Questo documento fornisce indicazioni sulla configurazione per aiutarti a eseguire in modo sicuro il deployment dei criteri di networking di Google Cloud negli Stati Uniti (USA) conformi ai requisiti di progettazione per FedRAMP High e Department of Defense (DoD) Impact Level 2 (IL2), Impact Level 4 (IL4) e Impact Level 5 (IL5). Questo documento è destinato ai Solution Architect, ai Network Engineer e ai Security Engineer che progettano ed eseguono il deployment di soluzioni di networking su Google Cloud. Il seguente schema mostra il design di una rete con zone di destinazione per carichi di lavoro altamente regolamentati.
Architettura
Il progetto di rete mostrato nel diagramma precedente è in linea con i requisiti del framework di conformità statunitense per FedRAMP High e DoD IL2, IL4 e IL5. Questa architettura include i seguenti componenti, descritti in maggiore dettaglio più avanti in questo documento:
- Virtual Private Cloud (VPC): questi VPC sono globali, ma devi creare subnet solo nelle regioni degli Stati Uniti.
- Bilanciatori del carico a livello di regione: questi bilanciatori del carico sono a livello di regione, non globale. Supportano solo le implementazioni negli Stati Uniti.
- Criteri di sicurezza di Google Cloud Armor: questi criteri possono essere utilizzati con i criteri di sicurezza supportati del bilanciatore del carico regionale.
- Private Service Connect, Accesso privato Google (PGA) e Accesso privato ai servizi (PSA): queste opzioni abilitano la connettività privata ai servizi gestiti di Google all'interno della regione. Devi abilitare l'accesso privato alle API e ai servizi gestiti da Google all'interno della regione tramite l'opzione pertinente per il tuo caso d'uso.
- Servizi di terze parti: per quanto riguarda i servizi producer-consumer di terze parti, devi garantire che sia il servizio producer sia i dati in transito soddisfino i tuoi requisiti di conformità.
- Non di produzione: esegui il provisioning di altri ambienti, ad esempio non di produzione, di test e del controllo qualità (QA) in base alla strategia VPC della tua organizzazione.
Caso d'uso
Assured Workloads è un framework di conformità che può aiutarti a fornire i controlli di sicurezza necessari per supportare i requisiti normativi per FedRAMP High e DoD IL2, IL4 e IL5. Dopo aver eseguito il deployment con Assured Workloads, è tua responsabilità configurare criteri di networking conformi e sicuri. Per altri casi d'uso per la conformità, consulta la pagina relativa all'hosting di carichi di lavoro moderati e elevati di FedRAMP su Google Cloud nella documentazione di FedRAMP.
L'ambito di queste indicazioni è limitato ai componenti di networking. Devi configurare i carichi di lavoro in base al modello di responsabilità condivisa, FedRAMP Customer Responsibility Matrix, servizi Google Cloud nell'ambito, FedRAMP, e linee guida di Assured Workloads. Per ulteriori informazioni su come soddisfare i requisiti di conformità per altri servizi Google Cloud, consulta il Centro risorse per la conformità.
Prodotti fuori ambito
I seguenti servizi non soddisfano i requisiti di conformità ai confini giurisdizionali di FedRAMP High o DoD IL2, IL4 e IL5:
- Bilanciatore del carico delle applicazioni esterno globale
- Google Cloud Armor globale
- Bilanciatore del carico proxy esterno globale
- Cloud CDN e Media CDN
- Network Intelligence Center
Prima di iniziare a progettare la rete, ti consigliamo di discutere con il team dell'Assistenza Google il rischio associato all'utilizzo di questi servizi nella tua rete.
Considerazioni sul design
Questa sezione descrive considerazioni di progettazione per le quali le configurazioni descritte in questo documento sono una scelta appropriata.
Utilizzo di Assured Workloads
Devi utilizzare Assured Workloads per soddisfare i requisiti basati sulla conformità su Google Cloud per le normative con requisiti di sovranità e residenza dei dati, come FedRAMP High e DoD IL4 e IL5. Per capire se questi principi si applicano al tuo programma di conformità su Google Cloud, ti consigliamo di consultare la Panoramica di Assured Workloads nelle fasi iniziali della fase di progettazione. Sei responsabile della configurazione dei tuoi criteri IAM e di rete.
Devi configurare una cartella Assured Workloads e impostare il programma di conformità appropriato. In questo caso, imposta il programma di conformità appropriato su FedRAMP
High o IL2, IL4, IL5. Questa cartella fornisce un confine normativo all'interno
di un'organizzazione per identificare i tipi di dati regolamentati. Per impostazione predefinita, tutti i progetti in questa cartella erediteranno i sistemi di protezione della sicurezza e della conformità impostati a livello della cartella Assured Workloads.
Assured Workloads limita le regioni che puoi selezionare per queste risorse in base al programma di conformità che hai scelto utilizzando la limitazione delle risorse del servizio dei criteri dell'organizzazione.
Allineamento regionale
Devi utilizzare una o più regioni Google degli Stati Uniti per supportare i programmi di conformità che rientrano nell'ambito di queste indicazioni. Tieni presente che FedRAMP High, DoD IL4 e IL5 hanno un requisito generale che prevede la conservazione dei dati all'interno dei confini geografici degli Stati Uniti. Per sapere quali regioni puoi aggiungere, consulta Località di Assured Workloads.
Conformità a livello di prodotto
È tua responsabilità confermare che un prodotto o servizio supporti i requisiti di sovranità e residenza dei dati appropriati per il tuo caso d'uso. Quando acquisti o utilizzi il programma di conformità target, devi inoltre seguire queste linee guida per ciascun prodotto che utilizzi per soddisfare i requisiti di conformità applicabili. Assured Workloads configura un criterio dell'organizzazione modificabile con un criterio di limitazione dell'utilizzo delle risorse point-in-time che riflette i servizi conformi al framework di conformità scelto.
Deployment
Per soddisfare i requisiti di conformità, ti consigliamo di seguire le linee guida riportate in questa sezione per i singoli servizi di networking.
Configurazioni di rete Virtual Private Cloud
Devi effettuare le seguenti configurazioni Virtual Private Cloud:
- Subnet: crea le subnet nelle regioni degli Stati Uniti indicate nell'allineamento a livello di regione. Assured Workloads applica criteri per limitare la creazione di subnet in altre località.
- Regole firewall: devi configurare le regole firewall VPC per consentire o negare le connessioni solo da o verso istanze di macchine virtuali (VM) nella tua rete VPC.
Configurazioni di Private Service Connect
Private Service Connect è una funzionalità del networking di Google Cloud che consente ai consumatori di accedere privatamente ai servizi gestiti dall'interno della loro rete VPC.
Entrambi i tipi di Private Service Connect (endpoint di Private Service Connect e backend di Private Service Connect) supportano i controlli descritti in questo documento se configurati con bilanciatori del carico a livello di regione. Ti consigliamo di applicare i dettagli di configurazione descritti nella seguente tabella:
| Tipo Private Service Connect | Bilanciatori del carico supportati | Stato conformità |
|---|---|---|
| Endpoint Private Service Connect per le API di Google | Non applicabile | Non supportata |
| Backend Private Service Connect per le API di Google |
|
Conforme se utilizzato con uno dei seguenti bilanciatori del carico a livello di regione:
|
| Endpoint Private Service Connect per i servizi pubblicati |
|
Conforme |
| Backend di Private Service Connect per i servizi pubblicati |
|
Conforme se utilizzato con il seguente bilanciatore del carico a livello di regione:
|
Mirroring pacchetto
Mirroring pacchetto è una funzionalità VPC che puoi utilizzare per mantenere la conformità. Mirroring pacchetto acquisisce tutto il traffico e i dati dei pacchetti, inclusi i payload e le intestazioni, e li inoltra ai raccoglitori di destinazione per l'analisi. Mirroring pacchetto eredita lo stato di conformità VPC.
Cloud Load Balancing
Google Cloud offre diversi tipi di bilanciatori del carico, come descritto nella Panoramica del bilanciatore del carico delle applicazioni. Per questa architettura, devi utilizzare bilanciatori del carico a livello di regione.
Cloud DNS
Puoi utilizzare Cloud DNS per soddisfare i requisiti di conformità. Cloud DNS è un servizio DNS gestito in Google Cloud che supporta zone di forwarding, zone di peering, zone di ricerca inversa e criteri dei server DNS. Le zone pubbliche di Cloud DNS non sono conformi ai controlli FedRAMP High e DoD IL2, IL4 o IL5.
Router Cloud
Il router Cloud è un prodotto a livello di regione che puoi configurare per Cloud VPN, Cloud Interconnect e Cloud NAT. Devi configurare il router Cloud solo nelle regioni degli Stati Uniti. Quando crei o modifichi una rete VPC, puoi impostare la modalità di routing dinamico in modo che sia regionale o globale. Se abiliti la modalità di routing globale, devi configurare annunci di route personalizzati in modo da includere solo le reti statunitensi.
Cloud NAT
Cloud NAT è un prodotto NAT gestito a livello di regione che puoi utilizzare per abilitare l'accesso in uscita a internet per le risorse private senza indirizzi IP esterni. Devi configurare il gateway Cloud NAT solo nelle regioni degli Stati Uniti con il componente router Cloud associato.
Cloud VPN
Devi utilizzare endpoint Cloud VPN che si trovano negli Stati Uniti. Assicurati che il gateway VPN sia configurato solo per l'utilizzo nella corretta regione degli Stati Uniti, come descritto in Allineamento a livello di regione. Ti consigliamo di utilizzare il tipo VPN ad alta disponibilità per Cloud VPN. Per la crittografia, devi utilizzare solo crittografie conformi a FIPS 140-2 per creare certificati e configurare la sicurezza degli indirizzi IP. Per scoprire di più sulle crittografie supportate in Cloud VPN, consulta Cifrari IKE supportate. Per indicazioni su come selezionare una crittografia conforme agli standard FIPS 140-2, consulta la pagina Convalida FIPS 140-2. Dopo aver effettuato una configurazione, non è possibile modificare una crittografia esistente in Google Cloud. Assicurati di configurare la stessa crittografia sull'appliance di terze parti che utilizzi con Cloud VPN.
Google Cloud Armor
Google Cloud Armor è un servizio di mitigazione degli attacchi DDoS e protezione delle applicazioni. Contribuisce a proteggere dagli attacchi DDoS sui deployment dei clienti Google Cloud con carichi di lavoro esposti a internet. Google Cloud Armor per il bilanciatore del carico delle applicazioni esterno regionale è progettato per offrire la stessa protezione e capacità per i carichi di lavoro con bilanciamento del carico a livello di regione. Poiché i web application firewall (WAF) di Google Cloud Armor utilizzano un ambito a livello di regione, le configurazioni e il traffico risiedono nella regione in cui vengono create le risorse. Devi creare criteri di sicurezza del backend a livello di regione e collegarli ai servizi di backend con ambito a livello di regione. I nuovi criteri di sicurezza a livello di regione possono essere applicati solo ai servizi di backend con ambito a livello di regione nella stessa regione e vengono archiviati, valutati e applicati all'interno della regione. Google Cloud Armor per i bilanciatori del carico di rete e le VM estende la protezione DDoS di Google Cloud Armor per i carichi di lavoro esposti a internet mediante una regola di forwarding del bilanciatore del carico di rete (o di forwarding del protocollo) oppure tramite una VM esposta direttamente tramite un IP pubblico. Per attivare questa protezione, devi configurare la protezione DDoS di rete avanzata.
Dedicated Interconnect
Per utilizzare Dedicated Interconnect, la tua rete deve connettersi fisicamente alla rete Google in una struttura di colocation supportata. Il provider della struttura fornisce un circuito 10 G o 100 G tra la tua rete e un POP perimetrale di Google. Devi utilizzare Cloud Interconnect solo nelle strutture di colocation all'interno degli Stati Uniti che gestiscono le regioni degli Stati Uniti di Google Cloud.
Quando utilizzi Partner Cloud Interconnect, devi consultarti con il fornitore di servizi per verificare che le sue località si trovino all'interno degli Stati Uniti e siano collegate a una delle località di Google Cloud negli Stati Uniti elencate in seguito in questa sezione.
Per impostazione predefinita, il traffico inviato tramite Cloud Interconnect non è criptato. Se vuoi criptare il traffico inviato tramite Cloud Interconnect, puoi configurare VPN su Cloud Interconnect o MACsec.
Per l'elenco completo delle regioni e delle località condivise supportate, consulta la seguente tabella:
| Regione | Località | Nome struttura | Struttura |
|---|---|---|---|
| us-east4 (Virginia) | (Ashburn) | iad-zone1-1 |
Equinix Ashburn (DC1-DC11) |
| (Ashburn) | iad-zone2-1 |
Equinix Ashburn (DC1-DC11) | |
| (Ashburn) | iad-zone1-5467 |
CoreSite - Reston (VA3) | |
| (Ashburn) | iad-zone2-5467 |
CoreSite - Reston (VA3) | |
| us-east5 (Columbus) | Columbus | cmh-zone1-2377 |
COL1 di Colonia |
| Columbus | cmh-zone2-2377 |
COL1 di Colonia | |
| us-central1 (Iowa) | Council Bluffs | cbf-zone1-575 |
Data center in Nebraska (1623 Farnam) |
| Council Bluffs | cbf-zone2-575 |
Data center in Nebraska (1623 Farnam) | |
| us-south1 (Dallas) | Dallas | dfw-zone1-4 |
Equinix Dallas (DA1) |
| Dallas | dfw-zone2-4 |
Equinix Dallas (DA1) | |
| us-west1 (Oregon) | Portland | pdx-zone1-1922 |
EdgeConneX Portland (EDCPOR01) |
| Portland | pdx-zone2-1922 |
EdgeConneX Portland (EDCPOR01) | |
| us-west2 (Los Angeles) | Los Angeles | lax-zone1-8 |
Equinix Los Angeles (LA1) |
| Los Angeles | lax-zone2-8 |
Equinix Los Angeles (LA1) | |
| Los Angeles | lax-zone1-19 |
CoreSite - LA1 - One Wilshire | |
| Los Angeles | lax-zone2-19 |
CoreSite - LA1 - One Wilshire | |
| Los Angeles | lax-zone1-403 |
Digital Realty LAX (600 West 7th) | |
| Los Angeles | lax-zone2-403 |
Digital Realty LAX (600 West 7th) | |
| Los Angeles | lax-zone1-333 |
Equinix LA3/LA4 - Los Angeles, El Segundo | |
| Los Angeles | lax-zone2-333 |
Equinix LA3/LA4 - Los Angeles, El Segundo | |
| us-west3 (Salt Lake City) | Salt Lake City | slc-zone1-99001 |
Lago salato allineato (SLC-01) |
| Salt Lake City | slc-zone2-99001 |
Lago salato allineato (SLC-01) | |
| us-west4 (Las Vegas) | Las Vegas | las-zone1-770 |
Cambiare Las Vegas |
| Las Vegas | las-zone2-770 |
Cambiare Las Vegas |
Passaggi successivi
- Scopri di più sui prodotti Google Cloud utilizzati in questa guida alla progettazione:
- Per altre architetture di riferimento, diagrammi e best practice, esplora il Cloud Architecture Center.
Collaboratori
Autori:
- Haider Witwit | Customer Engineer
- Bhavin Desai | Product Manager
Altri collaboratori:
- Ashwin Gururaghavendran | Ingegnere informatico
- Percy Wadia | Group Product Manager
- Daniel Lees | Cloud Security Architect
- Marquis Carroll | Consulente
- Michele Chubirka | Consulente per la sicurezza nel cloud