Este documento fornece orientações de configuração para ajudar a implementar com segurança políticas de rede nos Estados Unidos (EUA) que estejam em conformidade com os requisitos de conceção para o FedRAMP High e o Departamento de Defesa (DoD) Impact Level 2 (IL2), Impact Level 4 (IL4) e Impact Level 5 (IL5). Google Cloud Este documento destina-se a arquitetos de soluções, engenheiros de rede e engenheiros de segurança que concebem e implementam soluções de rede no Google Cloud. O diagrama seguinte mostra uma arquitetura de rede de zona de destino para cargas de trabalho altamente regulamentadas.
Arquitetura
O design da rede apresentado no diagrama anterior está alinhado com os requisitos da estrutura de conformidade dos EUA para FedRAMP High e DoD IL2, IL4 e IL5. Esta arquitetura inclui os seguintes componentes, que são descritos mais detalhadamente mais adiante neste documento:
- Nuvem virtual privada (VPC): estas VPCs são globais. No entanto, só deve criar sub-redes nas regiões dos EUA.
- Balanceadores de carga regionais: estes balanceadores de carga são regionais e não globais. Apenas suportam implementações nos EUA. Tenha em atenção que a utilização de balanceadores de carga externos que podem ser acedidos diretamente pela Internet pode precisar de validação adicional com a DISA para garantir a autorização do DoD para IL4 e IL5.
- Políticas de segurança do Google Cloud Armor: estas políticas podem ser usadas com políticas de segurança do balanceador de carga regionais suportadas.
- Private Service Connect, Acesso privado à Google (PGA), e Acesso privado ao serviço (PSA): Estas opções ativam a conetividade privada aos serviços geridos pela Google na região. Tem de ativar o acesso privado aos serviços e às APIs geridos pela Google na região através da opção relevante para o seu exemplo de utilização.
- Serviços de terceiros: para serviços de produtor-consumidor de terceiros, tem de garantir que o serviço de produtor e os dados em trânsito cumprem os seus requisitos de conformidade.
- Não produção: aprovisione outros ambientes, como não produção, testes e controlo de qualidade, de acordo com a estratégia de VPC da sua organização.
Exemplo de utilização
O Assured Workloads é uma estrutura de conformidade que pode ajudar a fornecer os controlos de segurança necessários para suportar os requisitos regulamentares para FedRAMP High e DoD IL2, IL4 e IL5. Após a implementação com o Assured Workloads, é responsável pela configuração de políticas de rede em conformidade e seguras. Para outros exemplos de utilização de conformidade, consulte o artigo Alojamento de cargas de trabalho FedRAMP Moderate e High no Google Cloud na documentação do FedRAMP.
O âmbito destas orientações está limitado aos componentes de rede. Tem de configurar as cargas de trabalho de acordo com o modelo de responsabilidade partilhada, a matriz de responsabilidade do cliente do FedRAMP, os serviços no âmbito Google Cloud , o FedRAMP e as diretrizes do Assured Workloads. Para mais informações sobre como cumprir os requisitos de conformidade para outros serviços Google Cloud , consulte o centro de recursos de conformidade.
Os serviços referidos neste documento destinam-se apenas a fins de exemplo. Tem de rever os serviços que estão no âmbito dos programas de conformidade para garantir os requisitos de nível de conformidade corretos para a sua carga de trabalho.
Produtos fora do âmbito
Os seguintes serviços não cumprem os requisitos de conformidade com os limites jurisdicionais da FedRAMP High ou DoD IL2, IL4 e IL5:
- Balanceador de carga de aplicações externo global
- Google Cloud Armor global
- Balanceador de carga de proxy externo global
Recomendamos que discuta o risco de usar estes serviços na sua rede com a equipa de apoio técnico da Google antes de começar a criar o design da sua rede.
Considerações de design
Esta secção descreve as considerações de design para as quais as configurações descritas neste documento são uma escolha adequada.
Use o Assured Workloads
Tem de usar o Assured Workloads para cumprir os requisitos baseados na conformidade para Google Cloud regulamentos que têm requisitos de soberania e residência de dados, como o FedRAMP High e o DoD IL4 e IL5. Para compreender se estes princípios se aplicam ao seu programa de conformidade no Google Cloud, recomendamos que reveja a vista geral das cargas de trabalho garantidas nas fases iniciais da fase de conceção. É responsável por configurar as suas próprias políticas de rede e IAM.
Tem de configurar uma pasta do Assured Workloads
e definir o programa de conformidade adequado. Neste caso, defina o programa de conformidade adequado como FedRAMP
High ou IL2, IL4, IL5. Esta pasta fornece um limite regulamentar numa organização para identificar tipos de dados regulamentados. Por predefinição, qualquer projeto nesta pasta herda as proteções de segurança e conformidade definidas ao nível da pasta do Assured Workloads.
O Assured Workloads restringe as regiões que pode selecionar para esses recursos com base no programa de conformidade que escolheu através do serviço de políticas da organização de restrição de recursos.
Alinhamento regional
Tem de usar uma ou mais regiões da Google nos EUA para suportar os programas de conformidade no âmbito destas orientações. Tenha em atenção que o FedRAMP High e o DoD IL4 e IL5 têm um requisito geral de que os dados sejam mantidos dentro de um limite geográfico dos EUA. Para saber que regiões pode adicionar, consulte o artigo Localizações do Assured Workloads.
Conformidade ao nível do produto
É da sua responsabilidade confirmar que um produto ou um serviço suporta os requisitos de soberania e residência de dados adequados para o seu exemplo de utilização. Quando compra ou usa o seu programa de conformidade, também tem de seguir estas diretrizes para cada produto que usa para cumprir os requisitos de conformidade aplicáveis. O Assured Workloads configura uma política da organização modificável com uma política de restrição de utilização de recursos num determinado momento que reflete os serviços em conformidade com a framework de conformidade escolhida.
Implementação
Para ajudar a cumprir os requisitos de conformidade, recomendamos que siga as diretrizes nesta secção para serviços de rede individuais.
Configurações de rede da nuvem privada virtual
Tem de fazer as seguintes configurações da nuvem privada virtual:
- Sub-redes: crie sub-redes nas regiões dos EUA referenciadas no artigo Alinhamento regional. O Assured Workloads aplica políticas para restringir a criação de sub-redes noutras localizações.
- Regras de firewall: tem de configurar regras de firewall da VPC para permitir ou negar ligações apenas para ou a partir de instâncias de máquinas virtuais (VMs) na sua rede de VPC.
Configurações do Private Service Connect
O Private Service Connect é uma capacidade de Google Cloud rede que permite aos consumidores aceder a serviços geridos de forma privada a partir da respetiva rede VPC.
Ambos os tipos de Private Service Connect (pontos finais do Private Service Connect e back-ends do Private Service Connect) suportam os controlos descritos neste documento quando configurados com balanceadores de carga regionais. Recomendamos que aplique os detalhes de configuração descritos na tabela seguinte:
| Tipo de Private Service Connect | Balanceadores de carga suportados | Estado de conformidade |
|---|---|---|
| Pontos finais do Private Service Connect para APIs Google | Não aplicável | Não suportado |
| Back-ends do Private Service Connect para APIs Google |
|
Em conformidade quando usado com um dos seguintes balanceadores de carga regionais:
|
| Pontos finais do Private Service Connect para serviços publicados |
|
Está em conformidade |
| Back-ends do Private Service Connect para serviços publicados |
|
Em conformidade quando usado com o seguinte balanceador de carga regional:
|
Espelhamento de pacotes
O espelhamento de pacotes é uma funcionalidade da VPC que pode usar para ajudar a manter a conformidade. A replicação de pacotes captura todo o seu tráfego e dados de pacotes, incluindo conteúdos úteis e cabeçalhos, e encaminha-os para coletores de destino para análise. O espelhamento de pacotes herda o estado de conformidade da VPC.
Cloud Load Balancing
Google Cloud oferece diferentes tipos de balanceadores de carga, conforme descrito na vista geral do balanceador de carga de aplicações. Para esta arquitetura, tem de usar balanceadores de carga regionais.
Cloud DNS
Pode usar o Cloud DNS para ajudar a cumprir os seus requisitos de conformidade. O Cloud DNS é um serviço DNS gerido que Google Cloud suporta zonas de encaminhamento privadas, zonas de intercâmbio, zonas de procura inversa, e políticas de servidor DNS. As zonas públicas do Cloud DNS não estão em conformidade com os controlos FedRAMP High e DoD IL2, IL4 ou IL5.
Cloud Router
O Cloud Router é um produto regional que pode configurar para o Cloud VPN, o Cloud Interconnect e o Cloud NAT. Só tem de configurar o Cloud Router nas regiões dos EUA. Quando cria ou edita uma rede VPC, pode definir o modo de encaminhamento dinâmico como regional ou global. Se ativar o modo de encaminhamento global, tem de configurar o modo anunciado personalizado para incluir apenas redes dos EUA.
NAT na nuvem
O Cloud NAT é um produto NAT gerido regional que pode usar para ativar o acesso de saída à Internet para recursos privados sem endereços IP externos. Só deve configurar a gateway do Cloud NAT em regiões dos EUA que tenham o componente do Cloud Router associado.
Cloud VPN
Tem de usar pontos finais da VPN do Google Cloud localizados nos EUA. Certifique-se de que o gateway de VPN está configurado apenas para utilização na região dos EUA correta, conforme descrito na secção Alinhamento regional. Recomendamos que use o tipo VPN de alta disponibilidade para o Cloud VPN. Para a encriptação, só pode usar cifras compatíveis com a norma FIPS 140-2 para criar certificados e configurar a segurança do seu endereço IP. Para saber mais sobre as cifras compatíveis na VPN na nuvem, consulte o artigo Cifras IKE compatíveis. Para orientações sobre como selecionar uma cifra em conformidade com as normas FIPS 140-2, consulte FIPS 140-2 Validated. Depois de fazer uma configuração, não existe forma de alterar uma cifra existente em Google Cloud. Certifique-se de que configura a mesma cifra no dispositivo de terceiros que usa com a VPN na nuvem.
Cloud Armor
O Cloud Armor é um serviço de proteção de aplicações e mitigação de DDoS. Ajuda a proteger contra ataques DDoS em implementações de clientes com cargas de trabalho expostas à Internet. Google Cloud O Cloud Armor para o Application Load Balancer externo regional foi concebido para oferecer a mesma proteção e capacidades para cargas de trabalho com balanceamento de carga regionais. Uma vez que as firewalls de aplicações Web (WAF) do Google Cloud Armor usam um âmbito regional, as suas configurações e tráfego residem na região onde os recursos são criados. Tem de criar políticas de segurança de back-end regionais e anexá-las a serviços de back-end com âmbito regional. As novas políticas de segurança regionais só podem ser aplicadas a serviços de back-end com âmbito regional na mesma região e são armazenadas, avaliadas e aplicadas na região. O Cloud Armor para equilibradores de carga de rede e VMs estende a proteção contra DDoS do Cloud Armor para cargas de trabalho expostas à Internet através de uma regra de encaminhamento de um equilibrador de carga de rede (ou encaminhamento de protocolos) ou através de uma VM diretamente exposta através de um IP público. Para ativar esta proteção, tem de configurar a proteção avançada contra DDoS de rede.
Interligação dedicada
Para usar o Dedicated Interconnect, a sua rede tem de se ligar fisicamente à rede da Google numa instalação de colocation suportada. O fornecedor de instalações fornece um circuito de 10 G ou 100 G entre a sua rede e um ponto de presença da Google Edge. Só pode usar o Cloud Interconnect em instalações de alojamento conjunto nos EUA que atendam às regiões dos EUA. Google Cloud
Quando usa o Partner Cloud Interconnect, tem de consultar o fornecedor de serviços para confirmar que as respetivas localizações estão nos EUA e ligadas a uma das Google Cloud localizações nos EUA indicadas mais adiante nesta secção.
Por predefinição, o tráfego enviado através do Cloud Interconnect não está encriptado. Se quiser encriptar o tráfego enviado através do Cloud Interconnect, pode configurar a VPN através do Cloud Interconnect ou o MACsec.
Para ver a lista completa de regiões e localizações partilhadas suportadas, consulte a tabela seguinte:
| Região | Localização | Nome da instalação | Instalação |
|---|---|---|---|
| us-east4 (Virgínia) | Ashburn | iad-zone1-1 |
Equinix Ashburn (DC1-DC11) |
| Ashburn | iad-zone2-1 |
Equinix Ashburn (DC1-DC11) | |
| Ashburn | iad-zone1-5467 |
CoreSite - Reston (VA3) | |
| Ashburn | iad-zone2-5467 |
CoreSite - Reston (VA3) | |
| us-east5 (Columbus) | Columbus | cmh-zone1-2377 |
Cologix COL1 |
| Columbus | cmh-zone2-2377 |
Cologix COL1 | |
| us-central1 (Iowa) | Council Bluffs | cbf-zone1-575 |
Centros de dados do Nebraska (1623 Farnam) |
| Council Bluffs | cbf-zone2-575 |
Centros de dados do Nebraska (1623 Farnam) | |
| us-south1 (Dallas) | Dallas | dfw-zone1-4 |
Equinix Dallas (DA1) |
| Dallas | dfw-zone2-4 |
Equinix Dallas (DA1) | |
| us-west1 (Oregon) | Portland | pdx-zone1-1922 |
EdgeConneX Portland (EDCPOR01) |
| Portland | pdx-zone2-1922 |
EdgeConneX Portland (EDCPOR01) | |
| us-west2 (Los Angeles) | Los Angeles | lax-zone1-8 |
Equinix Los Angeles (LA1) |
| Los Angeles | lax-zone2-8 |
Equinix Los Angeles (LA1) | |
| Los Angeles | lax-zone1-19 |
CoreSite - LA1 - One Wilshire | |
| Los Angeles | lax-zone2-19 |
CoreSite - LA1 - One Wilshire | |
| Los Angeles | lax-zone1-403 |
Digital Realty LAX (600 West 7th) | |
| Los Angeles | lax-zone2-403 |
Digital Realty LAX (600 West 7th) | |
| Los Angeles | lax-zone1-333 |
Equinix LA3/LA4 - Los Angeles, El Segundo | |
| Los Angeles | lax-zone2-333 |
Equinix LA3/LA4 - Los Angeles, El Segundo | |
| us-west3 (Salt Lake City) | Salt Lake City | slc-zone1-99001 |
Aligned Salt Lake (SLC-01) |
| Salt Lake City | slc-zone2-99001 |
Aligned Salt Lake (SLC-01) | |
| us-west4 (Las Vegas) | Las Vegas | las-zone1-770 |
Switch Las Vegas |
| Las Vegas | las-zone2-770 |
Switch Las Vegas |
O que se segue?
- Saiba mais sobre os Google Cloud produtos usados neste guia de design:
- Para ver mais arquiteturas de referência, diagramas e práticas recomendadas, explore o Centro de arquitetura na nuvem.
Colaboradores
Autores:
- Haider Witwit | Customer Engineer
- Bhavin Desai | Product Manager
Outros colaboradores:
- Ashwin Gururaghavendran | Engenheiro de software
- Percy Wadia | Group Product Manager
- Daniel Lees | Arquiteto de segurança da nuvem
- Marquis Carroll | Consultor
- Michele Chubirka | Cloud Security Advocate