本文档提供了配置指南,帮助您 Google Cloud 在美国 (US) 安全地部署网络政策,使其符合 FedRAMP High 以及美国国防部 (DoD) 影响级别 2 (IL2)、影响级别 4 (IL4) 和影响级别 5 (IL5) 的设计要求。本文档适用于在 Google Cloud上设计和部署网络解决方案的解决方案架构师、网络工程师和安全工程师。下图显示了高度监管的工作负载的着陆区网络设计。
架构
上图中显示的网络设计符合 FedRAMP High 以及 DoD IL2、IL4 和 IL5 的美国合规性框架要求。此架构包括以下组件,本文档稍后会对此进行详细介绍:
- Virtual Private Cloud (VPC):这些 VPC 是全球性的,但您只能在美国区域创建子网。
- 区域级负载均衡器:这些负载均衡器是区域级负载均衡器,而非全球负载均衡器。它们仅支持美国部署。请注意,使用可直接通过互联网访问的外部负载平衡器可能需要通过 DISA 进行额外验证,以确保 IL4 和 IL5 获得 DoD 授权。
- Google Cloud Armor 安全政策:这些政策可与受支持的区域级负载均衡器安全政策搭配使用。
- Private Service Connect、专用 Google 访问通道 (PGA) 和专用服务访问通道 (PSA):这些选项可以启用与区域内 Google 托管式服务的专用连接。您必须通过与您的使用场景相关的选项在该区域内启用对 Google 托管式服务和 API 的专用访问通道。
- 第三方服务:对于第三方提供方-使用方服务,您必须确保提供方服务和传输中的数据均满足您的合规性要求。
- 非生产:根据组织的 VPC 策略预配其他环境,例如非生产、测试和质量保证 (QA)。
使用场景
Assured Workloads 是一个合规性框架,有助于提供支持 FedRAMP High 以及 DoD IL2、IL4 和 IL5 的监管要求所需的安全控制措施。使用 Assured Workloads 进行部署后,您需要负责设置合规且安全的网络政策。如需了解其他合规性应用场景,请参阅 FedRAMP 文档中的在 Google Cloud上托管 FedRAMP Moderate 和 High 工作负载。
本指南的范围仅限于网络组件。您必须根据共担责任模型、FedRAMP 客户责任表、范围内的 Google Cloud 服务、FedRAMP 和 Assured Workloads 准则配置工作负载。如需详细了解如何满足其他服务的合规性要求,请参阅合规性资源中心。 Google Cloud
本文档中提及的服务仅作示例之用。您必须查看合规性计划涵盖的服务,确保为您的工作负载设置正确的合规性级别要求。
超出范围的产品
以下服务不符合 FedRAMP High 或 DoD IL2、IL4 和 IL5 管辖区边界合规性要求:
- 全球外部应用负载均衡器
- 全球 Google Cloud Armor
- 全球外部代理负载均衡器
在开始进行网络设计之前,我们建议您与 Google 支持团队讨论在您的网络中使用这些服务的风险。
设计考虑事项
本部分介绍了适合采用本文档中所述配置的设计注意事项。
使用 Assured Workloads
对于具有数据主权和驻留要求的法规(例如 FedRAMP High 以及 DoD IL4 和 IL5),您必须使用 Assured Workloads 来满足 Google Cloud 基于合规性的要求。 Google Cloud 如需了解这些原则是否适用于 Google Cloud上的合规性计划,我们建议您在设计阶段的早期查看 Assured Workloads 概览。您负责配置自己的网络和 IAM 政策。
您必须配置 Assured Workloads 文件夹,并设置相应的合规性计划。在这种情况下,请将相应的合规性计划设置为 FedRAMP
High
或 IL2, IL4, IL5
。此文件夹提供组织内的监管边界以识别受监管的数据类型。默认情况下,此文件夹下的任何项目都将继承在 Assured Workloads 文件夹级层设置的安全性和合规性安全措施。Assured Workloads 会根据您使用资源限制组织政策服务选择的合规性计划,限制您可以为这些资源选择的区域。
区域一致性
您必须使用一个或多个美国 Google 区域来支持本指南范围内的合规性计划。请注意,FedRAMP High 以及 DoD IL4 和 IL5 的一般要求是将数据保留在美国地理边界内。如需了解您可以添加的区域,请参阅 Assured Workloads 位置。
产品级合规性
您有责任确认产品或服务支持您的应用场景的相应数据主权和驻留要求。在购买或使用目标合规性计划时,您还必须遵循用于满足适用的合规性要求的每种产品的以下指南。Assured Workloads 会设置可修改的组织政策,其中包含时间点资源使用限制政策,该政策反映了符合所选合规性框架的服务。
部署
为了帮助您满足合规性要求,我们建议您遵循本部分中针对个别网络服务的准则。
Virtual Private Cloud 网络配置
您必须进行以下 Virtual Private Cloud 配置:
- 子网:在区域一致性中引用的美国区域中创建子网。Assured Workloads 会应用政策来限制在其他位置创建子网。
- 防火墙规则:您必须将 VPC 防火墙规则配置为仅允许或拒绝通向 VPC 网络中虚拟机实例的连接或从中发起的连接。
Private Service Connect 配置
Private Service Connect 是 Google Cloud 网络的一项功能,允许使用方从其 VPC 网络内部以私密方式访问托管式服务。
Private Service Connect 类型(Private Service Connect 端点和 Private Service Connect 后端)支持本文档中描述的控制措施(如果配置有区域级负载平衡器)。我们建议您应用下表中所述的配置详细信息:
Private Service Connect 类型 | 支持的负载均衡器 | 法规遵从状态 |
---|---|---|
Google API 的 Private Service Connect 端点 | 不适用 | 不受支持 |
Google API 的 Private Service Connect 后端 |
|
与以下任一区域级负载均衡器搭配使用时合规:
|
已发布服务的 Private Service Connect 端点 |
|
合规 |
已发布服务的 Private Service Connect 后端 |
|
与以下区域级负载均衡器一起使用时合规:
|
数据包镜像
数据包镜像是一项 VPC 功能,可帮助您保持合规性。数据包镜像可捕获所有流量和数据包数据(包括载荷和标头),并将其转发到目标收集器进行分析。数据包镜像会继承 VPC 合规性状态。
Cloud Load Balancing
Google Cloud 提供不同类型的负载平衡器,如应用负载平衡器概览中所述。对于此架构,您必须使用区域级负载均衡器。
Cloud DNS
您可以使用 Cloud DNS 来帮助您满足合规性要求。Cloud DNS 是 Google Cloud 中的托管式 DNS 服务,它支持专用转发区域、对等互连区域、反向查找区域和 DNS 服务器政策。 Google Cloud Cloud DNS 公开区域不符合 FedRAMP High 以及 DoD IL2、IL4 或 IL5 控制的要求。
Cloud Router
Cloud Router 是一种区域级产品,您可以为 Cloud VPN、Cloud Interconnect 和 Cloud NAT 进行配置。您只能在美国区域配置 Cloud Router。创建或修改 VPC 网络时,可以将动态路由模式设置为区域级或全球级。如果启用全球路由模式,则必须将自定义通告模式配置为仅包含美国网络。
Cloud NAT
Cloud NAT 是一种区域级托管式 NAT 产品,可用于为没有外部 IP 地址的专用资源启用对互联网的出站访问权限。您只能在具有关联 Cloud Router 组件的美国区域配置 Cloud NAT 网关。
Cloud VPN
您必须使用位于美国境内的 Cloud VPN 端点。确保您的 VPN 网关配置为仅在正确的美国区域使用,如区域一致性中所述。我们建议您对 Cloud VPN 使用高可用性 VPN 类型。对于加密,您只能使用符合 FIPS 140-2 的加密方式来创建证书和配置 IP 地址安全性。如需详细了解 Cloud VPN 中支持的加密方式,请参阅支持的 IKE 加密方式。如需了解如何选择符合 FIPS 140-2 标准的加密方式,请参阅已通过 FIPS 140-2 验证。进行配置后,您将无法更改Google Cloud中的现有加密。请确保在第三方设备上配置与 Cloud VPN 相同的加密方式。
Google Cloud Armor
Google Cloud Armor 是一项 DDoS 攻击缓解和应用保护服务。使用向互联网公开的工作负载有助于防范对 Google Cloud 客户部署的 DDoS 攻击。适用于区域级外部应用负载平衡器的 Google Cloud Armor 旨在为区域级负载均衡工作负载提供相同的保护和功能。由于 Google Cloud Armor Web 应用防火墙 (WAF) 使用区域级范围,因此您的配置和流量位于创建资源的区域中。您必须创建区域级后端安全政策,并将其附加到区域范围的后端服务。新的区域级安全政策只能应用于同一区域中区域级范围的后端服务,并在区域内存储、评估和强制执行。对于通过网络负载均衡器(或协议转发)转发规则或直接通过公共 IP 公开的虚拟机公开给互联网的工作负载,适用于网络负载均衡器和虚拟机的 Google Cloud Armor 为其扩展了 Google Cloud Armor DDoS 防护。如需启用此防护,您必须配置高级网络 DDoS 攻击防护。
专用互连
如需使用专用互连,您的网络必须在受支持的对接网点处以物理方式连接到 Google 网络。对接网点提供商在您的网络与 Google Edge 入网点之间提供 10G 或 100G 线路。您只能在为 Google Cloud 美国区域提供服务的美国境内的对接网点中使用 Cloud Interconnect。
使用合作伙伴 Cloud Interconnect 时,您必须咨询服务提供商,以确认其位置在美国境内并连接到本部分稍后列出的某个 Google Cloud 美国位置。
默认情况下,通过 Cloud Interconnect 发送的流量未加密。如果要对通过 Cloud Interconnect 发送的流量进行加密,您可以配置通过 Cloud Interconnect 实现的 VPN 或 MACsec。
如需查看支持的区域和对接网点的完整列表,请参阅下表:
后续步骤
- 详细了解 Google Cloud 本设计指南中使用的各产品:
- 如需查看更多参考架构、图表和最佳实践,请浏览云架构中心。
贡献者
作者:
- Haider Witwit | 客户工程师
- Bhavin Desai | 产品经理
其他贡献者:
- Ashwin Gururagughndran | 软件工程师
- Percy Wadia | 组合产品经理
- Daniel Lees | 云安全架构师
- Marquis Carroll | 顾问
- Michele Chubirka | 云安全技术推广工程师