Mengonfigurasi jaringan untuk FedRAMP dan DoD di Google Cloud

Last reviewed 2024-02-28 UTC

Dokumen ini memberikan panduan konfigurasi untuk membantu Anda men-deploy kebijakan jaringan Google Cloud dengan aman di Amerika Serikat (AS) yang mematuhi persyaratan desain untuk FedRAMP High dan Departemen Pertahanan (DoD) Impact Level 2 (IL2), Impact Level 4 (IL4), dan Impact Level 5 (IL5). Dokumen ini ditujukan untuk arsitek solusi, engineer jaringan, dan engineer keamanan yang mendesain dan men-deploy solusi jaringan di Google Cloud. Diagram berikut menunjukkan desain jaringan zona landing untuk beban kerja yang sangat diatur.

Desain jaringan zona landing untuk workload yang sangat diatur.

Arsitektur

Desain jaringan yang ditampilkan dalam diagram sebelumnya selaras dengan persyaratan framework kepatuhan Amerika Serikat untuk FedRAMP High, dan DoD IL2, IL4, dan IL5. Arsitektur ini mencakup komponen berikut, yang akan dijelaskan secara lebih mendetail nanti dalam dokumen ini:

  • Virtual Private Cloud (VPC): VPC ini bersifat global, tetapi Anda hanya boleh membuat subnet di region Amerika Serikat.
  • Load balancer regional: Load balancer ini bersifat regional, bukan global. Fitur ini hanya mendukung deployment di Amerika Serikat. Perhatikan bahwa penggunaan load balancer eksternal yang dapat diakses langsung oleh internet mungkin memerlukan validasi tambahan dengan DISA untuk memastikan otorisasi DoD untuk IL4 dan IL5.
  • Kebijakan keamanan Google Cloud Armor: Kebijakan ini dapat digunakan dengan kebijakan keamanan load balancer regional yang didukung.
  • Private Service Connect, Private Google Access (PGA), dan Private service access (PSA): Opsi ini memungkinkan konektivitas pribadi ke layanan terkelola Google dalam region. Anda harus mengaktifkan akses pribadi ke layanan dan API yang dikelola Google dalam wilayah melalui opsi yang relevan untuk kasus penggunaan Anda.
  • Layanan pihak ketiga: Untuk layanan produsen-konsumen pihak ketiga, Anda harus memastikan bahwa layanan produsen dan data yang sedang dalam pengiriman memenuhi persyaratan kepatuhan Anda.
  • Non-prod: Menyediakan lingkungan lain seperti non-prod, pengujian, dan jaminan kualitas (QA) sesuai dengan strategi VPC organisasi Anda.

Kasus penggunaan

Assured Workloads adalah framework kepatuhan yang dapat membantu memberikan kontrol keamanan yang Anda perlukan untuk mendukung persyaratan peraturan untuk FedRAMP High, dan DoD IL2, IL4, dan IL5. Setelah men-deploy dengan Assured Workloads, Anda bertanggung jawab untuk menyiapkan kebijakan jaringan yang mematuhi dan aman. Untuk kasus penggunaan kepatuhan lainnya, lihat Menghosting Workload FedRAMP Moderate dan High di Google Cloud dalam dokumentasi FedRAMP.

Cakupan panduan ini terbatas pada komponen jaringan. Anda harus mengonfigurasi workload sesuai dengan model tanggung jawab bersama, Customer Responsibility Matrix FedRAMP, layanan Google Cloud yang termasuk dalam cakupan, FedRAMP, dan pedoman Assured Workloads. Untuk informasi selengkapnya tentang cara memenuhi persyaratan kepatuhan untuk layanan Google Cloud lainnya, lihat Pusat referensi kepatuhan.

Layanan yang dirujuk dalam dokumen ini hanya untuk tujuan contoh. Anda harus meninjau layanan yang termasuk dalam cakupan program kepatuhan untuk memastikan persyaratan tingkat kepatuhan yang benar untuk workload Anda.

Produk di luar cakupan

Layanan berikut tidak memenuhi persyaratan kepatuhan batas wilayah yurisdiksi FedRAMP High, atau DoD IL2, IL4, dan IL5:

  • Load Balancer Aplikasi Eksternal Global
  • Google Cloud Armor Global
  • Load Balancer Proxy Eksternal Global

Sebaiknya diskusikan risiko penggunaan layanan ini di jaringan Anda dengan tim dukungan Google sebelum Anda mulai membuat desain jaringan.

Pertimbangan Desain

Bagian ini menjelaskan pertimbangan desain yang konfigurasinya dijelaskan dalam dokumen ini adalah pilihan yang sesuai.

Menggunakan Assured Workloads

Anda harus menggunakan Assured Workloads untuk memenuhi persyaratan berbasis kepatuhan di Google Cloud untuk peraturan yang memiliki persyaratan kedaulatan dan residensi data, seperti FedRAMP High, serta DoD IL4 dan IL5. Untuk memahami apakah prinsip-prinsip ini berlaku untuk program kepatuhan Anda di Google Cloud, sebaiknya tinjau Ringkasan Assured Workloads pada tahap awal fase desain Anda. Anda bertanggung jawab untuk mengonfigurasi kebijakan IAM dan jaringan Anda sendiri.

Anda harus mengonfigurasi folder Assured Workloads dan menetapkan program kepatuhan yang sesuai. Dalam hal ini, tetapkan program kepatuhan yang sesuai ke FedRAMP High atau IL2, IL4, IL5. Folder ini menyediakan batas peraturan dalam organisasi untuk mengidentifikasi jenis data yang diatur. Secara default, setiap project di bawah folder ini akan mewarisi panduan keamanan dan kepatuhan yang ditetapkan di level folder Assured Workloads. Assured Workloads membatasi region yang dapat Anda pilih untuk resource tersebut berdasarkan program kepatuhan yang Anda pilih menggunakan Layanan Kebijakan Organisasi pembatasan resource.

Perataan regional

Anda harus menggunakan satu atau beberapa wilayah Google di Amerika Serikat untuk mendukung program kepatuhan yang dicakup dalam panduan ini. Perhatikan bahwa FedRAMP High dan DoD IL4 dan IL5 memiliki persyaratan umum bahwa data disimpan dalam batas geografis AS. Untuk mempelajari region yang dapat Anda tambahkan, lihat Lokasi Assured Workloads.

Kepatuhan tingkat produk

Anda bertanggung jawab untuk mengonfirmasi bahwa produk atau layanan mendukung persyaratan kedaulatan dan residensi data yang sesuai untuk kasus penggunaan Anda. Saat membeli atau menggunakan program compliance target, Anda juga harus mengikuti panduan ini untuk setiap produk yang Anda gunakan untuk memenuhi persyaratan kepatuhan yang berlaku. Assured Workloads menyiapkan Kebijakan Organisasi yang dapat diubah dengan kebijakan pembatasan penggunaan resource titik waktu yang mencerminkan layanan yang mematuhi framework kepatuhan yang dipilih.

Deployment

Untuk membantu Anda memenuhi persyaratan kepatuhan, sebaiknya ikuti panduan di bagian ini untuk setiap layanan jaringan.

Konfigurasi jaringan Virtual Private Cloud

Anda harus membuat konfigurasi Virtual Private Cloud berikut:

Konfigurasi Private Service Connect

Private Service Connect adalah kemampuan jaringan Google Cloud yang memungkinkan konsumen mengakses layanan terkelola secara pribadi dari dalam jaringan VPC mereka.

Kedua jenis Private Service Connect (endpoint Private Service Connect dan backend Private Service Connect) mendukung kontrol yang dijelaskan dalam dokumen ini saat dikonfigurasi dengan load balancer regional. Sebaiknya terapkan detail konfigurasi yang dijelaskan dalam tabel berikut:

Jenis Private Service Connect Load balancer yang didukung Status kepatuhan
Endpoint Private Service Connect untuk Google API Tidak berlaku Tidak didukung
Backend Private Service Connect untuk Google API
  • Load Balancer Aplikasi Eksternal Global
  • Load Balancer Jaringan proxy Eksternal Regional atau Load Balancer Aplikasi Internal
  • Load Balancer Jaringan Proxy Eksternal Regional
Sesuai jika digunakan dengan salah satu load balancer regional berikut:
  • Load Balancer Aplikasi Eksternal atau Internal regional
  • Load Balancer Jaringan Proxy Eksternal Regional
Endpoint Private Service Connect untuk layanan yang ditayangkan
  • Load Balancer Aplikasi Internal Regional
  • Load Balancer Jaringan passthrough Internal Regional
  • Load Balancer Jaringan proxy Eksternal Regional
Patuh
Backend Private Service Connect untuk layanan yang dipublikasikan
  • Load Balancer Aplikasi Eksternal Global
  • Load Balancer Aplikasi Eksternal atau Internal regional
  • Load Balancer Jaringan Proxy Eksternal Regional
  • Load Balancer Jaringan passthrough Internal Regional
Sesuai jika digunakan dengan load balancer regional berikut:
  • Load Balancer Aplikasi Eksternal atau Internal regional
  • Load Balancer Jaringan Proxy Eksternal Regional
  • Load Balancer Jaringan passthrough Internal Regional

Duplikasi Paket

Duplikasi Paket adalah fitur VPC yang dapat Anda gunakan untuk membantu Anda mempertahankan kepatuhan. Duplikasi Paket merekam semua data traffic dan paket Anda, termasuk payload dan header, lalu meneruskannya ke kolektor target untuk dianalisis. Duplikasi Paket mewarisi status kepatuhan VPC.

Cloud Load Balancing

Google Cloud menawarkan berbagai jenis load balancer, seperti yang dijelaskan dalam Ringkasan Application Load Balancer. Untuk arsitektur ini, Anda harus menggunakan load balancer regional.

Cloud DNS

Anda dapat menggunakan Cloud DNS untuk membantu memenuhi persyaratan kepatuhan. Cloud DNS adalah layanan DNS terkelola di Google Cloud yang mendukung zona penerusan, zona peering, zona pencarian balik, dan kebijakan server DNS pribadi. Zona publik Cloud DNS tidak mematuhi kontrol FedRAMP High, dan DoD IL2, IL4, atau IL5.

Cloud Router

Cloud Router adalah produk regional yang dapat Anda konfigurasi untuk Cloud VPN, Cloud Interconnect, dan Cloud NAT. Anda hanya boleh mengonfigurasi Cloud Router di region Amerika Serikat. Saat membuat atau mengedit jaringan VPC, Anda dapat menetapkan mode pemilihan rute dinamis ke regional atau global. Jika mengaktifkan mode perutean global, Anda harus mengonfigurasi mode iklan kustom agar hanya menyertakan jaringan AS.

Cloud NAT

Cloud NAT adalah produk NAT terkelola regional yang dapat Anda gunakan untuk mengaktifkan akses keluar ke internet untuk resource pribadi tanpa alamat IP eksternal. Anda hanya boleh mengonfigurasi gateway Cloud NAT di region AS yang memiliki komponen Cloud Router terkait.

Cloud VPN

Anda harus menggunakan endpoint Cloud VPN yang berada di Amerika Serikat. Pastikan gateway VPN Anda hanya dikonfigurasi untuk digunakan di region AS yang benar, seperti yang dijelaskan dalam Penyesuaian regional. Sebaiknya gunakan jenis VPN dengan ketersediaan tinggi (HA) untuk Cloud VPN. Untuk enkripsi, Anda hanya boleh menggunakan cipher yang sesuai dengan FIPS 140-2 untuk membuat sertifikat dan mengonfigurasi keamanan alamat IP Anda. Untuk mempelajari cipher yang didukung di Cloud VPN lebih lanjut, lihat Cipher IKE yang didukung. Untuk panduan tentang cara memilih cipher yang sesuai dengan standar FIPS 140-2, lihat Tervalidasi FIPS 140-2. Setelah Anda membuat konfigurasi, tidak ada cara untuk mengubah cipher yang ada di Google Cloud. Pastikan Anda mengonfigurasi cipher yang sama di aplikasi pihak ketiga yang Anda gunakan dengan Cloud VPN.

Google Cloud Armor

Google Cloud Armor adalah layanan mitigasi DDoS dan perlindungan aplikasi. Fitur ini membantu melindungi dari serangan DDoS pada deployment pelanggan Google Cloud dengan beban kerja yang terekspos ke internet. Google Cloud Armor untuk Load Balancer Aplikasi eksternal regional dirancang untuk memberikan perlindungan dan kemampuan yang sama untuk workload load balancer regional. Karena firewall aplikasi web (WAF) Google Cloud Armor menggunakan cakupan regional, konfigurasi dan traffic Anda berada di region tempat resource dibuat. Anda harus membuat kebijakan keamanan backend regional dan melampirkan kebijakan tersebut ke layanan backend yang dicakup secara regional. Kebijakan keamanan regional baru hanya dapat diterapkan ke layanan backend cakupan regional di region yang sama, serta disimpan, dievaluasi, dan diterapkan dalam region. Google Cloud Armor untuk Load Balancer Jaringan dan VM memperluas perlindungan DDoS Google Cloud Armor untuk workload yang diekspos ke internet melalui aturan penerusan Load Balancer Jaringan (atau penerusan protokol), atau melalui VM yang diekspos langsung melalui IP publik. Untuk mengaktifkan perlindungan ini, Anda harus mengonfigurasi perlindungan DDoS jaringan lanjutan.

Dedicated Interconnect

Untuk menggunakan Dedicated Interconnect, jaringan Anda harus terhubung secara fisik ke jaringan Google di fasilitas kolokasi yang didukung. Penyedia fasilitas menyediakan sirkuit 10G atau 100G antara jaringan Anda dan titik kehadiran Google Edge. Anda hanya boleh menggunakan Cloud Interconnect di fasilitas kolokasi dalam AS yang melayani region Google Cloud AS.

Saat menggunakan Partner Cloud Interconnect, Anda harus berkonsultasi dengan penyedia layanan untuk mengonfirmasi bahwa lokasinya berada di Amerika Serikat dan terhubung ke salah satu lokasi Google Cloud di Amerika Serikat yang tercantum nanti di bagian ini.

Secara default, traffic yang dikirim melalui Cloud Interconnect tidak dienkripsi. Jika ingin mengenkripsi traffic yang dikirim melalui Cloud Interconnect, Anda dapat mengonfigurasi VPN melalui Cloud Interconnect atau MACsec.

Untuk mengetahui daftar lengkap region dan kolokasi yang didukung, lihat tabel berikut:

Wilayah Lokasi Nama fasilitas Fasilitas
us-east4 (Virginia) Ashburn iad-zone1-1 Equinix Ashburn (DC1-DC11)
Ashburn iad-zone2-1 Equinix Ashburn (DC1-DC11)
Ashburn iad-zone1-5467 CoreSite - Reston (VA3)
Ashburn iad-zone2-5467 CoreSite - Reston (VA3)
us-east5 (Columbus) Columbus cmh-zone1-2377 Cologix COL1
Columbus cmh-zone2-2377 Cologix COL1
us-central1 (Iowa) Council Bluffs cbf-zone1-575 Pusat data Nebraska (1623 Farnam)
Council Bluffs cbf-zone2-575 Pusat data Nebraska (1623 Farnam)
us-south1 (Dallas) Dallas dfw-zone1-4 Equinix Dallas (DA1)
Dallas dfw-zone2-4 Equinix Dallas (DA1)
us-west1 (Oregon) Portland pdx-zone1-1922 EdgeConneX Portland (EDCPOR01)
Portland pdx-zone2-1922 EdgeConneX Portland (EDCPOR01)
us-west2 (Los Angeles) Los Angeles lax-zone1-8 Equinix Los Angeles (LA1)
Los Angeles lax-zone2-8 Equinix Los Angeles (LA1)
Los Angeles lax-zone1-19 CoreSite - LA1 - One Wilshire
Los Angeles lax-zone2-19 CoreSite - LA1 - One Wilshire
Los Angeles lax-zone1-403 Digital Realty LAX (600 West 7th)
Los Angeles lax-zone2-403 Digital Realty LAX (600 West 7th)
Los Angeles lax-zone1-333 Equinix LA3/LA4 - Los Angeles, El Segundo
Los Angeles lax-zone2-333 Equinix LA3/LA4 - Los Angeles, El Segundo
us-west3 (Salt Lake City) Salt Lake City slc-zone1-99001 Salt Lake yang Disejajarkan (SLC-01)
Salt Lake City slc-zone2-99001 Salt Lake yang Disejajarkan (SLC-01)
us-west4 (Las Vegas) Las Vegas las-zone1-770 Switch Las Vegas
Las Vegas las-zone2-770 Switch Las Vegas

Langkah selanjutnya

Kontributor

Penulis:

Kontributor lainnya: