Este documento fornece orientações de configuração para ajudar você a implantar com segurança as políticas de rede do Google Cloud nos Estados Unidos (EUA) que cumprem os requisitos de design para o FedRAMP High e o Departamento de Defesa (DoD) de nível de impacto 2 (IL2), Nível 4 de impacto (IL4) e Nível 5 de impacto (IL5). Este documento é destinado a arquitetos de soluções, engenheiros de rede e engenheiros de segurança que projetam e implantam soluções de rede no Google Cloud. O diagrama a seguir mostra um design de rede de zona de destino para cargas de trabalho altamente regulamentadas.
Arquitetura
O design da rede mostrado no diagrama anterior está alinhado aos requisitos do framework de conformidade dos EUA para FedRAMP High e DoD IL2, IL4 e IL5. Essa arquitetura inclui os seguintes componentes, descritos em mais detalhes posteriormente neste documento:
- Nuvem privada virtual (VPC): essas VPCs são globais. No entanto, você só precisa criar sub-redes em regiões dos EUA.
- Balanceadores de carga regionais: são regionais, não globais. Eles aceitam apenas implantações nos EUA.
- Políticas de segurança do Google Cloud Armor: podem ser usadas com políticas de segurança do balanceador de carga regional com suporte.
- Private Service Connect, Acesso privado do Google (PGA) e Acesso a serviços particulares (PSA, na sigla em inglês): essas opções ativam a conectividade particular com os serviços gerenciados do Google na região. Ative o acesso particular aos serviços gerenciados e às APIs do Google na região usando a opção relevante para seu caso de uso.
- Serviços de terceiros: no caso dos serviços de produtor/consumidor terceirizados, é preciso garantir que tanto o serviço do produtor quanto os dados em trânsito atendam aos seus requisitos de compliance.
- Não produção: provisione outros ambientes, como controles de qualidade (QA, na sigla em inglês) e não produção, de acordo com a estratégia de VPC da organização.
Caso de uso
O Assured Workloads é um framework de conformidade que pode ajudar a fornecer os controles de segurança necessários para atender aos requisitos regulatórios de FedRAMP High e DoD IL2, IL4 e IL5. Após implantar com o Assured Workloads, você será responsável por configurar políticas de rede seguras e em conformidade. Para outros casos de uso de conformidade, consulte Como hospedar cargas de trabalho moderadas e altas do FedRAMP no Google Cloud na documentação do FedRAMP.
O escopo desta orientação é limitado a componentes de rede. É preciso configurar as cargas de trabalho de acordo com o modelo de responsabilidade compartilhada, a Matriz de responsabilidade do cliente do FedRAMP, os serviços do Google Cloud no escopo, FedRAMP e as diretrizes do Assured Workloads. Para mais informações sobre como atender aos requisitos de conformidade de outros serviços do Google Cloud, consulte a Central de recursos de compliance.
Produtos fora do escopo
Os seguintes serviços não atendem aos requisitos de conformidade de limites jurisdicionais FedRAMP High ou DoD IL2, IL4 e IL5:
- Balanceador de carga de aplicativo externo global
- Google Cloud Armor global
- Balanceador de carga de proxy externo global
- Cloud CDN e Media CDN
- Network Intelligence Center
Recomendamos que você discuta o risco de usar esses serviços na sua rede com a equipe de suporte do Google antes de começar a fazer o design da rede.
Considerações sobre o design
Esta seção descreve considerações de design para as quais as configurações descritas neste documento são uma escolha adequada.
Usar Assured Workloads
Use o Assured Workloads para atender aos requisitos baseados em conformidade no Google Cloud para regulamentações que têm requisitos de soberania de dados e de residência, como FedRAMP High e DoD IL4 e IL5. Para entender se esses princípios se aplicam ao seu programa de conformidade no Google Cloud, recomendamos que você leia a Visão geral do Assured Workloads nos estágios iniciais da fase de design. Você é responsável por configurar sua própria rede e políticas do IAM.
É preciso configurar uma pasta do Assured Workloads e definir o programa de conformidade apropriado. Nesse caso, defina o programa de compliance apropriado como FedRAMP
High ou IL2, IL4, IL5. A pasta fornece um limite regulatório em uma organização para identificar tipos de dados regulamentados. Por padrão, qualquer projeto
nessa pasta herdará as proteções de segurança e conformidade definidas no
nível da pasta do Assured Workloads.
O Assured Workloads restringe as regiões que podem ser selecionadas para
esses recursos com base no programa de conformidade escolhido usando o
serviço de políticas da organização de
restrição de recursos.
Alinhamento regional
Use uma ou mais das regiões do Google nos EUA para oferecer suporte aos programas de conformidade no escopo desta orientação. O FedRAMP High, o DoD IL4 e o IL5 têm um requisito geral de que os dados sejam mantidos dentro de um limite geográfico dos EUA. Para saber quais regiões você pode adicionar, consulte Locais do Assured Workloads.
Compliance no nível do produto
Você é responsável por confirmar se um produto ou serviço atende aos requisitos adequados de soberania de dados e residência para seu caso de uso. Ao comprar ou usar seu programa de compliance desejado, você também precisa seguir estas diretrizes para cada produto usado para atender aos requisitos de conformidade aplicáveis. O Assured Workloads configura uma política da organização modificável com uma política de restrição de uso de recursos pontual que reflete os serviços que estão em compliance com o framework de compliance escolhido.
Deployment
Para atender aos requisitos de compliance, recomendamos que você siga as diretrizes desta seção para serviços de rede individuais.
Configurações de rede da nuvem privada virtual
É preciso fazer as seguintes configurações de nuvem privada virtual:
- Sub-redes: crie sub-redes nas regiões dos EUA mencionadas no Alinhamento regional. O Assured Workloads aplica políticas para restringir a criação de sub-redes em outros locais.
- Regras de firewall: é preciso configurar regras de firewall da VPC para permitir ou negar conexões somente para ou de instâncias de máquina virtual (VM) na sua rede VPC.
Configurações do Private Service Connect
O Private Service Connect é um recurso da rede do Google Cloud que permite que consumidores acessem serviços gerenciados de maneira particular na rede VPC deles.
Os dois tipos do Private Service Connect (endpoints e back-ends do Private Service Connect) oferecem suporte aos controles descritos neste documento quando configurados com balanceadores de carga regionais. Recomendamos que você aplique os detalhes de configuração descritos na tabela a seguir:
| Tipo do Private Service Connect | Balanceadores de carga com suporte | Status de compliance |
|---|---|---|
| Endpoints do Private Service Connect para APIs do Google | Não relevante | Sem suporte |
| Back-ends do Private Service Connect para APIs do Google |
|
Em conformidade quando usado com um dos seguintes balanceadores de carga
regionais:
|
| Endpoints do Private Service Connect para serviços publicados |
|
Em compliance |
| Back-ends do Private Service Connect para serviços publicados |
|
Em conformidade quando usado com o seguinte balanceador de carga regional:
|
Espelhamento de pacotes
O Espelhamento de pacotes é um recurso de VPC que pode ser usado para ajudar a manter a conformidade. O Espelhamento de pacotes captura todo o tráfego e dados de pacote, incluindo payloads e cabeçalhos, e os encaminha aos coletores de destino para análise. O recurso Espelhamento de pacotes herda o status de compliance da VPC.
Cloud Load Balancing
O Google Cloud oferece diferentes tipos de balanceadores de carga, conforme descrito em Visão geral do balanceador de carga de aplicativo. Nesta arquitetura, é preciso usar balanceadores de carga regionais.
Cloud DNS
É possível usar o Cloud DNS para atender aos requisitos de conformidade. O Cloud DNS é um serviço de DNS gerenciado no Google Cloud que oferece suporte a zonas de encaminhamento particulares, zonas de peering, zonas de pesquisa reversa e políticas de servidor DNS. As zonas públicas do Cloud DNS não estão em conformidade com os controles FedRAMP High e DoD IL2, IL4 ou IL5.
Cloud Router
O Cloud Router é um produto regional que pode ser configurado para o Cloud VPN, o Cloud Interconnect e o Cloud NAT. Só é preciso configurar o Cloud Router em regiões dos EUA. Ao criar ou editar uma rede VPC, é possível definir o modo de roteamento dinâmico como regional ou global. Se você ativar o modo de roteamento global, precisará configurar divulgações de rota personalizadas para incluir apenas redes dos EUA.
Cloud NAT
O Cloud NAT é um produto NAT gerenciado regional que pode ser usado para permitir o acesso de saída à Internet para recursos privados sem endereços IP externos. Só é necessário configurar o gateway do Cloud NAT em regiões dos EUA que têm o componente do Cloud Router associado.
Cloud VPN
É necessário usar endpoints do Cloud VPN localizados nos EUA. Verifique se o gateway da VPN está configurado apenas para uso na região correta dos EUA, conforme descrito em Alinhamento regional. Recomendamos que você use o tipo de VPN de alta disponibilidade para o Cloud VPN. Para criptografia, use apenas criptografias compatíveis com FIPS 140-2 para criar certificados e configurar a segurança do endereço IP. Para saber mais sobre as criptografias compatíveis com o Cloud VPN, consulte Criptografias IKE aceitas. Para orientações sobre como selecionar uma criptografia que esteja em conformidade com os padrões FIPS 140-2, consulte Comprovação do FIPS 140-2. Depois de fazer uma configuração, não é possível alterar uma criptografia no Google Cloud. Configure a mesma criptografia no dispositivo de terceiros que você usa com o Cloud VPN.
Google Cloud Armor
O Google Cloud Armor é um serviço de mitigação de DDoS e proteção de aplicativos. Ele ajuda na proteção contra ataques DDoS nas implantações de clientes do Google Cloud com cargas de trabalho expostas à Internet. O Google Cloud Armor para balanceador de carga de aplicativo externo regional foi projetado para fornecer a mesma proteção e recursos para cargas de trabalho regionais com balanceamento de carga. Como os firewalls de aplicativos da Web (WAF, na sigla em inglês) do Google Cloud Armor usam um escopo regional, suas configurações e tráfego residem na região em que os recursos são criados. É preciso criar políticas de segurança de back-end regionais e anexá-las a serviços de back-end com escopo regional. As novas políticas de segurança regional só podem ser aplicadas a serviços de back-end com escopo regional na mesma região e são armazenadas, avaliadas e aplicadas na região. O Google Cloud Armor para balanceadores de carga de rede e VMs estende a proteção contra DDoS do Google Cloud Armor para cargas de trabalho expostas à Internet por meio de uma regra de encaminhamento de balanceador de carga de rede (ou encaminhamento de protocolo) ou por uma VM diretamente exposta por um IP público. Para ativar essa proteção, é necessário configurar a proteção avançada contra DDoS de rede.
Interconexão dedicada
Para usar a Interconexão dedicada, sua rede precisa se conectar fisicamente à rede do Google em uma instalação de colocation com suporte. O fornecedor da instalação fornece um circuito de 10 ou 100 G entre sua rede e um ponto de presença do Google Edge. Use o Cloud Interconnect somente em instalações de colocation nos EUA que atendem às regiões do Google Cloud nos EUA.
Ao usar o Partner Cloud Interconnect, você precisa consultar o provedor de serviços para confirmar se as unidades dele estão nos EUA e estão conectadas a um dos locais do Google Cloud nos EUA listados posteriormente nesta seção.
Por padrão, o tráfego enviado pelo Cloud Interconnect não é criptografado. Se você quiser criptografar o tráfego enviado pelo Cloud Interconnect, configure VPN por Cloud Interconnect ou MACsec.
Confira a lista completa de regiões e colocais compatíveis na tabela a seguir:
| Região | Local | Nome do remetente | Instalação |
|---|---|---|---|
| us-east4 (Virgínia) | Ashburn | iad-zone1-1 |
Equinix Ashburn (DC1-DC11) |
| Ashburn | iad-zone2-1 |
Equinix Ashburn (DC1-DC11) | |
| Ashburn | iad-zone1-5467 |
CoreSite - Reston (VA3) | |
| Ashburn | iad-zone2-5467 |
CoreSite - Reston (VA3) | |
| us-east5 (Columbus) | Columbus | cmh-zone1-2377 |
Cologix COL1 |
| Columbus | cmh-zone2-2377 |
Cologix COL1 | |
| us-central1 (Iowa) | Council Bluffs | cbf-zone1-575 |
Nebraska data centers (1623 Farnam) |
| Council Bluffs | cbf-zone2-575 |
Nebraska data centers (1623 Farnam) | |
| us-south1 (Dallas) | Dallas | dfw-zone1-4 |
Equinix Dallas (DA1) |
| Dallas | dfw-zone2-4 |
Equinix Dallas (DA1) | |
| us-west1 (Oregon) | Portland | pdx-zone1-1922 |
EdgeConneX Portland (EDCPOR01) |
| Portland | pdx-zone2-1922 |
EdgeConneX Portland (EDCPOR01) | |
| us-west2 (Los Angeles) | Los Angeles | lax-zone1-8 |
Equinix Los Angeles (LA1) |
| Los Angeles | lax-zone2-8 |
Equinix Los Angeles (LA1) | |
| Los Angeles | lax-zone1-19 |
CoreSite - LA1 - One Wilshire | |
| Los Angeles | lax-zone2-19 |
CoreSite - LA1 - One Wilshire | |
| Los Angeles | lax-zone1-403 |
Digital Realty LAX (600 West 7th) | |
| Los Angeles | lax-zone2-403 |
Digital Realty LAX (600 West 7th) | |
| Los Angeles | lax-zone1-333 |
Equinix LA3/LA4 - Los Angeles, El Segundo | |
| Los Angeles | lax-zone2-333 |
Equinix LA3/LA4 - Los Angeles, El Segundo | |
| us-west3 (Salt Lake City) | Salt Lake City | slc-zone1-99001 |
Aligned Salt Lake (SLC-01) |
| Salt Lake City | slc-zone2-99001 |
Aligned Salt Lake (SLC-01) | |
| us-west4 (Las Vegas) | Las Vegas | las-zone1-770 |
Switch Las Vegas |
| Las Vegas | las-zone2-770 |
Switch Las Vegas |
A seguir
- Saiba mais sobre os produtos do Google Cloud usados neste guia de design:
- Para mais arquiteturas de referência, diagramas e práticas recomendadas, confira a Central de arquitetura do Cloud.
Colaboradores
Autores:
- Haider Witwit | Engenheiro de clientes
- Bhavin Desai | Gerente de produtos
Outros colaboradores:
- Ashwin Gururaghavendran | Engenheiro de software
- Percy Wadia | Gerente de produto do grupo
- Daniel Lees | Arquiteto de segurança do Cloud
- Marquis Carroll | Consultor
- Michele Chubirka | Mediador de segurança na nuvem