Questo documento fornisce indicazioni sulla configurazione per aiutarti a eseguire in modo sicuro il deployment negli Stati Uniti (Stati Uniti) delle norme di rete di Google Cloud conformi ai requisiti di progettazione di FedRAMP High e Department of Defense (DoD) Impact Level 2 (IL2), Impact Level 4 (IL4) e Impact Level 5 (IL5). Questo documento è rivolto a architetti di soluzioni, tecnici di rete e tecnici della sicurezza che progettano ed eseguono il deployment di soluzioni di networking su Google Cloud. Il seguente diagramma mostra la progettazione di una rete nella zona di destinazione per carichi di lavoro altamente regolamentati.
Architettura
La progettazione della rete mostrata nel diagramma precedente è in linea con i requisiti del framework di conformità degli Stati Uniti per FedRAMP High e DoD IL2, IL4 e IL5. Questa architettura include i seguenti componenti, descritti in maggiore dettaglio più avanti in questo documento:
- Virtual Private Cloud (VPC): questi VPC sono globali, ma devi creare subnet solo nelle regioni degli Stati Uniti.
- Bilanciatori del carico a livello di regione: sono a livello di regione e non globali. Supportano solo le implementazioni negli Stati Uniti. Tieni presente che l'uso di bilanciatori del carico esterni a quelli accessibili direttamente da internet potrebbe richiedere un'ulteriore convalida con DISA per garantire l'autorizzazione DoD per IL4 e IL5.
- Criteri di sicurezza di Google Cloud Armor: questi criteri possono essere utilizzati con criteri di sicurezza dei bilanciatori del carico regionali supportati.
- Private Service Connect, Accesso privato Google (PGA) e Accesso privato ai servizi (PSA): queste opzioni abilitano la connettività privata ai servizi gestiti di Google all'interno della regione. Devi abilitare l'accesso privato ai servizi e alle API gestiti di Google all'interno della regione tramite l'opzione pertinente per il tuo caso d'uso.
- Servizi di terze parti: per i servizi di terze parti per consumatori e produttori, devi assicurarti che sia il servizio producer sia i dati in transito soddisfino i requisiti di conformità.
- Non di produzione: esegui il provisioning di altri ambienti, ad esempio non di produzione, di test e controllo qualità (QA) in base alla strategia VPC della tua organizzazione.
Caso d'uso
Assured Workloads è un framework di conformità in grado di fornire i controlli di sicurezza necessari per supportare i requisiti normativi per FedRAMP High e DoD IL2, IL4 e IL5. Dopo aver eseguito il deployment con Assured Workloads, è tua responsabilità configurare criteri di networking conformi e sicuri. Per altri casi d'uso di conformità, consulta Hosting FedRAMP Moderate e High Workloads on Google Cloud nella documentazione FedRAMP.
L'ambito di queste linee guida è limitato ai componenti di networking. Devi configurare i carichi di lavoro in conformità con il modello di responsabilità condivisa, FedRAMP Customer Responsibility Matrix, servizi Google Cloud nell'ambito, FedRAMP e linee guida di Assured Workloads. Per ulteriori informazioni su come soddisfare i requisiti di conformità per altri servizi Google Cloud, consulta il Centro risorse per la conformità.
I servizi a cui si fa riferimento in questo documento sono solo a scopo di esempio. Devi esaminare i servizi che rientrano nell'ambito dei programmi di conformità per assicurarti che i requisiti del livello di conformità per il tuo carico di lavoro siano corretti.
Prodotti fuori ambito
I seguenti servizi non soddisfano i requisiti di conformità giurisdizionale di FedRAMP High o DoD IL2, IL4 e IL5:
- Bilanciatore del carico delle applicazioni esterno globale
- Google Cloud Armor globale
- Bilanciatore del carico proxy esterno globale
Ti consigliamo di discutere del rischio dell'utilizzo di questi servizi nella tua rete con il team dell'Assistenza Google prima di iniziare a progettare la tua rete.
Considerazioni sul design
Questa sezione descrive considerazioni sulla progettazione per le quali le configurazioni descritte in questo documento sono una scelta appropriata.
Utilizza Assured Workloads
Devi utilizzare Assured Workloads per soddisfare i requisiti basati sulla conformità su Google Cloud per normative che hanno requisiti di sovranità dei dati e residenza, come FedRAMP High, DoD IL4 e IL5. Per capire se questi principi si applicano al tuo programma di conformità su Google Cloud, ti consigliamo di rivedere la Panoramica di Assured Workloads nelle prime fasi della fase di progettazione. Sei responsabile della configurazione della tua rete e dei tuoi criteri IAM.
Devi configurare una cartella di Assured Workloads e impostare il programma di conformità appropriato. In questo caso, imposta il programma di conformità appropriato su FedRAMP
High o IL2, IL4, IL5. Questa cartella fornisce un confine normativo all'interno di un'organizzazione per identificare i tipi di dati regolamentati. Per impostazione predefinita, tutti i progetti in questa cartella erediteranno i sistemi di protezione di sicurezza e conformità impostati a livello di cartella di Assured Workloads.
Assured Workloads limita le regioni che puoi selezionare per
queste risorse in base al programma di conformità scelto utilizzando il
restrizione delle risorse
il servizio Criteri dell'organizzazione.
Allineamento regionale
Devi utilizzare una o più regioni di Google degli Stati Uniti per supportare i programmi di conformità nell'ambito di queste indicazioni. Tieni presente che FedRAMP High e DoD IL4 e IL5 hanno un requisito generale che prevede che i dati vengano conservati all'interno dei confini geografici degli Stati Uniti. Per sapere quali regioni puoi aggiungere, consulta Località di Assured Workloads.
Conformità a livello di prodotto
È tua responsabilità confermare che un prodotto o un servizio supporti i requisiti di sovranità e residenza dei dati appropriati per il tuo caso d'uso. Quando acquisti o utilizzi il tuo programma di conformità target, devi seguire queste linee guida anche per ogni prodotto che utilizzi al fine di soddisfare i requisiti di conformità applicabili. Assured Workloads configura un criterio dell'organizzazione modificabile con un criterio di limitazione dell'utilizzo delle risorse point-in-time che riflette i servizi conformi al framework di conformità scelto.
Deployment
Per aiutarti a soddisfare i requisiti di conformità, ti consigliamo di seguire le linee guida in questa sezione per i singoli servizi di networking.
Configurazioni di rete Virtual Private Cloud
Devi effettuare le seguenti configurazioni del virtual private cloud:
- Subnet: crea subnet nelle regioni degli Stati Uniti indicate in Allineamento regionale. Assured Workloads applica criteri per limitare la creazione di subnet in altre località.
- Regole firewall: devi configurare le regole firewall VPC per consentire o negare solo le connessioni da o verso istanze di macchine virtuali (VM) nella tua rete VPC.
Configurazioni di Private Service Connect
Private Service Connect è una funzionalità di networking di Google Cloud che consente ai consumatori di accedere ai servizi gestiti in privato dall'interno della loro rete VPC.
Entrambi i tipi di Private Service Connect (endpoint Private Service Connect e backend Private Service Connect) supportano i controlli descritti in questo documento se configurati con i bilanciatori del carico a livello di regione. Ti consigliamo di applicare i dettagli di configurazione descritti nella tabella seguente:
| Tipo Private Service Connect | Bilanciatori del carico supportati | Stato di conformità |
|---|---|---|
| Endpoint Private Service Connect per le API di Google | Non applicabile | Funzionalità non supportata |
| Backend Private Service Connect per le API di Google |
|
Conforme quando utilizzato con uno dei seguenti bilanciatori del carico regionali:
|
| Endpoint Private Service Connect per i servizi pubblicati |
|
SQL:2011 |
| Backend Private Service Connect per i servizi pubblicati |
|
Conforme se utilizzato con il seguente bilanciatore del carico a livello di regione:
|
Mirroring pacchetto
Mirroring pacchetto è una funzionalità VPC che puoi utilizzare per mantenere la conformità. Mirroring pacchetto acquisisce tutto il traffico e i dati dei pacchetti, inclusi i payload e le intestazioni, e li inoltra ai raccoglitori di destinazione per l'analisi. Mirroring pacchetto eredita lo stato di conformità del VPC.
Cloud Load Balancing
Google Cloud offre diversi tipi di bilanciatori del carico, come descritto in Panoramica dei bilanciatori del carico delle applicazioni. Per questa architettura, devi usare bilanciatori del carico a livello di regione.
Cloud DNS
Puoi utilizzare Cloud DNS per soddisfare i requisiti di conformità. Cloud DNS è un servizio DNS gestito di Google Cloud che supporta zone di inoltro private, zone di peering, zone di ricerca inversa e criteri del server DNS. Le zone pubbliche di Cloud DNS non sono conformi ai controlli FedRAMP High e DoD IL2, IL4 o IL5.
Router Cloud
Il router Cloud è un prodotto regionale che puoi configurare per Cloud VPN, Cloud Interconnect e Cloud NAT. Devi configurare il router Cloud solo nelle regioni degli Stati Uniti. Quando crei o modifichi una rete VPC, puoi impostare la modalità di routing dinamico in modo che sia regionale o globale. Se abiliti la modalità di routing globale, devi configurare la modalità annunciata personalizzata per includere solo le reti statunitensi.
Cloud NAT
Cloud NAT è un prodotto NAT regionale gestito che puoi utilizzare per abilitare l'accesso in uscita verso internet per le risorse private senza indirizzi IP esterni. Devi configurare il gateway Cloud NAT solo nelle regioni degli Stati Uniti con il componente Router Cloud associato.
Cloud VPN
Devi utilizzare gli endpoint Cloud VPN che si trovano negli Stati Uniti. Assicurati che il gateway VPN sia configurato solo per l'utilizzo nella regione degli Stati Uniti corretta, come descritto in Allineamento a livello di regione. Ti consigliamo di utilizzare il tipo VPN ad alta disponibilità per Cloud VPN. Per la crittografia, devi utilizzare solo crittografie conformi a FIPS 140-2 per creare certificati e configurare la sicurezza dell'indirizzo IP. Per scoprire di più sulle crittografie supportate in Cloud VPN, consulta Cifre IKE supportate. Per indicazioni su come selezionare una crittografia conforme agli standard FIPS 140-2, consulta Convalida FIPS 140-2. Dopo aver effettuato una configurazione, non è possibile modificare una crittografia esistente in Google Cloud. Assicurati di configurare sull'appliance di terze parti la stessa crittografia che utilizzi con Cloud VPN.
Google Cloud Armor
Google Cloud Armor è un servizio di mitigazione degli attacchi DDoS e protezione delle applicazioni. Consente di proteggere dagli attacchi DDoS ai deployment dei clienti Google Cloud con carichi di lavoro esposti a internet. Google Cloud Armor per il bilanciatore del carico delle applicazioni esterno regionale è progettato per fornire la stessa protezione e le stesse funzionalità per i carichi di lavoro con bilanciamento del carico a livello di regione. Poiché i web application firewall (WAF) di Google Cloud Armor utilizzano un ambito a livello di regione, le configurazioni e il traffico si trovano nella regione in cui vengono create le risorse. Devi creare criteri di sicurezza del backend regionali e collegarli ai servizi di backend con ambito regionale. I nuovi criteri di sicurezza a livello di regione possono essere applicati solo ai servizi di backend con ambito regionale nella stessa regione e vengono archiviati, valutati e applicati nella regione. Google Cloud Armor per i bilanciatori del carico di rete e le VM estende la protezione DDoS di Google Cloud Armor per i carichi di lavoro esposti a internet tramite una regola di forwarding del bilanciatore del carico di rete (o di forwarding del protocollo) o tramite una VM esposta direttamente tramite un IP pubblico. Per attivare questa protezione, devi configurare la protezione DDoS di rete avanzata.
Dedicated Interconnect
Per utilizzare Dedicated Interconnect, la tua rete deve connettersi fisicamente alla rete Google in una struttura di colocation supportata. Il fornitore della struttura fornisce un circuito 10G o 100G tra la tua rete e un point of presenza (POP) perimetrale di Google. Devi utilizzare Cloud Interconnect solo in strutture di colocation all'interno degli Stati Uniti che gestiscono le regioni degli Stati Uniti di Google Cloud.
Quando utilizzi Partner Cloud Interconnect, devi consultare il fornitore di servizi per verificare che le sue località si trovino all'interno degli Stati Uniti e siano connesse a una delle località Google Cloud negli Stati Uniti elencate più avanti in questa sezione.
Per impostazione predefinita, il traffico inviato su Cloud Interconnect non è criptato. Se vuoi criptare il traffico inviato su Cloud Interconnect, puoi configurare la VPN su Cloud Interconnect o MACsec.
Per l'elenco completo delle regioni e delle colocalità supportate, consulta la seguente tabella:
| Regione | Località | Nome della struttura | Struttura |
|---|---|---|---|
| us-east4 (Virginia) | (Ashburn) | iad-zone1-1 |
Equinix Ashburn (DC1-DC11) |
| (Ashburn) | iad-zone2-1 |
Equinix Ashburn (DC1-DC11) | |
| (Ashburn) | iad-zone1-5467 |
CoreSite - Reston (VA3) | |
| (Ashburn) | iad-zone2-5467 |
CoreSite - Reston (VA3) | |
| us-east5 (Columbus) | Columbus | cmh-zone1-2377 |
Cologix COL1 |
| Columbus | cmh-zone2-2377 |
Cologix COL1 | |
| us-central1 (Iowa) | Council Bluffs | cbf-zone1-575 |
Data center in Nebraska (1623 Farnam) |
| Council Bluffs | cbf-zone2-575 |
Data center in Nebraska (1623 Farnam) | |
| us-south1 (Dallas) | Dallas | dfw-zone1-4 |
Equinix Dallas (DA1) |
| Dallas | dfw-zone2-4 |
Equinix Dallas (DA1) | |
| us-west1 (Oregon) | Portland | pdx-zone1-1922 |
EdgeConneX Portland (EDCPOR01) |
| Portland | pdx-zone2-1922 |
EdgeConneX Portland (EDCPOR01) | |
| us-west2 (Los Angeles) | Los Angeles | lax-zone1-8 |
Equinix Los Angeles (LA1) |
| Los Angeles | lax-zone2-8 |
Equinix Los Angeles (LA1) | |
| Los Angeles | lax-zone1-19 |
CoreSite - LA1 - One Wilshire | |
| Los Angeles | lax-zone2-19 |
CoreSite - LA1 - One Wilshire | |
| Los Angeles | lax-zone1-403 |
Digital Realty LAX (600 West 7th) | |
| Los Angeles | lax-zone2-403 |
Digital Realty LAX (600 West 7th) | |
| Los Angeles | lax-zone1-333 |
Equinix LA3/LA4 - Los Angeles, El Segundo | |
| Los Angeles | lax-zone2-333 |
Equinix LA3/LA4 - Los Angeles, El Segundo | |
| us-west3 (Salt Lake City) | Salt Lake City | slc-zone1-99001 |
Slogan allineato (SLC-01) |
| Salt Lake City | slc-zone2-99001 |
Slogan allineato (SLC-01) | |
| us-west4 (Las Vegas) | Las Vegas | las-zone1-770 |
Cambia Las Vegas |
| Las Vegas | las-zone2-770 |
Cambia Las Vegas |
Passaggi successivi
- Scopri di più sui prodotti Google Cloud utilizzati in questa guida alla progettazione:
- Per altre architetture di riferimento, diagrammi e best practice, esplora il Cloud Architecture Center.
Collaboratori
Autori:
- Haider Witwit | Customer Engineer
- Bhavin Desai | Product manager
Altri collaboratori:
- Ashwin Gururaghavendran | Ingegnere informatico
- Percy Wadia | Group Product Manager
- Daniel Lees | Cloud Security Architect
- Marquis Carroll | Consulente
- Michele Chubirka | Consulente per la sicurezza cloud