Dokumen ini memberikan panduan konfigurasi untuk membantu Anda men-deploy Google Cloud kebijakan jaringan di Amerika Serikat (AS) secara aman yang mematuhi persyaratan desain untuk FedRAMP High dan Departemen Pertahanan (DoD) Impact Level 2 (IL2), Impact Level 4 (IL4), dan Impact Level 5 (IL5). Dokumen ini ditujukan untuk arsitek solusi, engineer jaringan, dan engineer keamanan yang mendesain dan men-deploy solusi jaringan di Google Cloud. Diagram berikut menunjukkan desain jaringan zona landing untuk beban kerja yang sangat diatur.
Arsitektur
Desain jaringan yang ditampilkan dalam diagram sebelumnya selaras dengan persyaratan framework kepatuhan AS untuk FedRAMP Tinggi, serta DoD IL2, IL4, dan IL5. Arsitektur ini mencakup komponen berikut, yang akan dijelaskan secara lebih mendetail dalam dokumen ini:
- Virtual Private Cloud (VPC): VPC ini bersifat global, tetapi Anda hanya boleh membuat subnet di region Amerika Serikat.
- Load balancer regional: Load balancer ini bersifat regional, bukan global. Mereka hanya mendukung deployment di Amerika Serikat. Perhatikan bahwa penggunaan load balancer eksternal yang dapat diakses langsung oleh internet mungkin memerlukan validasi tambahan dengan DISA untuk memastikan otorisasi DoD untuk IL4 dan IL5.
- Kebijakan keamanan Google Cloud Armor: Kebijakan ini dapat digunakan dengan kebijakan keamanan load balancer regional yang didukung.
- Private Service Connect, Akses Google Pribadi (PGA), dan Akses layanan pribadi (PSA): Opsi ini memungkinkan konektivitas pribadi ke layanan terkelola Google dalam region. Anda harus mengaktifkan akses pribadi ke layanan dan API yang dikelola Google dalam region melalui opsi yang relevan untuk kasus penggunaan Anda.
- Layanan pihak ketiga: Untuk layanan produsen-konsumen pihak ketiga, Anda harus memastikan bahwa layanan produsen dan data yang sedang dalam pengiriman memenuhi persyaratan kepatuhan Anda.
- Non-prod: Sediakan lingkungan lain seperti non-prod, pengujian, dan jaminan kualitas (QA) sesuai dengan strategi VPC organisasi Anda.
Kasus penggunaan
Assured Workloads adalah framework kepatuhan yang dapat membantu menyediakan kontrol keamanan yang Anda butuhkan untuk mendukung persyaratan peraturan untuk FedRAMP High, serta DoD IL2, IL4, dan IL5. Setelah men-deploy dengan Assured Workloads, Anda bertanggung jawab untuk menyiapkan kebijakan jaringan yang patuh dan aman. Untuk kasus penggunaan kepatuhan lainnya, lihat Menghosting Workload FedRAMP Moderate dan High di Google Cloud dalam dokumentasi FedRAMP.
Cakupan panduan ini terbatas pada komponen jaringan. Anda harus mengonfigurasi workload sesuai dengan model tanggung jawab bersama, Customer Responsibility Matrix FedRAMP, layanan yang termasuk dalam cakupan Google Cloud , FedRAMP, dan pedoman Assured Workloads. Untuk mengetahui informasi selengkapnya tentang cara memenuhi persyaratan kepatuhan untuk layanan Google Cloud lainnya, lihat Pusat referensi kepatuhan.
Layanan yang dirujuk dalam dokumen ini hanya untuk tujuan contoh. Anda harus meninjau layanan yang termasuk dalam cakupan program kepatuhan untuk memastikan persyaratan tingkat kepatuhan yang benar untuk workload Anda.
Produk di luar cakupan
Layanan berikut tidak memenuhi persyaratan kepatuhan terhadap batasan yurisdiksi FedRAMP High, atau DoD IL2, IL4, dan IL5:
- Load Balancer Aplikasi Eksternal Global
- Google Cloud Armor Global
- Load Balancer Proxy Eksternal Global
Sebaiknya diskusikan risiko penggunaan layanan ini di jaringan Anda dengan tim dukungan Google sebelum Anda mulai membuat desain jaringan.
Pertimbangan Desain
Bagian ini menjelaskan pertimbangan desain yang membuat konfigurasi yang dijelaskan dalam dokumen ini menjadi pilihan yang tepat.
Menggunakan Assured Workloads
Anda harus menggunakan Assured Workloads untuk memenuhi persyaratan berbasis kepatuhan pada Google Cloud untuk peraturan yang memiliki persyaratan residensi dan kedaulatan data, seperti FedRAMP High, serta DoD IL4 dan IL5. Untuk memahami apakah prinsip-prinsip ini berlaku untuk program kepatuhan Anda di Google Cloud, sebaiknya tinjau Ringkasan Assured Workloads pada tahap awal fase desain Anda. Anda bertanggung jawab untuk mengonfigurasi jaringan dan kebijakan IAM Anda sendiri.
Anda harus mengonfigurasi folder Assured Workloads
dan menetapkan program kepatuhan yang sesuai. Dalam hal ini, tetapkan program kepatuhan yang sesuai ke FedRAMP
High atau IL2, IL4, IL5. Folder ini menyediakan batas peraturan dalam organisasi untuk mengidentifikasi jenis data yang diatur. Secara default, setiap project di bawah folder ini akan mewarisi panduan keamanan dan kepatuhan yang ditetapkan di tingkat folder Assured Workloads.
Assured Workloads membatasi region yang dapat Anda pilih untuk resource tersebut berdasarkan program kepatuhan yang Anda pilih menggunakan Layanan Kebijakan Organisasi pembatasan resource.
Penyelarasan regional
Anda harus menggunakan satu atau beberapa region Google AS untuk mendukung program kepatuhan yang termasuk dalam cakupan panduan ini. Perhatikan bahwa FedRAMP High serta DoD IL4 dan IL5 memiliki persyaratan umum bahwa data harus disimpan dalam batas geografis Amerika Serikat. Untuk mempelajari wilayah yang dapat Anda tambahkan, lihat Lokasi Assured Workloads.
Kepatuhan tingkat produk
Anda bertanggung jawab untuk mengonfirmasi bahwa produk atau layanan mendukung persyaratan residensi dan kedaulatan data yang sesuai untuk kasus penggunaan Anda. Saat membeli atau menggunakan program kepatuhan target, Anda juga harus mengikuti panduan ini untuk setiap produk yang Anda gunakan untuk memenuhi persyaratan kepatuhan yang berlaku. Assured Workloads menyiapkan Kebijakan Organisasi yang dapat diubah dengan kebijakan pembatasan penggunaan resource pada suatu titik waktu yang mencerminkan layanan yang mematuhi framework kepatuhan yang dipilih.
Deployment
Untuk membantu Anda memenuhi persyaratan kepatuhan, sebaiknya ikuti panduan di bagian ini untuk setiap layanan jaringan.
Konfigurasi jaringan Virtual Private Cloud
Anda harus melakukan konfigurasi Virtual Private Cloud berikut:
- Subnets: Buat subnet di region AS yang dirujuk dalam Penyelarasan regional. Assured Workloads menerapkan kebijakan untuk membatasi pembuatan subnet di lokasi lain.
- Aturan firewall: Anda harus mengonfigurasi aturan firewall VPC untuk mengizinkan atau menolak koneksi hanya ke atau dari instance virtual machine (VM) di jaringan VPC Anda.
Konfigurasi Private Service Connect
Private Service Connect adalah kemampuan jaringan Google Cloud yang memungkinkan konsumen mengakses layanan terkelola secara pribadi dari dalam jaringan VPC mereka.
Jenis Private Service Connect (endpoint Private Service Connect dan backend Private Service Connect) mendukung kontrol yang dijelaskan dalam dokumen ini jika dikonfigurasi dengan load balancer regional. Sebaiknya terapkan detail konfigurasi yang dijelaskan dalam tabel berikut:
| Jenis Private Service Connect | Load balancer yang didukung | Status kepatuhan |
|---|---|---|
| Endpoint Private Service Connect untuk Google API | Tidak berlaku | Tidak didukung |
| Backend Private Service Connect untuk Google API |
|
Kompatibel saat digunakan dengan salah satu load balancer regional berikut:
|
| Endpoint Private Service Connect untuk layanan yang ditayangkan |
|
Patuh |
| Backend Private Service Connect untuk layanan yang dipublikasikan |
|
Sesuai jika digunakan dengan load balancer regional berikut:
|
Duplikasi Paket
Duplikasi Paket adalah fitur VPC yang dapat Anda gunakan untuk membantu Anda mempertahankan kepatuhan. Duplikasi Paket merekam semua data traffic dan paket Anda, termasuk payload dan header, lalu meneruskannya ke pengumpul target untuk dianalisis. Duplikasi Paket mewarisi status kepatuhan VPC.
Cloud Load Balancing
Google Cloud menawarkan berbagai jenis load balancer, seperti yang dijelaskan dalam Ringkasan Load Balancer Aplikasi. Untuk arsitektur ini, Anda harus menggunakan load balancer regional.
Cloud DNS
Anda dapat menggunakan Cloud DNS untuk membantu Anda memenuhi persyaratan kepatuhan. Cloud DNS adalah layanan DNS terkelola di Google Cloud yang mendukung zona penerusan pribadi, zona peering, zona pencarian terbalik, dan kebijakan server DNS. Zona publik Cloud DNS tidak mematuhi kontrol FedRAMP High, dan DoD IL2, IL4, atau IL5.
Cloud Router
Cloud Router adalah produk regional yang dapat Anda konfigurasi untuk Cloud VPN, Cloud Interconnect, dan Cloud NAT. Anda hanya boleh mengonfigurasi Cloud Router di region AS. Saat membuat atau mengedit jaringan VPC, Anda dapat menetapkan mode perutean dinamis ke regional atau global. Jika mengaktifkan mode perutean global, Anda harus mengonfigurasi mode iklan kustom agar hanya menyertakan jaringan AS.
Cloud NAT
Cloud NAT adalah produk NAT terkelola regional yang dapat Anda gunakan untuk mengaktifkan akses keluar ke internet bagi resource pribadi tanpa alamat IP eksternal. Anda hanya boleh mengonfigurasi gateway Cloud NAT di region AS yang memiliki komponen Cloud Router terkait.
Cloud VPN
Anda harus menggunakan endpoint Cloud VPN yang berada di Amerika Serikat. Pastikan gateway VPN Anda dikonfigurasi hanya untuk digunakan di region AS yang benar, seperti yang dijelaskan dalam Penyelarasan regional. Sebaiknya gunakan jenis VPN dengan ketersediaan tinggi (HA) untuk Cloud VPN. Untuk enkripsi, Anda hanya boleh menggunakan sandi yang sesuai dengan FIPS 140-2 untuk membuat sertifikat dan mengonfigurasi keamanan alamat IP Anda. Untuk mempelajari lebih lanjut cipher yang didukung di Cloud VPN, lihat Cipher IKE yang didukung. Untuk mendapatkan panduan tentang cara memilih sandi yang sesuai dengan standar FIPS 140-2, lihat Tervalidasi FIPS 140-2. Setelah Anda membuat konfigurasi, tidak ada cara untuk mengubah sandi yang ada di Google Cloud. Pastikan Anda mengonfigurasi cipher yang sama di perangkat pihak ketiga yang Anda gunakan dengan Cloud VPN.
Cloud Armor
Cloud Armor adalah layanan mitigasi DDoS dan perlindungan aplikasi. Layanan ini membantu melindungi deployment pelanggan dengan beban kerja yang terekspos ke internet dari serangan DDoS. Google Cloud Cloud Armor untuk Load Balancer Aplikasi eksternal regional didesain untuk memberikan perlindungan dan kemampuan yang sama bagi workload yang di-load balance regional. Karena firewall aplikasi web (WAF) Google Cloud Armor menggunakan cakupan regional, konfigurasi dan traffic Anda berada di region tempat resource dibuat. Anda harus membuat kebijakan keamanan backend regional dan melampirkannya ke layanan backend yang memiliki cakupan regional. Kebijakan keamanan regional baru hanya dapat diterapkan ke layanan backend yang tercakup secara regional di region yang sama, serta disimpan, dievaluasi, dan diterapkan di dalam region. Cloud Armor untuk Load Balancer Jaringan dan VM memperluas perlindungan DDoS Cloud Armor untuk workload yang diekspos ke internet melalui aturan penerusan Load Balancer Jaringan (atau penerusan protokol), atau melalui VM yang diekspos secara langsung melalui IP publik. Untuk mengaktifkan perlindungan ini, Anda harus mengonfigurasi perlindungan DDoS jaringan lanjutan.
Dedicated Interconnect
Untuk menggunakan Dedicated Interconnect, jaringan Anda harus terhubung secara fisik ke jaringan Google di fasilitas kolokasi yang didukung. Penyedia fasilitas menyediakan sirkuit 10G atau 100G antara jaringan Anda dan titik kehadiran Google Edge. Anda hanya boleh menggunakan Cloud Interconnect di fasilitas kolokasi di Amerika Serikat yang melayani Google Cloud region Amerika Serikat.
Saat menggunakan Partner Cloud Interconnect, Anda harus berkonsultasi dengan penyedia layanan untuk mengonfirmasi bahwa lokasinya berada di Amerika Serikat dan terhubung ke salah satu lokasi Amerika Serikat yang tercantum di bagian ini. Google Cloud
Secara default, traffic yang dikirim melalui Cloud Interconnect tidak dienkripsi. Jika ingin mengenkripsi traffic yang dikirim melalui Cloud Interconnect, Anda dapat mengonfigurasi VPN melalui Cloud Interconnect atau MACsec.
Untuk mengetahui daftar lengkap region dan kolokasi yang didukung, lihat tabel berikut:
| Wilayah | Lokasi | Nama fasilitas | Fasilitas |
|---|---|---|---|
| us-east4 (Virginia) | Ashburn | iad-zone1-1 |
Equinix Ashburn (DC1-DC11) |
| Ashburn | iad-zone2-1 |
Equinix Ashburn (DC1-DC11) | |
| Ashburn | iad-zone1-5467 |
CoreSite - Reston (VA3) | |
| Ashburn | iad-zone2-5467 |
CoreSite - Reston (VA3) | |
| us-east5 (Columbus) | Columbus | cmh-zone1-2377 |
Cologix COL1 |
| Columbus | cmh-zone2-2377 |
Cologix COL1 | |
| us-central1 (Iowa) | Council Bluffs | cbf-zone1-575 |
Pusat data Nebraska (1623 Farnam) |
| Council Bluffs | cbf-zone2-575 |
Pusat data Nebraska (1623 Farnam) | |
| us-south1 (Dallas) | Dallas | dfw-zone1-4 |
Equinix Dallas (DA1) |
| Dallas | dfw-zone2-4 |
Equinix Dallas (DA1) | |
| us-west1 (Oregon) | Portland | pdx-zone1-1922 |
EdgeConneX Portland (EDCPOR01) |
| Portland | pdx-zone2-1922 |
EdgeConneX Portland (EDCPOR01) | |
| us-west2 (Los Angeles) | Los Angeles | lax-zone1-8 |
Equinix Los Angeles (LA1) |
| Los Angeles | lax-zone2-8 |
Equinix Los Angeles (LA1) | |
| Los Angeles | lax-zone1-19 |
CoreSite - LA1 - One Wilshire | |
| Los Angeles | lax-zone2-19 |
CoreSite - LA1 - One Wilshire | |
| Los Angeles | lax-zone1-403 |
Digital Realty LAX (600 West 7th) | |
| Los Angeles | lax-zone2-403 |
Digital Realty LAX (600 West 7th) | |
| Los Angeles | lax-zone1-333 |
Equinix LA3/LA4 - Los Angeles, El Segundo | |
| Los Angeles | lax-zone2-333 |
Equinix LA3/LA4 - Los Angeles, El Segundo | |
| us-west3 (Salt Lake City) | Salt Lake City | slc-zone1-99001 |
Aligned Salt Lake (SLC-01) |
| Salt Lake City | slc-zone2-99001 |
Aligned Salt Lake (SLC-01) | |
| us-west4 (Las Vegas) | Las Vegas | las-zone1-770 |
Switch Las Vegas |
| Las Vegas | las-zone2-770 |
Switch Las Vegas |
Langkah berikutnya
- Pelajari lebih lanjut produk Google Cloud yang digunakan dalam panduan desain ini:
- Untuk mengetahui lebih banyak tentang arsitektur referensi, diagram, dan praktik terbaik lainnya, jelajahi Pusat Arsitektur Cloud.
Kontributor
Penulis:
- Haider Witwit | Customer Engineer
- Bhavin Desai | Product Manager
Kontributor lainnya:
- Ashwin Gururaghavendran | Software Engineer
- Percy Wadia | Group Product Manager
- Daniel Lees | Cloud Security Architect
- Marquis Carroll | Konsultan
- Michele Chubirka | Cloud Security Advocate