這份文件提供設定指引,協助您在美國安全地部署 Google Cloud 網路政策,符合 FedRAMP High 和美國國防部 (DoD) 影響等級 2 (IL2)、影響等級 4 (IL4) 和影響等級 5 (IL5) 的設計要求。本文適用於在 Google Cloud上設計及部署網路解決方案的解決方案架構師、網路工程師和安全工程師。下圖顯示高度管制工作負載的登陸區網路設計。
架構
上圖所示的網路設計符合 FedRAMP High,以及 DoD IL2、IL4 和 IL5 的美國法規架構要求。這個架構包含下列元件,本文後續內容將詳細說明:
- 虛擬私有雲 (VPC):這些 VPC 屬於全域性質,但您只能在美國區域中建立子網路。
- 區域性負載平衡器:這些負載平衡器是區域性的,而非全域。且僅支援在美國境內部署。請注意,如果使用可直接透過網際網路存取的外部負載平衡器,可能需要透過 DISA 進行額外驗證,確保符合 IL4 和 IL5 的 DoD 授權。
- Google Cloud Armor 安全性政策:這些政策可搭配支援的區域負載平衡器安全性政策使用。
- Private Service Connect、Private Google Access (PGA) 和私人服務連線 (PSA):這些選項可讓您在區域內私下連線至 Google 代管服務。您必須透過適用於您用途的選項,在區域內啟用對 Google 管理服務和 API 的私人存取權。
- 第三方服務:如果是第三方生產者/消費者服務,請務必確保生產者服務和傳輸中的資料符合法規遵循規定。
- 非實際生產環境:根據貴機構的 VPC 策略,佈建其他環境,例如非實際生產環境、測試環境和品質保證 (QA) 環境。
用途
Assured Workloads 是一項法規遵循架構,可協助您提供必要的安全控管機制,以符合 FedRAMP 高影響等級和美國國防部 IL2、IL4 和 IL5 的法規要求。使用 Assured Workloads 部署後,您有責任設定符合規定且安全的網路政策。如需其他合規用途,請參閱 FedRAMP 說明文件中的「在 Google Cloud 託管 FedRAMP 中等風險和高等風險工作負載 Google Cloud」。
本指南的範圍僅限於網路元件。您必須根據共同責任模式、FedRAMP 客戶責任表、範圍內 Google Cloud 服務、FedRAMP 和 Assured Workloads 指南來設定工作負載。如要進一步瞭解如何遵守其他 Google Cloud 服務的法規,請參閱法規遵循資源中心。
本文提及的服務僅供參考。您必須詳閱法規遵循計畫適用的服務,確保工作負載符合正確的法規遵循等級要求。
不適用的產品
下列服務不符合 FedRAMP 高影響等級,或 DoD IL2、IL4 和 IL5 管轄範圍法規遵循要求:
- 全域外部應用程式負載平衡器
- 全球 Google Cloud Armor
- 全域外部 Proxy 負載平衡器
建議您在開始設計網路前,先與 Google 支援團隊討論在網路中使用這些服務的風險。
設計注意事項
本節說明設計考量,以及本文所述的設定是否為適當選擇。
使用 Assured Workloads
如要符合法規遵循規定,您必須使用 Assured Workloads,以滿足資料主權和落地規定,例如 FedRAMP 高等風險、DoD IL4 和 IL5。 Google Cloud 如要瞭解這些原則是否適用於 Google Cloud上的法規遵循計畫,建議您在設計階段初期查看「Assured Workloads 總覽」。您必須負責設定自己的網路和 IAM 政策。
您必須設定 Assured Workloads資料夾,並設定適當的法規遵循計畫。在這種情況下,請將適當的法規遵循計畫設為 FedRAMP
High
或 IL2, IL4, IL5
。這個資料夾提供機構內的法規界線,可識別受監管的資料類型。根據預設,這個資料夾下的所有專案都會繼承在 Assured Workloads 資料夾層級設定的安全性和法規遵循防護機制。Assured Workloads 會根據您透過資源限制機構政策服務選擇的法規遵循計畫,限制您可為資源選取的區域。
區域一致性
您必須使用一或多個美國 Google 區域,才能支援本指南涵蓋的法規遵循計畫。請注意,FedRAMP 高等風險和 DoD IL4 和 IL5 的一般規定是資料必須保留在美國境內。如要瞭解可新增的區域,請參閱「Assured Workloads 位置」。
產品層級的法規遵循
您有責任確認產品或服務是否支援您用途適用的資料主權和落地規定。購買或使用目標法規遵循計畫時,您也必須遵守下列指南,確保使用的每項產品符合適用的法規遵循規定。Assured Workloads 會設定可修改的機構政策,並在特定時間點採用資源用量限制政策,反映符合所選法規遵循架構的服務。
部署作業
為協助您滿足法規遵循要求,建議您按照本節的個別網路服務指南操作。
虛擬私有雲網路設定
您必須進行下列虛擬私有雲設定:
- 子網路:在「區域對齊」一節中提及的美國區域建立子網路。Assured Workloads 會套用政策,限制在其他位置建立子網路。
- 防火牆規則:您必須設定 VPC 防火牆規則,只允許或拒絕與 VPC 網路中的虛擬機器 (VM) 執行個體建立連線。
Private Service Connect 設定
Private Service Connect 是 Google Cloud 網路功能,可讓消費者從虛擬私有雲網路內部,以私密方式存取代管服務。
使用區域負載平衡器設定時,Private Service Connect 類型 (Private Service Connect 端點和 Private Service Connect 後端) 皆支援本文所述的控制項。建議您套用下表所述的設定詳細資料:
Private Service Connect 類型 | 支援的負載平衡器 | 法規遵循狀態 |
---|---|---|
Google API 的 Private Service Connect 端點 | 不適用 | 不支援 |
適用於 Google API 的 Private Service Connect 後端 |
|
與下列任一區域負載平衡器搭配使用時,即符合規定:
|
已發布服務的 Private Service Connect 端點 |
|
符合規定 |
已發布服務的 Private Service Connect 後端 |
|
與下列區域負載平衡器搭配使用時,即符合規範:
|
封包鏡像
封包鏡像是虛擬私有雲功能,可協助您維持法規遵循狀態。封包鏡像作業會擷取所有流量和封包資料,包括酬載和標頭,並轉送至目標收集器進行分析。封包鏡像會沿用虛擬私有雲的法規遵循狀態。
Cloud Load Balancing
Google Cloud 提供不同類型的負載平衡器,如「應用程式負載平衡器總覽」一文所述。對於這個架構,您必須使用區域性負載平衡器。
Cloud DNS
您可以使用 Cloud DNS 協助您滿足法規遵循要求。Cloud DNS 是代管 DNS 服務,支援私有 Google Cloud 轉送區域、對等互連區域、反向查詢區域和 DNS 伺服器政策。Cloud DNS 公開區域不符合 FedRAMP High 和 DoD IL2、IL4 或 IL5 控制項。
Cloud Router
Cloud Router 是區域產品,可供您設定 Cloud VPN、Cloud Interconnect 和 Cloud NAT。您只能在美國區域設定 Cloud Router。建立或編輯 VPC 網路時,您可以將動態轉送模式設為地區性或全球性。如果啟用全域路由模式,您必須將自訂通告模式設為僅包含美國聯播網。
Cloud NAT
Cloud NAT 是一種區域性代管 NAT 產品,可用於為沒有外部 IP 位址的私人資源啟用網際網路連出存取權。您只能在具有相關聯 Cloud Router 元件的美國區域中,設定 Cloud NAT 閘道。
Cloud VPN
您必須使用位於美國境內的 Cloud VPN 端點。請確認 VPN 閘道僅設定為在正確的美國區域使用,如「區域一致性」一文所述。建議您使用 高可用性 VPN 類型的 Cloud VPN。如要加密,您只能使用符合 FIPS 140-2 規範的密碼建立憑證,以及設定 IP 位址安全性。如要進一步瞭解 Cloud VPN 支援的加密方式,請參閱「支援的 IKE 加密方式」。如要瞭解如何選取符合 FIPS 140-2 標準的密碼,請參閱「通過 FIPS 140-2 驗證」。設定完成後,您就無法在Google Cloud中變更現有密碼。請務必在與 Cloud VPN 搭配使用的第三方設備上,設定相同的加密方式。
Cloud Armor
Cloud Armor 是 DDoS 緩解和應用程式防護服務,有助於防範針對客戶部署項目發動的 DDoS 攻擊,這些部署項目會將工作負載暴露在網際網路上。 Google Cloud Cloud Armor 適用於區域性外部應用程式負載平衡器,可為區域性負載平衡工作負載提供相同的保護和功能。由於 Google Cloud Armor 網頁應用程式防火牆 (WAF) 使用區域範圍,因此設定和流量會位於建立資源的區域。您必須建立區域後端安全性政策,並將其附加至區域範圍的後端服務。新的區域安全性政策只能套用至相同區域的區域範圍後端服務,且會在該區域內儲存、評估及強制執行。網路負載平衡器和 VM 適用的 Cloud Armor,可透過網路負載平衡器 (或通訊協定轉送) 轉送規則,或透過直接公開的 VM,為暴露於網際網路的工作負載提供 Cloud Armor DDoS 防護。如要啟用這項防護功能,請設定進階網路分散式阻斷服務防護功能。
專屬互連網路
如要使用專屬互連網路,您的網路必須在支援的主機代管機房中,透過實體方式連線至 Google 網路。主機代管服務供應商會在您的網路和 Google 邊緣服務點之間提供 10G 或 100G 電路。您只能在美國境內的主機代管服務供應商使用 Cloud Interconnect,且這些服務供應商必須服務 Google Cloud 美國區域。
使用 Partner Cloud Interconnect 時,請務必諮詢服務供應商,確認其位置位於美國境內,且連線至本節稍後列出的 Google Cloud 美國位置。
根據預設,透過 Cloud Interconnect 傳送的流量不會經過加密。如要加密透過 Cloud Interconnect 傳送的流量,可以設定採用 Cloud Interconnect 的 VPN 或 MACsec。
如需支援的區域和主機代管服務完整清單,請參閱下表:
區域 | 位置 | 設施名稱 | 服務供應商 |
---|---|---|---|
us-east4 (維吉尼亞州) | 阿什本 | iad-zone1-1 |
Equinix Ashburn (DC1-DC11) |
阿什本 | iad-zone2-1 |
Equinix Ashburn (DC1-DC11) | |
阿什本 | iad-zone1-5467 |
CoreSite - Reston (VA3) | |
阿什本 | iad-zone2-5467 |
CoreSite - Reston (VA3) | |
us-east5 (哥倫布) | 哥倫布 | cmh-zone1-2377 |
Cologix COL1 |
哥倫布 | cmh-zone2-2377 |
Cologix COL1 | |
us-central1 (愛荷華州) | 康索布魯夫 | cbf-zone1-575 |
內布拉斯加州資料中心 (1623 Farnam) |
康索布魯夫 | cbf-zone2-575 |
內布拉斯加州資料中心 (1623 Farnam) | |
us-south1 (達拉斯) | 達拉斯 | dfw-zone1-4 |
Equinix Dallas (DA1) |
達拉斯 | dfw-zone2-4 |
Equinix Dallas (DA1) | |
us-west1 (奧勒岡州) | 波特蘭 | pdx-zone1-1922 |
EdgeConneX Portland (EDCPOR01) |
波特蘭 | pdx-zone2-1922 |
EdgeConneX Portland (EDCPOR01) | |
us-west2 (洛杉磯) | 洛杉磯 | lax-zone1-8 |
Equinix Los Angeles (LA1) |
洛杉磯 | lax-zone2-8 |
Equinix Los Angeles (LA1) | |
洛杉磯 | lax-zone1-19 |
CoreSite - LA1 - One Wilshire | |
洛杉磯 | lax-zone2-19 |
CoreSite - LA1 - One Wilshire | |
洛杉磯 | lax-zone1-403 |
Digital Realty LAX (600 West 7th) | |
洛杉磯 | lax-zone2-403 |
Digital Realty LAX (600 West 7th) | |
洛杉磯 | lax-zone1-333 |
Equinix LA3/LA4 - 洛杉磯,埃爾塞貢多 | |
洛杉磯 | lax-zone2-333 |
Equinix LA3/LA4 - 洛杉磯,埃爾塞貢多 | |
us-west3 (鹽湖城) | 鹽湖城 | slc-zone1-99001 |
Aligned Salt Lake (SLC-01) |
鹽湖城 | slc-zone2-99001 |
Aligned Salt Lake (SLC-01) | |
us-west4 (拉斯維加斯) | 拉斯維加斯 | las-zone1-770 |
Switch Las Vegas |
拉斯維加斯 | las-zone2-770 |
Switch Las Vegas |
後續步驟
- 進一步瞭解本設計指南中使用的 Google Cloud 產品:
- 如需更多參考架構、圖表和最佳做法,請瀏覽 Cloud 架構中心。
貢獻者
作者:
- Haider Witwit | 客戶工程師
- Bhavin Desai | 產品經理
其他貢獻者:
- Ashwin Gururaghavendran | 軟體工程師
- Percy Wadia | 產品群經理
- Daniel Lees | 雲端安全架構師
- Marquis Carroll | 顧問
- Michele Chubirka | 雲端安全防護倡議代表