En este documento se proporcionan directrices de configuración para ayudarte a implementar de forma segura Google Cloud políticas de red en Estados Unidos que cumplan los requisitos de diseño de FedRAMP High y los niveles de impacto 2 (IL2), 4 (IL4) y 5 (IL5) del Departamento de Defensa (DoD) de EE. UU. Este documento está dirigido a arquitectos de soluciones, ingenieros de redes y de seguridad que diseñan e implementan soluciones de redes en Google Cloud. En el siguiente diagrama se muestra un diseño de red de zona de aterrizaje para cargas de trabajo altamente reguladas.
Arquitectura
El diseño de la red que se muestra en el diagrama anterior se ajusta a los requisitos del marco de cumplimiento de EE. UU. para FedRAMP High y DoD IL2, IL4 e IL5. Esta arquitectura incluye los siguientes componentes, que se describen con más detalle más adelante en este documento:
- Nube privada virtual (VPC): estas VPCs son globales, pero solo debes crear subredes en regiones de EE. UU.
- Balanceadores de carga regionales: estos balanceadores de carga son regionales, no globales. Solo admiten implementaciones en EE. UU. Ten en cuenta que el uso de balanceadores de carga externos a los que se pueda acceder directamente a través de Internet puede requerir una validación adicional con la DISA para asegurar la autorización del Departamento de Defensa de EE. UU. (DoD) para IL4 e IL5.
- Políticas de seguridad de Google Cloud Armor: estas políticas se pueden usar con las políticas de seguridad de balanceadores de carga regionales compatibles.
- Private Service Connect, Acceso privado a Google (PGA), y Acceso a servicios privados (PSA): estas opciones permiten la conectividad privada a los servicios gestionados de Google en la región. Debes habilitar el acceso privado a las APIs y los servicios gestionados por Google en la región mediante la opción correspondiente a tu caso de uso.
- Servicios de terceros: en el caso de los servicios de terceros de productor a consumidor, debes asegurarte de que tanto el servicio del productor como los datos en tránsito cumplan tus requisitos.
- Entorno de no producción: aprovisiona otros entornos, como los de no producción, pruebas y control de calidad, de acuerdo con la estrategia de VPC de tu organización.
Caso práctico
Assured Workloads es un marco de cumplimiento que puede ayudarte a proporcionar los controles de seguridad que necesitas para cumplir los requisitos normativos de FedRAMP High y los niveles IL2, IL4 e IL5 del Departamento de Defensa de EE. UU. Después de realizar el despliegue con Assured Workloads, eres responsable de configurar políticas de red seguras y que cumplan los requisitos. Para otros casos de uso de cumplimiento, consulta Alojar cargas de trabajo de FedRAMP Moderate y High en Google Cloud en la documentación de FedRAMP.
El ámbito de esta guía se limita a los componentes de redes. Debes configurar las cargas de trabajo de acuerdo con el modelo de responsabilidad compartida, la matriz de responsabilidad del cliente de FedRAMP, los servicios cubiertos Google Cloud , FedRAMP y las directrices de Assured Workloads. Para obtener más información sobre cómo cumplir los requisitos de cumplimiento de otros servicios de Google Cloud , consulta el Centro de recursos para el cumplimiento.
Los servicios a los que se hace referencia en este documento se incluyen únicamente a modo de ejemplo. Debes revisar los servicios incluidos en los programas de cumplimiento para asegurarte de que tu carga de trabajo cumple los requisitos del nivel de cumplimiento correcto.
Productos no incluidos
Los siguientes servicios no cumplen los requisitos de cumplimiento de los límites jurisdiccionales de FedRAMP High ni de los niveles IL2, IL4 e IL5 del Departamento de Defensa de EE. UU.:
- Balanceador de carga de aplicación externo global
- Google Cloud Armor global
- Balanceador de carga de proxy externo global
Te recomendamos que hables con tu equipo de Asistencia de Google sobre el riesgo de usar estos servicios en tu red antes de empezar a diseñar tu red.
Consideraciones de diseño
En esta sección se describen las consideraciones de diseño para las que las configuraciones que se describen en este documento son una opción adecuada.
Usar Assured Workloads
Debes usar Assured Workloads para cumplir los requisitos basados en el cumplimiento de las normativas que tengan requisitos de soberanía y residencia de datos, como FedRAMP High y DoD IL4 e IL5. Google Cloud Para saber si estos principios se aplican a tu programa de cumplimiento en Google Cloud, te recomendamos que consultes la información general sobre Assured Workloads en las primeras fases de tu fase de diseño. Eres responsable de configurar tu propia red y tus políticas de gestión de identidades y accesos.
Debes configurar una carpeta de Assured Workloads y definir el programa de cumplimiento adecuado. En ese caso, asigna el programa de cumplimiento adecuado a FedRAMP
High o IL2, IL4, IL5. Esta carpeta proporciona un límite normativo dentro de una organización para identificar los tipos de datos regulados. De forma predeterminada, cualquier proyecto de esta carpeta heredará las restricciones de seguridad y cumplimiento definidas a nivel de carpeta de Assured Workloads.
Assured Workloads restringe las regiones que puedes seleccionar para esos recursos en función del programa de cumplimiento que hayas elegido mediante el servicio de políticas de organización de restricción de recursos.
Alineación regional
Debes usar una o varias de las regiones de Google de EE. UU. para cumplir los programas que se incluyen en estas directrices. Ten en cuenta que FedRAMP High y DoD IL4 e IL5 tienen un requisito general de que los datos se conserven dentro de una frontera geográfica de EE. UU. Para saber qué regiones puedes añadir, consulta las ubicaciones de Assured Workloads.
Cumplimiento a nivel de producto
Es tu responsabilidad confirmar que un producto o servicio admite los requisitos de soberanía y residencia de datos adecuados para tu caso de uso. Cuando compres o uses tu programa de cumplimiento objetivo, también debes seguir estas directrices para cada producto que utilices para cumplir los requisitos de cumplimiento aplicables. Assured Workloads configura una política de organización modificable con una política de restricción del uso de recursos en un momento dado que refleja los servicios que cumplen el marco de cumplimiento elegido.
Implementación
Para ayudarte a cumplir tus requisitos, te recomendamos que sigas las directrices de esta sección para los servicios de redes individuales.
Configuraciones de redes de nube privada virtual
Debes realizar las siguientes configuraciones de nube privada virtual:
- Subredes: crea subredes en las regiones de EE. UU. que se mencionan en Alineación regional. Assured Workloads aplica políticas para restringir la creación de subredes en otras ubicaciones.
- Reglas de cortafuegos: debes configurar reglas de cortafuegos de VPC para permitir o denegar conexiones solo a o desde instancias de máquina virtual (VM) de tu red de VPC.
Configuraciones de Private Service Connect
Private Service Connect es una función de Google Cloud redes que permite a los consumidores acceder a servicios gestionados de forma privada desde su red de VPC.
Ambos tipos de Private Service Connect (endpoints y backends de Private Service Connect) admiten los controles que se describen en este documento cuando se configuran con balanceadores de carga regionales. Te recomendamos que apliques los detalles de configuración que se describen en la siguiente tabla:
| Tipo de Private Service Connect | Balanceadores de carga admitidos | Estado de cumplimiento |
|---|---|---|
| Puntos finales de Private Service Connect para APIs de Google | No aplicable | No compatible |
| Backends de Private Service Connect para APIs de Google |
|
Cumple los requisitos cuando se usa con cualquiera de los siguientes balanceadores de carga regionales:
|
| Endpoints de Private Service Connect para servicios publicados |
|
Conforme |
| Backends de Private Service Connect para servicios publicados |
|
Cumple los requisitos cuando se usa con el siguiente balanceador de carga regional:
|
Replicación de paquetes
Replicación de paquetes es una función de VPC que puedes usar para mantener el cumplimiento. La replicación de paquetes captura todo el tráfico y los datos de paquetes, incluidas las cargas útiles y los encabezados, y los reenvía a los colectores de destino para analizarlos. La replicación de paquetes hereda el estado de cumplimiento de la VPC.
Cloud Load Balancing
Google Cloud ofrece distintos tipos de balanceadores de carga, como se describe en el artículo Descripción general de los balanceadores de carga de aplicaciones. En esta arquitectura, debes usar balanceadores de carga regionales.
Cloud DNS
Puedes usar Cloud DNS para cumplir tus requisitos de cumplimiento. Cloud DNS es un servicio DNS gestionado que Google Cloud admite privado zonas de reenvío, zonas de emparejamiento, zonas de búsqueda inversa y políticas de servidor DNS. Las zonas públicas de Cloud DNS no cumplen los controles de FedRAMP High ni los de IL2, IL4 o IL5 del Departamento de Defensa de EE. UU.
Cloud Router
Cloud Router es un producto regional que puedes configurar para Cloud VPN, Cloud Interconnect y Cloud NAT. Solo debes configurar Cloud Router en regiones de EE. UU. Cuando creas o editas una red de VPC, puedes definir el modo de enrutamiento dinámico como regional o global. Si habilita el modo de enrutamiento global, debe configurar el modo de anuncio personalizado para que solo incluya redes de EE. UU.
Cloud NAT
Cloud NAT es un producto de NAT gestionado regional que puedes usar para habilitar el acceso saliente a Internet de recursos privados sin direcciones IP externas. Solo debes configurar la pasarela Cloud NAT en las regiones de EE. UU. que tengan el componente Cloud Router asociado.
Cloud VPN
Debes usar los endpoints de Cloud VPN ubicados en EE. UU. Asegúrate de que tu pasarela VPN esté configurada solo para usarse en la región de EE. UU. correcta, tal como se describe en Alineación regional. Te recomendamos que uses el tipo VPN de alta disponibilidad para Cloud VPN. Para el cifrado, solo debes usar cifrados que cumplan el estándar FIPS 140-2 para crear certificados y configurar la seguridad de tu dirección IP. Para obtener más información sobre los cifrados compatibles con Cloud VPN, consulta Algoritmos de cifrado IKE compatibles. Para obtener información sobre cómo seleccionar un cifrado que cumpla los estándares FIPS 140-2, consulta Validación FIPS 140-2. Una vez que hayas configurado un cifrado, no podrás cambiarlo enGoogle Cloud. Asegúrate de configurar el mismo cifrado en el dispositivo de terceros que uses con Cloud VPN.
Cloud Armor
Cloud Armor es un servicio de mitigación de DDoS y protección de aplicaciones. Ayuda a proteger las implementaciones de los clientes con cargas de trabajo expuestas a Internet frente a ataques DDoS. Google Cloud Cloud Armor para balanceadores de carga de aplicaciones externos regionales se ha diseñado para ofrecer la misma protección y las mismas funciones a las cargas de trabajo regionales balanceadas. Como los cortafuegos de aplicaciones web (WAF) de Google Cloud Armor usan un ámbito regional, tus configuraciones y tu tráfico se encuentran en la región en la que se crean los recursos. Debes crear políticas de seguridad de backend regionales y adjuntarlas a servicios de backend de ámbito regional. Las nuevas políticas de seguridad regionales solo se pueden aplicar a los servicios backend de ámbito regional de la misma región, y se almacenan, evalúan y aplican en la región. Cloud Armor para balanceadores de carga de red y máquinas virtuales amplía la protección contra DDoS de Cloud Armor a las cargas de trabajo expuestas a Internet mediante una regla de reenvío de un balanceador de carga de red (o de reenvío de protocolos) o mediante una máquina virtual expuesta directamente a través de una IP pública. Para habilitar esta protección, debes configurar la protección de red avanzada contra DDoS.
Interconexión dedicada
Para usar Interconexión dedicada, tu red debe conectarse físicamente a la red de Google en una instalación de colocación compatible. El proveedor de las instalaciones suministra un circuito de 10 G o 100 G entre tu red y un punto de presencia de Google Edge. Solo debes usar Cloud Interconnect en instalaciones de colocación de EE. UU. que sirvan a Google Cloud regiones de EE. UU.
Cuando usas Partner Cloud Interconnect, debes consultar con el proveedor de servicios para confirmar que sus ubicaciones están en EE. UU. y conectadas a una de las Google Cloud ubicaciones de EE. UU. que se indican más adelante en esta sección.
De forma predeterminada, el tráfico enviado a través de Cloud Interconnect no está cifrado. Si quieres cifrar el tráfico enviado a través de Cloud Interconnect, puedes configurar VPN sobre Cloud Interconnect o MACsec.
Para ver la lista completa de regiones y ubicaciones compartidas admitidas, consulta la siguiente tabla:
| Región | Ubicación | Nombre de las instalaciones | Instalación |
|---|---|---|---|
| us-east4 (Virginia) | Ashburn | iad-zone1-1 |
Equinix Ashburn (DC1-DC11) |
| Ashburn | iad-zone2-1 |
Equinix Ashburn (DC1-DC11) | |
| Ashburn | iad-zone1-5467 |
CoreSite - Reston (VA3) | |
| Ashburn | iad-zone2-5467 |
CoreSite - Reston (VA3) | |
| us-east5 (Columbus) | Columbus | cmh-zone1-2377 |
Cologix COL1 |
| Columbus | cmh-zone2-2377 |
Cologix COL1 | |
| us-central1 (Iowa) | Council Bluffs | cbf-zone1-575 |
Centros de datos de Nebraska (1623 Farnam) |
| Council Bluffs | cbf-zone2-575 |
Centros de datos de Nebraska (1623 Farnam) | |
| us-south1 (Dallas) | Dallas | dfw-zone1-4 |
Equinix Dallas (DA1) |
| Dallas | dfw-zone2-4 |
Equinix Dallas (DA1) | |
| us-west1 (Oregón) | Portland | pdx-zone1-1922 |
EdgeConneX Portland (EDCPOR01) |
| Portland | pdx-zone2-1922 |
EdgeConneX Portland (EDCPOR01) | |
| us-west2 (Los Ángeles) | Los Ángeles | lax-zone1-8 |
Equinix Los Ángeles (LA1) |
| Los Ángeles | lax-zone2-8 |
Equinix Los Ángeles (LA1) | |
| Los Ángeles | lax-zone1-19 |
CoreSite - LA1 - One Wilshire | |
| Los Ángeles | lax-zone2-19 |
CoreSite - LA1 - One Wilshire | |
| Los Ángeles | lax-zone1-403 |
Digital Realty LAX (600 West 7th) | |
| Los Ángeles | lax-zone2-403 |
Digital Realty LAX (600 West 7th) | |
| Los Ángeles | lax-zone1-333 |
Equinix LA3/LA4 - Los Ángeles, El Segundo | |
| Los Ángeles | lax-zone2-333 |
Equinix LA3/LA4 - Los Ángeles, El Segundo | |
| us-west3 (Salt Lake City) | Salt Lake City | slc-zone1-99001 |
Salt Lake alineado (SLC-01) |
| Salt Lake City | slc-zone2-99001 |
Salt Lake alineado (SLC-01) | |
| us-west4 (Las Vegas) | Las Vegas | las-zone1-770 |
Switch Las Vegas |
| Las Vegas | las-zone2-770 |
Switch Las Vegas |
Siguientes pasos
- Consulta más información sobre los Google Cloud productos que se usan en esta guía de diseño:
- Para ver más arquitecturas de referencia, diagramas y prácticas recomendadas, consulta el centro de arquitectura de Cloud.
Colaboradores
Autores:
- Haider Witwit | Ingeniero de clientes
- Bhavin Desai | Responsable de producto
Otros colaboradores:
- Ashwin Gururaghavendran | Ingeniero de software
- Percy Wadia | Responsable de producto de grupo
- Daniel Lees | Arquitecto de seguridad en la nube
- Marquis Carroll | Consultor
- Michele Chubirka | Cloud Security Advocate