Configura le reti per FedRAMP e DoD in Google Cloud

Questo documento fornisce indicazioni sulla configurazione per aiutarti a eseguire il deployment in modo sicuro delle Google Cloud norme di rete negli Stati Uniti (US) conformi ai requisiti di progettazione per FedRAMP High e Department of Defense (DoD) Impact Level 2 (IL2), Impact Level 4 (IL4) e Impact Level 5 (IL5). Questo documento è destinato a solution architect, network engineer e security engineer che progettano e implementano soluzioni di networking su Google Cloud. Il seguente diagramma mostra una progettazione di rete della zona di destinazione per i workload altamente regolamentati.

Architettura

La progettazione della rete mostrata nel diagramma precedente è in linea con i requisiti del framework di conformità degli Stati Uniti per FedRAMP High e DoD IL2, IL4 e IL5. Questa architettura include i seguenti componenti, descritti in modo più dettagliato più avanti in questo documento:

• Virtual Private Cloud (VPC): questi VPC sono globali, tuttavia devi creare solo subnet nelle regioni degli Stati Uniti.
• Bilanciatori del carico a livello di regione: questi bilanciatori del carico sono a livello di regione, non globale. Supportano solo i deployment negli Stati Uniti. Tieni presente che l'utilizzo di bilanciatori del carico esterni a cui è possibile accedere direttamente da internet potrebbe richiedere una convalida aggiuntiva con la DISA per garantire l'autorizzazione del DoD per IL4 e IL5.
• Policy di sicurezza di Google Cloud Armor: queste policy possono essere utilizzate con le policy di sicurezza del bilanciamento del carico regionali supportate.
• Private Service Connect, accesso privato Google (PGA), e accesso privato ai servizi (PSA): queste opzioni consentono la connettività privata ai servizi gestiti da Google all'interno della regione. Devi abilitare l'accesso privato ai servizi e alle API gestiti da Google all'interno della regione tramite l'opzione pertinente per il tuo caso d'uso.
• Servizi di terze parti: per i servizi di terze parti da producer a consumer, devi assicurarti che sia il servizio di producer sia i dati in transito soddisfino i tuoi requisiti di conformità.
• Non di produzione: esegui il provisioning di altri ambienti come non di produzione, test e controllo qualità in base alla strategia VPC della tua organizzazione.

Caso d'uso

Assured Workloads è un framework di conformità che può aiutarti a fornire i controlli di sicurezza necessari per soddisfare i requisiti normativi per FedRAMP High e DoD IL2, IL4 e IL5. Dopo il deployment con Assured Workloads, è tua responsabilità configurare policy di rete conformi e sicure. Per altri casi d'uso della conformità, consulta Hosting di carichi di lavoro FedRAMP Moderate e High su Google Cloud nella documentazione FedRAMP.

L'ambito di queste indicazioni è limitato ai componenti di rete. Devi configurare i workload in base al modello di responsabilità condivisa, alla matrice delle responsabilità del cliente di FedRAMP, ai servizi Google Cloud inclusi nell'ambito, a FedRAMP e alle linee guida di Assured Workloads. Per saperne di più su come soddisfare i requisiti di conformità per altri servizi Google Cloud , consulta il Centro risorse per la conformità.

I servizi a cui viene fatto riferimento in questo documento sono solo a scopo esemplificativo. Devi esaminare i servizi inclusi nei programmi di conformità per assicurarti i requisiti di livello di conformità corretti per il tuo workload.

Prodotti fuori ambito

I seguenti servizi non soddisfano i requisiti di conformità ai confini giurisdizionali di FedRAMP High o DoD IL2, IL4 e IL5:

• Bilanciatore del carico delle applicazioni esterno globale
• Google Cloud Armor globale
• Bilanciatore del carico proxy esterno globale

Ti consigliamo di discutere con il team di assistenza Google del rischio di utilizzare questi servizi nella tua rete prima di iniziare a progettare la rete.

Considerazioni sulla progettazione

Questa sezione descrive le considerazioni di progettazione per le quali le configurazioni descritte in questo documento sono una scelta appropriata.

Utilizzare Assured Workloads

Devi utilizzare Assured Workloads per soddisfare i requisiti basati sulla conformità su Google Cloud per i regolamenti che prevedono requisiti di sovranità e residenza dei dati, come FedRAMP High e DoD IL4 e IL5. Per capire se questi principi si applicano al tuo programma di conformità su Google Cloud, ti consigliamo di esaminare la panoramica di Assured Workloads nelle prime fasi della progettazione. Sei responsabile della configurazione della tua rete e dei criteri IAM.

Devi configurare una cartella di Assured Workloads e impostare il programma di conformità appropriato. In questo caso, imposta il programma di conformità appropriato su FedRAMP High o IL2, IL4, IL5. Questa cartella fornisce un confine normativo all'interno di un'organizzazione per identificare i tipi di dati regolamentati. Per impostazione predefinita, qualsiasi progetto in questa cartella erediterà i sistemi di protezione per la sicurezza e la conformità impostati a livello di cartella Assured Workloads. Assured Workloads limita le regioni che puoi selezionare per queste risorse in base al programma di conformità scelto utilizzando il servizio criteri dell'organizzazione limitazione delle risorse.

Allineamento regionale

Devi utilizzare una o più regioni Google degli Stati Uniti per supportare i programmi di conformità inclusi in queste linee guida. Tieni presente che FedRAMP High e DoD IL4 e IL5 hanno un requisito generale che prevede che i dati vengano conservati all'interno di un confine geografico degli Stati Uniti. Per scoprire quali regioni puoi aggiungere, consulta Località di Assured Workloads.

Conformità a livello di prodotto

È tua responsabilità verificare che un prodotto o servizio supporti i requisiti di sovranità e residenza dei dati appropriati per il tuo caso d'uso. Quando acquisti o utilizzi il tuo programma di conformità target, devi anche seguire queste linee guida per ogni prodotto che utilizzi per soddisfare i requisiti di conformità applicabili. Assured Workloads configura una policy dell'organizzazione modificabile con una policy di limite di utilizzo delle risorse point-in-time che riflette i servizi conformi al framework di conformità scelto.

Deployment

Per aiutarti a soddisfare i tuoi requisiti di conformità, ti consigliamo di seguire le linee guida riportate in questa sezione per i singoli servizi di rete.

Configurazioni di rete Virtual Private Cloud

Devi apportare le seguenti configurazioni di Virtual Private Cloud:

• Subnet: crea subnet nelle regioni degli Stati Uniti a cui viene fatto riferimento in Allineamento regionale. Assured Workloads applica criteri per limitare la creazione di subnet in altre località.
• Regole firewall: devi configurare le regole firewall VPC per consentire o negare le connessioni solo da o verso le istanze di macchine virtuali (VM) nella tua rete VPC.

Configurazioni di Private Service Connect

Private Service Connect è una funzionalità di Google Cloud networking che consente ai consumer di accedere ai servizi gestiti privatamente dall'interno della propria rete VPC.

Entrambi i tipi di Private Service Connect (endpoint Private Service Connect e backend Private Service Connect) supportano i controlli descritti in questo documento se configurati con bilanciatori del carico regionali. Ti consigliamo di applicare i dettagli di configurazione descritti nella tabella seguente:

Tipo di Private Service Connect	Bilanciatori del carico supportati	Stato di conformità
Endpoint Private Service Connect per le API di Google	Non applicabile	Non supportata
Backend Private Service Connect per le API di Google	Bilanciatore del carico delle applicazioni esterno globale Bilanciatore del carico di rete proxy esterno regionale o bilanciatore del carico delle applicazioni interno Bilanciatore del carico di rete proxy esterno regionale	Conforme se utilizzato con uno dei seguenti bilanciatori del carico regionali: Bilanciatore del carico delle applicazioni esterno o interno regionale Bilanciatore del carico di rete proxy esterno regionale
Endpoint Private Service Connect per servizi pubblicati	Bilanciatore del carico delle applicazioni interno regionale Bilanciatore del carico di rete passthrough interno regionale Bilanciatore del carico di rete proxy esterno regionale	Conforme
Backend di Private Service Connect per servizi pubblicati	Bilanciatore del carico delle applicazioni esterno globale Bilanciatore del carico delle applicazioni esterno o interno regionale Bilanciatore del carico di rete proxy esterno regionale Bilanciatore del carico di rete passthrough interno regionale	Conforme se utilizzato con il seguente bilanciatore del carico regionale: Bilanciatore del carico delle applicazioni esterno o interno regionale Bilanciatore del carico di rete proxy esterno regionale Bilanciatore del carico di rete passthrough interno regionale

Mirroring pacchetto

Mirroring pacchetto è una funzionalità VPC che puoi utilizzare per mantenere la conformità. Mirroring pacchetto acquisisce tutto il traffico e i dati dei pacchetti, inclusi payload e intestazioni, e li inoltra ai raccoglitori di destinazione per l'analisi. Mirroring pacchetto eredita lo stato di conformità del VPC.

Cloud Load Balancing

Google Cloud offre diversi tipi di bilanciatori del carico, come descritto nella panoramica del bilanciatore del carico delle applicazioni. Per questa architettura, devi utilizzare i bilanciatori del carico regionali.

Cloud DNS

Puoi utilizzare Cloud DNS per soddisfare i requisiti di conformità. Cloud DNS è un servizio DNS gestito in Google Cloud che supporta zone di inoltro, zone di peering, zone di ricerca inversa e criteri dei server DNS. Le zone pubbliche Cloud DNS non sono conformi ai controlli FedRAMP High e DoD IL2, IL4 o IL5.

Router Cloud

Cloud Router è un prodotto regionale che puoi configurare per Cloud VPN, Cloud Interconnect e Cloud NAT. Devi configurare router Cloud solo nelle regioni degli Stati Uniti. Quando crei o modifichi una rete VPC, puoi impostare la modalità di routing dinamico su regionale o globale. Se attivi la modalità di routing globale, devi configurare la modalità di pubblicità personalizzata in modo che includa solo le reti statunitensi.

Cloud NAT

Cloud NAT è un prodotto NAT gestito regionale che puoi utilizzare per abilitare l'accesso in uscita a internet per le risorse private senza indirizzi IP esterni. Devi configurare il gateway Cloud NAT solo nelle regioni degli Stati Uniti che hanno il componente router Cloud associato.

Cloud VPN

Devi utilizzare gli endpoint Cloud VPN che si trovano negli Stati Uniti. Assicurati che il gateway VPN sia configurato solo per l'utilizzo nella regione degli Stati Uniti corretta, come descritto in Allineamento regionale. Ti consigliamo di utilizzare il tipo VPN ad alta disponibilità per Cloud VPN. Per la crittografia, devi utilizzare solo cifrari conformi allo standard FIPS 140-2 per creare certificati e configurare la sicurezza dell'indirizzo IP. Per scoprire di più sulle crittografie supportate in Cloud VPN, consulta Tipi di crittografia IKE supportati. Per indicazioni su come selezionare una crittografia conforme agli standard FIPS 140-2, vedi Convalida FIPS 140-2. Dopo aver eseguito una configurazione, non è possibile modificare una crittografia esistente in Google Cloud. Assicurati di configurare la stessa crittografia sull'appliance di terze parti che utilizzi con Cloud VPN.

Cloud Armor

Cloud Armor è un servizio di mitigazione degli attacchi DDoS e di protezione delle applicazioni. Aiuta a proteggere dai attacchi DDoS le implementazioni dei clienti con carichi di lavoro esposti a internet. Google Cloud Cloud Armor per il bilanciatore del carico delle applicazioni esterno regionale è progettato per fornire la stessa protezione e le stesse funzionalità per i carichi di lavoro bilanciati a livello di regione. Poiché i web application firewall (WAF) di Google Cloud Armor utilizzano un ambito regionale, le tue configurazioni e il tuo traffico risiedono nella regione in cui vengono create le risorse. Devi creare policy di sicurezza del backend regionali e collegarle ai servizi di backend con ambito regionale. Le nuove policy di sicurezza regionali possono essere applicate solo ai servizi di backend con ambito regionale nella stessa regione e vengono archiviate, valutate e applicate a livello regionale. Cloud Armor per i bilanciatori del carico di rete e le VM estende la protezione DDoS di Cloud Armor per i carichi di lavoro esposti a internet tramite una regola di forwarding del bilanciatore del carico di rete (o del forwarding del protocollo) o tramite una VM esposta direttamente tramite un IP pubblico. Per abilitare questa protezione, devi configurare la protezione DDoS di rete avanzata.

Dedicated Interconnect

Per utilizzare Dedicated Interconnect, la tua rete deve connettersi fisicamente alla rete Google in una struttura di colocation supportata. Il fornitore della struttura fornisce un circuito da 10 G o 100 G tra la tua rete e un Point of Presence perimetrale di Google. Devi utilizzare Cloud Interconnect solo nelle strutture di collocamento negli Stati Uniti che servono le regioni degli Stati Uniti. Google Cloud

Quando utilizzi Partner Cloud Interconnect, devi consultare il fornitore di servizi per confermare che le sue sedi si trovano negli Stati Uniti e sono connesse a una delle sedi statunitensi elencate più avanti in questa sezione. Google Cloud

Per impostazione predefinita, il traffico inviato tramite Cloud Interconnect non è criptato. Se vuoi criptare il traffico inviato tramite Cloud Interconnect, puoi configurare VPN su Cloud Interconnect o MACsec.

Per l'elenco completo delle regioni e delle sedi di colocation supportate, consulta la seguente tabella:

Regione	Località	Nome della struttura	Struttura
us-east4 (Virginia)	(Ashburn)	iad-zone1-1	Equinix Ashburn (DC1-DC11)
	(Ashburn)	iad-zone2-1	Equinix Ashburn (DC1-DC11)
	(Ashburn)	iad-zone1-5467	CoreSite - Reston (VA3)
	(Ashburn)	iad-zone2-5467	CoreSite - Reston (VA3)
us-east5 (Columbus)	Columbus	cmh-zone1-2377	Cologix COL1
	Columbus	cmh-zone2-2377	Cologix COL1
us-central1 (Iowa)	Council Bluffs	cbf-zone1-575	Nebraska Data Centers (1623 Farnam)
	Council Bluffs	cbf-zone2-575	Nebraska Data Centers (1623 Farnam)
us-south1 (Dallas)	Dallas	dfw-zone1-4	Equinix Dallas (DA1)
	Dallas	dfw-zone2-4	Equinix Dallas (DA1)
us-west1 (Oregon)	Portland	pdx-zone1-1922	EdgeConneX Portland (EDCPOR01)
	Portland	pdx-zone2-1922	EdgeConneX Portland (EDCPOR01)
us-west2 (Los Angeles)	Los Angeles	lax-zone1-8	Equinix Los Angeles (LA1)
	Los Angeles	lax-zone2-8	Equinix Los Angeles (LA1)
	Los Angeles	lax-zone1-19	CoreSite - LA1 - One Wilshire
	Los Angeles	lax-zone2-19	CoreSite - LA1 - One Wilshire
	Los Angeles	lax-zone1-403	Digital Realty LAX (600 West 7th)
	Los Angeles	lax-zone2-403	Digital Realty LAX (600 West 7th)
	Los Angeles	lax-zone1-333	Equinix LA3/LA4 - Los Angeles, El Segundo
	Los Angeles	lax-zone2-333	Equinix LA3/LA4 - Los Angeles, El Segundo
us-west3 (Salt Lake City)	Salt Lake City	slc-zone1-99001	Aligned Salt Lake (SLC-01)
	Salt Lake City	slc-zone2-99001	Aligned Salt Lake (SLC-01)
us-west4 (Las Vegas)	Las Vegas	las-zone1-770	Switch Las Vegas
	Las Vegas	las-zone2-770	Switch Las Vegas

Passaggi successivi

• Scopri di più sui prodotti Google Cloud utilizzati in questa guida alla progettazione:
  • Google Virtual Private Cloud
  • Cloud DNS
  • Cloud NAT
  • Google Load Balancing
  • Cloud Armor
  • Private Service Connect
  • Cloud Interconnect
  • Cloud VPN
• Per ulteriori architetture di riferimento, diagrammi e best practice, esplora il Cloud Architecture Center.

Collaboratori

Autori:

• Haider Witwit | Customer Engineer
• Bhavin Desai | Product Manager

Altri collaboratori:

• Ashwin Gururaghavendran | Software Engineer
• Percy Wadia | Group Product Manager
• Daniel Lees | Cloud Security Architect
• Marquis Carroll | Consulente
• Michele Chubirka | Cloud Security Advocate