | dfw-zone2-4 |
Equinix Dallas (DA1) | |
| us-west1 (Oregon) | Portland | pdx-zone1-1922 |
EdgeConneX Portland (EDCPOR01) |
| Portland | pdx-zone2-1922 |
EdgeConneX Portland (EDCPOR01) | |
| us-west2 (Los Angeles) | Los Angeles | lax-zone1-8 |
Equinix Los Angeles (LA1) |
| Los Angeles | lax-zone2-8 |
Equinix Los Angeles (LA1) | |
| Los Angeles | lax-zone1-19 |
CoreSite - LA1 - One Wilshire | |
| Los Angeles | lax-zone2-19 |
CoreSite - LA1 - One Wilshire | |
| Los Angeles | lax-zone1-403 |
Digital Realty LAX (600 West 7th) | |
| Los Angeles | lax-zone2-403 |
Digital Realty LAX (600 West 7th) | |
| Los Angeles | lax-zone1-333 |
Equinix LA3/LA4 - Los Angeles, El Segundo | |
| Los Angeles | lax-zone2-333 |
Equinix LA3/LA4 - Los Angeles, El Segundo | |
| us-west3 (Salt Lake City) | Salt Lake City | slc-zone1-99001 |
Salt Lake yang Disejajarkan (SLC-01) |
| Salt Lake City | slc-zone2-99001 |
Salt Lake yang Disejajarkan (SLC-01) | |
| us-west4 (Las Vegas) | Las Vegas | las-zone1-770 |
Switch Las Vegas |
| Las Vegas | las-zone2-770 |
Switch Las Vegas |
Langkah selanjutnya
- Pelajari lebih lanjut produk Google Cloud yang digunakan dalam panduan desain ini:
- Untuk mengetahui lebih banyak tentang arsitektur referensi, diagram, dan praktik terbaik lainnya, jelajahi Pusat Arsitektur Cloud.
Kontributor
Penulis:
- Haider Witwit | Customer Engineer
- Bhavin Desai | Product Manager
Kontributor lainnya:
- Ashwin Gururaghavendran | Software Engineer
- Percy Wadia | Group Product Manager
- Daniel Lees | Cloud Security Architect
- Marquis Carroll | Konsultan
- Michele Chubirka | Cloud Security Advocate