Questo documento fornisce indicazioni di configurazione per aiutarti a eseguire in modo sicuro il deployment Google Cloud di criteri di rete negli Stati Uniti (US) conformi ai requisiti di progettazione per FedRAMP High e per il livello di impatto 2 (IL2), il livello di impatto 4 (IL4) e il livello di impatto 5 (IL5) del Dipartimento della difesa (DoD). Questo documento è rivolto a solution architect, network engineer e security engineer che progettano e implementano soluzioni di networking su Google Cloud. Il seguente diagramma mostra un design di rete della landing zone per i workload altamente regolamentati.
Architettura
La progettazione di rete mostrata nel diagramma precedente è in linea con i requisiti del framework di conformità degli Stati Uniti per FedRAMP High e DoD IL2, IL4 e IL5. Questa architettura include i seguenti componenti, descritti in maggiore dettaglio più avanti in questo documento:
- Virtual Private Cloud (VPC): questi VPC sono globali, ma devi solo creare subnet nelle regioni degli Stati Uniti.
- Bilanciatori del carico a livello di regione: questi bilanciatori del carico sono regionali e non globali. Supportano solo i deployment negli Stati Uniti. Tieni presente che l'utilizzo di bilanciatori del carico esterni a cui è possibile accedere direttamente da internet potrebbe richiedere una convalida aggiuntiva con la DISA per garantire l'autorizzazione del DoD per IL4 e IL5.
- Criteri di sicurezza di Google Cloud Armor: questi criteri possono essere utilizzati con i criteri di sicurezza dei bilanciatori del carico regionali supportati.
- Private Service Connect, Accesso privato Google (PGA), e Accesso privato ai servizi (PSA): queste opzioni consentono la connettività privata ai servizi gestiti da Google all'interno della regione. Devi attivare l'accesso privato alle API e ai servizi gestiti da Google all'interno della regione tramite l'opzione pertinente per il tuo caso d'uso.
- Servizi di terze parti: per i servizi di terze parti tra produttore e consumatore, devi assicurarti che sia il servizio del produttore sia i dati in transito soddisfino i tuoi requisiti di conformità.
- Non di produzione: esegui il provisioning di altri ambienti, come non di produzione, di test e di controllo qualità (QA), in conformità con la strategia VPC della tua organizzazione.
Caso d'uso
Assured Workloads è un framework di conformità che può aiutarti a fornire i controlli di sicurezza necessari per supportare i requisiti normativi per FedRAMP High e DoD IL2, IL4 e IL5. Dopo il deployment con Assured Workloads, è tua responsabilità configurare criteri di rete conformi e sicuri. Per altri casi d'uso relativi alla conformità, consulta Hosting di carichi di lavoro FedRAMP Moderate e High su Google Cloud nella documentazione di FedRAMP.
L'ambito di queste indicazioni è limitato ai componenti di rete. Devi configurare i carichi di lavoro in base al modello di responsabilità condivisa, alla matrice delle responsabilità del cliente di FedRAMP, ai servizi Google Cloud inclusi nell'ambito, FedRAMP e alle linee guida di Assured Workloads. Per ulteriori informazioni su come soddisfare i requisiti di conformità per altri Google Cloud servizi, consulta il Centro risorse per la conformità.
I servizi a cui si fa riferimento in questo documento sono solo a scopo di esempio. Devi esaminare i servizi che rientrano nell'ambito dei programmi di conformità per assicurarti che i requisiti relativi al livello di conformità siano corretti per il tuo carico di lavoro.
Prodotti fuori ambito
I seguenti servizi non soddisfano i requisiti di conformità ai confini di giurisdizione di FedRAMP High o DoD IL2, IL4 e IL5:
- Bilanciatore del carico delle applicazioni esterno globale
- Google Cloud Armor a livello globale
- Bilanciatore del carico proxy esterno globale
Ti consigliamo di discutere del rischio di utilizzare questi servizi nella tua rete con il team dell'Assistenza Google prima di iniziare a progettare la rete.
Considerazioni sul design
Questa sezione descrive le considerazioni di progettazione per le quali le configurazioni descritte in questo documento sono una scelta appropriata.
Utilizzare Assured Workloads
Devi utilizzare Assured Workloads per soddisfare i requisiti basati sulla conformità Google Cloud per le normative che prevedono requisiti di sovranità e residenza dei dati, come FedRAMP High e DoD IL4 e IL5. Per capire se questi principi si applicano al tuo programma di conformità su Google Cloud, ti consigliamo di consultare la Panoramica di Assured Workloads nelle prime fasi della fase di progettazione. Sei responsabile della configurazione della tua rete e dei tuoi criteri IAM.
Devi configurare una cartella Assured Workloads e impostare il programma di conformità appropriato. In questo caso, imposta il programma di conformità appropriato su FedRAMP
High o IL2, IL4, IL5. Questa cartella fornisce un confine normativo all'interno di un'organizzazione per identificare i tipi di dati regolamentati. Per impostazione predefinita, qualsiasi progetto all'interno di questa cartella eredita i sistemi di protezione per la sicurezza e la conformità impostati a livello di cartella Assured Workloads.
Assured Workloads limita le regioni che puoi selezionare per queste risorse in base al programma di conformità scelto utilizzando il servizio di criteri dell'organizzazione per la limitazione delle risorse.
Allineamento regionale
Devi utilizzare una o più regioni Google degli Stati Uniti per supportare i programmi di conformità coperti da queste indicazioni. Tieni presente che FedRAMP High e DoD IL4 e IL5 hanno un requisito generale che prevede che i dati vengano conservati all'interno di un confine geografico degli Stati Uniti. Per scoprire quali regioni puoi aggiungere, consulta la sezione Località di Assured Workloads.
Conformità a livello di prodotto
È tua responsabilità verificare che un prodotto o servizio supporti i requisiti di sovranità e residenza dei dati appropriati per il tuo caso d'uso. Quando acquisti o utilizzi il tuo programma di conformità di destinazione, devi anche seguire queste linee guida per ogni prodotto che utilizzi per soddisfare i requisiti di conformità vigenti. Assured Workloads imposta un criterio dell'organizzazione modificabile con un criterio di limitazione dell'utilizzo delle risorse in un determinato momento che riflette i servizi conformi al framework di conformità scelto.
Deployment
Per aiutarti a soddisfare i tuoi requisiti di conformità, ti consigliamo di seguire le linee guida riportate in questa sezione per i singoli servizi di rete.
Configurazioni di rete Virtual Private Cloud
Devi apportare le seguenti configurazioni del virtual private cloud:
- Subnet: crea subnet nelle regioni degli Stati Uniti a cui si fa riferimento in Allineamento regionale. Assured Workloads applica criteri per limitare la creazione di subnet in altre località.
- Regole firewall: devi configurare le regole firewall VPC per consentire o negare le connessioni solo da o verso le istanze di macchine virtuali (VM) nella tua rete VPC.
Configurazioni di Private Service Connect
Private Service Connect è una funzionalità di Google Cloud networking che consente ai consumer di accedere ai servizi gestiti in modo privato dall'interno della loro rete VPC.
Entrambi i tipi di Private Service Connect (endpoint Private Service Connect e backend Private Service Connect) supportano i controlli descritti in questo documento se configurati con bilanciatori del carico regionali. Ti consigliamo di applicare i dettagli di configurazione descritti nella tabella seguente:
| Tipo di Private Service Connect | Bilanciatori del carico supportati | Stato di conformità |
|---|---|---|
| Endpoint di Private Service Connect per le API di Google | Non applicabile | Non supportata |
| Backend di Private Service Connect per le API di Google |
|
Conforme se utilizzato con uno dei seguenti bilanciatori del carico a livello di regione:
|
| Endpoint di Private Service Connect per i servizi pubblicati |
|
Conforme |
| Backend di Private Service Connect per i servizi pubblicati |
|
Conforme se utilizzato con il seguente bilanciatore del carico a livello di regione:
|
Mirroring pacchetto
Il mirroring dei pacchetti è una funzionalità VPC che puoi utilizzare per mantenere la conformità. Mirroring pacchetto acquisisce tutto il traffico e i dati dei pacchetti, inclusi payload e intestazioni, e li inoltra ai collector di destinazione per l'analisi. Mirroring pacchetto eredita lo stato di conformità della VPC.
Cloud Load Balancing
Google Cloud offre diversi tipi di bilanciatori del carico, come descritto nella panoramica del bilanciatore del carico delle applicazioni. Per questa architettura, devi utilizzare bilanciatori del carico a livello di regione.
Cloud DNS
Puoi utilizzare Cloud DNS per aiutarti a soddisfare i tuoi requisiti di conformità. Cloud DNS è un servizio DNS gestito Google Cloud che supporta zone di inoltro private, zone di peering, zone di ricerca inversa e criteri dei server DNS. Le zone pubbliche di Cloud DNS non sono conformi ai controlli FedRAMP High e DoD IL2, IL4 o IL5.
Router Cloud
Cloud Router è un prodotto regionale che puoi configurare per Cloud VPN, Cloud Interconnect e Cloud NAT. Devi configurare router Cloud solo nelle regioni degli Stati Uniti. Quando crei o modifichi una rete VPC, puoi impostare la modalità di routing dinamico su regionale o globale. Se attivi la modalità di routing globale, devi configurare la modalità pubblicizzata personalizzata in modo da includere solo le emittenti statunitensi.
Cloud NAT
Cloud NAT è un prodotto NAT gestito a livello di regione che puoi utilizzare per abilitare l'accesso in uscita a internet per le risorse private senza indirizzi IP esterni. Devi configurare il gateway Cloud NAT solo nelle regioni degli Stati Uniti che dispongono del componente router Cloud associato.
Cloud VPN
Devi utilizzare endpoint Cloud VPN situati negli Stati Uniti. Assicurati che il gateway VPN sia configurato solo per l'utilizzo nella regione degli Stati Uniti corretta, come descritto in Allineamento regionale. Ti consigliamo di utilizzare il tipo VPN ad alta disponibilità per Cloud VPN. Per la crittografia, devi utilizzare solo algoritmi di crittografia conformi a FIPS 140-2 per creare i certificati e configurare la sicurezza dell'indirizzo IP. Per scoprire di più sulle chiavi di crittografia supportate in Cloud VPN, consulta Chiavi di crittografia IKE supportate. Per indicazioni su come selezionare un'algoritmo di crittografia conforme agli standard FIPS 140-2, consulta Convalida FIPS 140-2. Dopo aver eseguito una configurazione, non è possibile modificare una crittografia esistente in Google Cloud. Assicurati di configurare lo stesso cifrario sull'appliance di terze parti che utilizzi con Cloud VPN.
Google Cloud Armor
Google Cloud Armor è un servizio di mitigazione degli attacchi DDoS e di protezione delle applicazioni. Aiuta a proteggersi dall'attacco DDoS sui Google Cloud deployment dei clienti con carichi di lavoro esposti a internet. Google Cloud Armor per Bilanciatore del carico delle applicazioni esterno regionale è progettato per fornire le stesse funzionalità e protezione per i carichi di lavoro bilanciati a livello di regione. Poiché i firewall delle applicazioni web (WAF) di Google Cloud Armor utilizzano un ambito regionale, le configurazioni e il traffico si trovano nella regione in cui vengono create le risorse. Devi creare criteri di sicurezza di backend regionali e collegarli ai servizi di backend con ambito regionale. I nuovi criteri di sicurezza regionali possono essere applicati solo ai servizi di backend con ambito regionale nella stessa regione e vengono archiviati, valutati e applicati all'interno della regione. Google Cloud Armor per i bilanciatori del carico di rete e le VM estende la protezione DDoS di Google Cloud Armor per i carichi di lavoro esposti a internet tramite una regola di forwarding del bilanciatore del carico di rete (o del forwarding del protocollo) o tramite una VM esposta direttamente tramite un IP pubblico. Per attivare questa protezione, devi configurare la protezione DDoS di rete avanzata.
Dedicated Interconnect
Per utilizzare Dedicated Interconnect, la tua rete deve connettersi fisicamente alla rete di Google in una struttura di colocation supportata. Il fornitore di servizi fornisce un circuito da 10 G o 100 G tra la tua rete e un punto di presenza Google Edge. Devi utilizzare Cloud Interconnect solo nelle strutture di collocamento all'interno degli Stati Uniti che servono le regioni Google Cloud degli Stati Uniti.
Quando utilizzi Partner Cloud Interconnect, devi rivolgerti al fornitore di servizi per verificare che le sue sedi si trovino negli Stati Uniti e siano collegate a una delle Google Cloud sedi negli Stati Uniti elencate di seguito in questa sezione.
Per impostazione predefinita, il traffico inviato tramite Cloud Interconnect non è criptato. Se vuoi criptare il traffico inviato tramite Cloud Interconnect, puoi configurare la VPN su Cloud Interconnect o MACsec.
Per l'elenco completo delle regioni e delle co-localizzazioni supportate, consulta la tabella seguente:
| Regione | Località | Nome della struttura | Struttura |
|---|---|---|---|
| us-east4 (Virginia) | (Ashburn) | iad-zone1-1 |
Equinix Ashburn (DC1-DC11) |
| (Ashburn) | iad-zone2-1 |
Equinix Ashburn (DC1-DC11) | |
| (Ashburn) | iad-zone1-5467 |
CoreSite - Reston (VA3) | |
| (Ashburn) | iad-zone2-5467 |
CoreSite - Reston (VA3) | |
| us-east5 (Columbus) | Columbus | cmh-zone1-2377 |
Cologix COL1 |
| Columbus | cmh-zone2-2377 |
Cologix COL1 | |
| us-central1 (Iowa) | Council Bluffs | cbf-zone1-575 |
Data center in Nebraska (1623 Farnam) |
| Council Bluffs | cbf-zone2-575 |
Data center in Nebraska (1623 Farnam) | |
| us-south1 (Dallas) | Dallas | dfw-zone1-4 |
Equinix Dallas (DA1) |
| Dallas | dfw-zone2-4 |
Equinix Dallas (DA1) | |
| us-west1 (Oregon) | Portland | pdx-zone1-1922 |
EdgeConneX Portland (EDCPOR01) |
| Portland | pdx-zone2-1922 |
EdgeConneX Portland (EDCPOR01) | |
| us-west2 (Los Angeles) | Los Angeles | lax-zone1-8 |
Equinix Los Angeles (LA1) |
| Los Angeles | lax-zone2-8 |
Equinix Los Angeles (LA1) | |
| Los Angeles | lax-zone1-19 |
CoreSite - LA1 - One Wilshire | |
| Los Angeles | lax-zone2-19 |
CoreSite - LA1 - One Wilshire | |
| Los Angeles | lax-zone1-403 |
Digital Realty LAX (600 West 7th) | |
| Los Angeles | lax-zone2-403 |
Digital Realty LAX (600 West 7th) | |
| Los Angeles | lax-zone1-333 |
Equinix LA3/LA4 - Los Angeles, El Segundo | |
| Los Angeles | lax-zone2-333 |
Equinix LA3/LA4 - Los Angeles, El Segundo | |
| us-west3 (Salt Lake City) | Salt Lake City | slc-zone1-99001 |
Aligned Salt Lake (SLC-01) |
| Salt Lake City | slc-zone2-99001 |
Aligned Salt Lake (SLC-01) | |
| us-west4 (Las Vegas) | Las Vegas | las-zone1-770 |
Switch Las Vegas |
| Las Vegas | las-zone2-770 |
Switch Las Vegas |
Passaggi successivi
- Scopri di più sui Google Cloud prodotti utilizzati in questa guida di progettazione:
- Per altre architetture di riferimento, diagrammi e best practice, visita il Centro architetture di Google Cloud.
Collaboratori
Autori:
- Haider Witwit | Customer Engineer
- Bhavin Desai | Product Manager
Altri collaboratori:
- Ashwin Gururaghavendran | Software Engineer
- Percy Wadia | Group Product Manager
- Daniel Lees | Cloud Security Architect
- Marquis Carroll | Consulente
- Michele Chubirka | Cloud Security Advocate