Limitazioni e limitazioni per la normativa ITAR
Questa pagina descrive le restrizioni, le limitazioni e altre opzioni di configurazione quando si utilizza il pacchetto di controllo ITAR.
Panoramica
Il pacchetto di controllo ITAR (International Traffic in Arms Regulations) consente il controllo dell'accesso ai dati e le funzionalità di residenza per i servizi Google Cloud nell'ambito di applicazione. Alcune funzionalità di questi servizi sono limitate o limitate da Google per essere compatibili con ITAR. La maggior parte di queste limitazioni e limitazioni viene applicata durante la creazione di una nuova cartella Assured Workloads per ITAR, tuttavia alcune possono essere modificate in un secondo momento modificando i criteri dell'organizzazione. Inoltre, alcune restrizioni e limitazioni richiedono la responsabilità dell'utente in merito all'ottemperanza.
È importante capire in che modo queste limitazioni modificano il comportamento di un determinato servizio Google Cloud o influiscono sull'accesso ai dati o sulla residenza dei dati. Ad esempio, alcune funzionalità o caratteristiche potrebbero essere disabilitate automaticamente per garantire che le limitazioni di accesso ai dati e la residenza dei dati vengano mantenute. Inoltre, la modifica di un'impostazione dei criteri dell'organizzazione potrebbe avere la conseguenza involontaria di copiare i dati da una regione all'altra.
Prerequisiti
Per mantenere la conformità come utente del pacchetto di controllo ITAR, assicurati di soddisfare e rispettare i seguenti prerequisiti:
- Creare una cartella ITAR utilizzando Assured Workloads ed eseguire il deployment dei carichi di lavoro ITAR solo in quella cartella.
- Abilita e utilizza solo servizi ITAR nell'ambito per carichi di lavoro ITAR.
- Non modificare i valori dei vincoli relativi ai criteri dell'organizzazione predefiniti, a meno che tu non comprenda e sia disposto ad accettare i rischi che potrebbero verificarsi in relazione alla residenza dei dati.
- Quando ti connetti agli endpoint dei servizi Google Cloud, devi utilizzare endpoint a livello di regione per i servizi che li offrono. Inoltre:
- Quando ti connetti agli endpoint dei servizi Google Cloud da VM non Google Cloud, ad esempio VM on-premise o di altri cloud provider, devi utilizzare una delle opzioni di accesso privato disponibili che supportano le connessioni a VM non Google Cloud per instradare il traffico non Google Cloud in Google Cloud.
- Per la connessione agli endpoint dei servizi Google Cloud dalle VM Google Cloud, puoi utilizzare una qualsiasi delle opzioni di accesso privato disponibili.
- Quando ti connetti a VM Google Cloud esposte con indirizzi IP esterni, consulta Accedere alle API da VM con indirizzi IP esterni.
- Per tutti i servizi utilizzati in una cartella ITAR, non archiviare i dati tecnici nei seguenti tipi di informazioni sulla configurazione di sicurezza o definite dall'utente:
- Messaggi di errore
- Output console
- Dati degli attributi
- Dati di configurazione del servizio
- Intestazioni dei pacchetti di rete
- Identificatori di risorse
- Etichette dati
- Utilizza solo gli endpoint a livello di regione o località specificati per i servizi che li offrono. Per ulteriori informazioni, consulta i servizi ITAR nell'ambito.
- Valuta la possibilità di adottare le best practice per la sicurezza generali fornite nel Centro best practice per la sicurezza di Google Cloud.
Servizi nell'ambito
I seguenti servizi sono compatibili con ITAR:
- BigQuery
- Google Kubernetes Engine:
- Identity and Access Management (IAM)
- Compute Engine
- Cloud SQL
- Cloud Storage
- Persistent Disk
- Cloud Load Balancing
- Cloud Logging
- Cloud VPN
- Virtual Private Cloud (VPC)
- Controlli di servizio VPC
- Cloud Interconnect
- Router Cloud
- Identity-Aware Proxy
- Network Connectivity Center
- Cloud NAT
- Cloud DNS
- Cloud Key Management Service (Cloud KMS)
- Cloud External Key Manager (Cloud EKM)
- Cloud HSM
Criteri dell'organizzazione
Questa sezione descrive in che modo ogni servizio è interessato dai valori dei vincoli predefiniti dei criteri dell'organizzazione quando le cartelle o i progetti vengono creati utilizzando ITAR. Altri vincoli applicabili, anche se non impostati per impostazione predefinita, possono fornire un'ulteriore"difesa in profondità" per proteggere ulteriormente le risorse Google Cloud della tua organizzazione.
Vincoli dei criteri dell'organizzazione a livello di cloud
I seguenti vincoli dei criteri dell'organizzazione si applicano a qualsiasi servizio Google Cloud applicabile.
| Vincolo dei criteri dell'organizzazione | Descrizione |
|---|---|
gcp.resourceLocations |
Impostato su in:us-locations come voce
dell'elenco allowedValues.Questo valore limita la creazione di nuove risorse solo al gruppo di valori USA. Se questa opzione è configurata, non è possibile creare risorse in altre regioni, in regioni multiple o in località al di fuori degli Stati Uniti. Per ulteriori informazioni, consulta la documentazione relativa ai gruppi di valori dei criteri dell'organizzazione. La modifica di questo valore rendendolo meno restrittivo può compromettere la residenza dei dati, in quanto ne consente la creazione o l'archiviazione al di fuori dei confini di dati degli Stati Uniti. Ad esempio, sostituendo il gruppo di valori in:us-locations con il
gruppo di valori in:northamerica-locations.
|
gcp.restrictNonCmekServices |
Impostato su un elenco di tutti i
nomi dei servizi API nell'ambito,
tra cui:
Ogni servizio elencato richiede chiavi di crittografia gestite dal cliente (CMEK). CMEK garantisce che i dati at-rest siano criptati con una chiave gestita da te, non con i meccanismi di crittografia predefiniti di Google. La modifica di questo valore rimuovendo dall'elenco uno o più servizi nell'ambito potrebbe minare la sovranità dei dati dei dati, poiché i nuovi dati at-rest verranno criptati automaticamente utilizzando le chiavi di Google anziché le tue. I dati at-rest esistenti rimarranno criptati dalla chiave fornita. |
gcp.restrictCmekCryptoKeyProjects |
Imposta tutte le risorse nella cartella ITAR che hai creato. Limita l'ambito delle cartelle o dei progetti approvati che possono fornire chiavi KMS per criptare i dati at-rest utilizzando CMEK. Questo vincolo impedisce alle cartelle o ai progetti non approvati di fornire chiavi di crittografia, contribuendo così a garantire la sovranità dei dati per i servizi at-rest dei servizi nell'ambito. |
gcp.restrictServiceUsage |
Impostala per consentire tutti i servizi nell'ambito. Determina quali servizi possono essere abilitati e utilizzati. Per maggiori informazioni, consulta Limitare l'utilizzo delle risorse per i carichi di lavoro. |
Vincoli dei criteri dell'organizzazione di Compute Engine
| Vincolo dei criteri dell'organizzazione | Descrizione |
|---|---|
compute.disableGlobalLoadBalancing |
Impostalo su True. Disabilita la creazione di prodotti di bilanciamento del carico globale. La modifica di questo valore potrebbe influire sulla residenza dei dati nel carico di lavoro; ti consigliamo di mantenere il valore impostato. |
compute.disableGlobalSelfManagedSslCertificate |
Impostalo su True. Disabilita la creazione di certificati SSL autogestiti globali. La modifica di questo valore potrebbe influire sulla residenza dei dati nel carico di lavoro; ti consigliamo di mantenere il valore impostato. |
compute.disableInstanceDataAccessApis |
Impostalo su True. Disabilita a livello globale le API instances.getSerialPortOutput() e instances.getScreenshot().L'abilitazione di questo criterio dell'organizzazione impedisce di generare le credenziali sulle VM Windows Server. Se hai bisogno di gestire un nome utente e una password su una VM Windows, segui questi passaggi:
|
compute.disableNestedVirtualization |
Impostalo su True. Disabilita la virtualizzazione nidificata con accelerazione hardware per tutte le VM di Compute Engine nella cartella ITAR. La modifica di questo valore potrebbe influire sulla residenza dei dati nel carico di lavoro; ti consigliamo di mantenere il valore impostato. |
compute.enableComplianceMemoryProtection |
Impostalo su True. Disabilita alcune funzionalità di diagnostica interne per fornire ulteriore protezione dei contenuti della memoria in caso di errore dell'infrastruttura. La modifica di questo valore potrebbe influire sulla residenza dei dati nel carico di lavoro; ti consigliamo di mantenere il valore impostato. |
compute.restrictNonConfidentialComputing |
(Facoltativo) Il valore non è impostato. Imposta questo valore per fornire ulteriore difesa in profondità. Per saperne di più, consulta la documentazione di Confidential VM. |
compute.restrictLoadBalancerCreationForTypes |
Imposta questa opzione per autorizzare tutti i valori tranne GLOBAL_EXTERNAL_MANAGED_HTTP_HTTPS. Per saperne di più, consulta
Scegliere un bilanciatore del carico.
|
Vincoli dei criteri dell'organizzazione di Google Kubernetes Engine
| Vincolo dei criteri dell'organizzazione | Descrizione |
|---|---|
container.restrictNoncompliantDiagnosticDataAccess |
Impostalo su True. Utilizzato per disabilitare l'analisi aggregata dei problemi del kernel, necessaria per mantenere il controllo di sovranità di un carico di lavoro. La modifica di questo valore potrebbe influire sulla sovranità dei dati nel carico di lavoro; ti consigliamo di mantenere il valore impostato. |
Funzionalità interessate
Questa sezione elenca in che modo le funzionalità o le capacità di ogni servizio sono interessate dalla ITAR, inclusi i requisiti degli utenti quando viene utilizzata una funzionalità.
Funzionalità di BigQuery
| Selezione delle | Descrizione |
|---|---|
| Attivazione di BigQuery in una nuova cartella | BigQuery è supportato, ma non viene abilitato automaticamente quando crei una nuova cartella
Assured Workloads a causa di un processo di configurazione interno. Di solito, questa procedura termina entro dieci minuti, ma in alcuni casi può richiedere molto più tempo. Per verificare se il processo è stato completato e per abilitare BigQuery, completa questi passaggi:
Al termine del processo di abilitazione, puoi utilizzare BigQuery nella cartella Assured Workloads. |
| Funzionalità non supportate | Le seguenti funzionalità di BigQuery non sono supportate per la conformità ITAR e non devono essere utilizzate nell'interfaccia a riga di comando di BigQuery. È responsabilità del cliente non utilizzarli in BigQuery per i carichi di lavoro ITAR.
|
| Integrazioni non supportate | Le seguenti integrazioni BigQuery non sono supportate per la conformità ITAR. È responsabilità del cliente non utilizzarli con BigQuery per i carichi di lavoro ITAR.
|
| API BigQuery conformi | Le seguenti API BigQuery sono conformi alla normativa ITAR:
|
| Regioni | BigQuery è conforme alla normativa ITAR per tutte le regioni degli Stati Uniti di BigQuery, ad eccezione di quelle multiregionali degli Stati Uniti. La conformità ITAR non può essere garantita se un set di dati viene creato in una multiregione degli Stati Uniti, non statunitense o multiregionale non degli Stati Uniti. È responsabilità del cliente specificare una regione conforme allo standard ITAR durante la creazione dei set di dati BigQuery. Se una richiesta di elenco di dati della tabella viene inviata utilizzando una regione degli Stati Uniti, ma il set di dati è stato creato in un'altra regione degli Stati Uniti, BigQuery non può dedurre quale regione era destinata al cliente e l'operazione non andrà a buon fine e verrà visualizzato il messaggio di errore "Set di dati non trovato". |
| Console Google Cloud | L'interfaccia utente di BigQuery nella console Google Cloud è conforme alla normativa ITAR.
|
| Interfaccia a riga di comando di BigQuery | L'interfaccia a riga di comando di BigQuery è conforme allo standard ITAR.
|
| Google Cloud SDK | Devi utilizzare Google Cloud SDK versione 403.0.0 o successive per mantenere le garanzie di regionalizzazione dei dati per i dati tecnici ITAR. Per verificare la versione attuale di Google Cloud SDK, esegui gcloud --version, quindi gcloud components update per eseguire l'aggiornamento alla versione più recente.
|
| Controlli per gli amministratori | BigQuery disattiverà le API non conformi, ma gli amministratori dei clienti con autorizzazioni sufficienti per creare una cartella di Assured Workloads possono abilitare un'API non conforme. In questo caso, al cliente verrà inviata una notifica di potenziale non conformità tramite la dashboard di monitoraggio di Assured Workloads. |
| Caricamento dei dati | I connettori BigQuery Data Transfer Service per le app SaaS (Software as a Service), i provider di spazio di archiviazione sul cloud esterni e i data warehouse Google non sono conformi alla normativa ITAR. È responsabilità del cliente non utilizzare i connettori BigQuery Data Transfer Service per i carichi di lavoro ITAR. |
| Trasferimenti di terze parti | BigQuery non verifica la conformità ITAR per i trasferimenti di terze parti per BigQuery Data Transfer Service. È responsabilità del cliente verificare la conformità alla normativa ITAR durante l'utilizzo di qualsiasi trasferimento di terze parti per BigQuery Data Transfer Service. |
| Modelli BQML non conformi | I modelli BQML addestrati esternamente non sono conformi alla normativa ITAR. |
| Job di query | I job di query con dati tecnici ITAR devono essere creati solo all'interno dei progetti ITAR. |
| Query su set di dati ITAR da progetti non ITAR | BigQuery non impedisce l'esecuzione di query su set di dati ITAR da
progetti non ITAR. I clienti devono assicurarsi che ogni query con una lettura o un join sui dati tecnici ITAR venga inserita in una cartella conforme a ITAR.
I clienti possono specificare un nome di tabella completo per il risultato della query utilizzando projectname.dataset.table nell'interfaccia a riga di comando di BigQuery. |
| Cloud Logging | BigQuery utilizza Cloud Logging per alcuni dati dei log dei clienti.
I clienti devono disabilitare i propri bucket di logging _default o limitare i bucket _default alle regioni degli Stati Uniti per mantenere la conformità ITAR utilizzando il seguente comando:gcloud alpha logging settings update --organization=ORGANIZATION_ID --disable-default-sinkPer saperne di più, consulta questa pagina. |
Funzionalità di Compute Engine
| Selezione delle | Descrizione |
|---|---|
| Console Google Cloud | Le seguenti funzionalità di Compute Engine non sono disponibili nella console Google Cloud. Utilizza invece l'API o Google Cloud CLI:
|
| VM per soluzioni bare metal | È tua responsabilità non utilizzare le VM Bare Metal Solution (VM o2) perché le VM Bare Metal Solution non sono conformi a ITAR.
|
| VM di Google Cloud VMware Engine | È tua responsabilità non utilizzare le VM di Google Cloud VMware Engine, poiché le VM di Google Cloud VMware Engine non sono conformi alla normativa ITAR.
|
| Creazione di un'istanza VM C3 | Questa funzionalità è disattivata. |
| Utilizzo di dischi permanenti o dei relativi snapshot senza CMEK | Non puoi utilizzare i dischi permanenti o i relativi snapshot a meno che non siano stati criptati tramite CMEK. |
| Creazione di VM nidificate o VM che utilizzano la virtualizzazione nidificata | Non puoi creare VM nidificate o VM che utilizzano la virtualizzazione nidificata. Questa funzionalità è disabilitata dal vincolo del criterio dell'organizzazione compute.disableNestedVirtualization descritto nella sezione precedente.
|
| Aggiunta di un gruppo di istanze a un bilanciatore del carico globale | Non puoi aggiungere un gruppo di istanze a un bilanciatore del carico globale. Questa funzionalità è disabilitata dal vincolo del criterio dell'organizzazione compute.disableGlobalLoadBalancing descritto nella sezione precedente.
|
| Routing delle richieste a un bilanciatore del carico HTTPS esterno multiregionale | Non puoi instradare le richieste a un bilanciatore del carico HTTPS esterno multiregionale. Questa funzionalità è disabilitata dal vincolo del criterio dell'organizzazione compute.restrictLoadBalancerCreationForTypes descritto nella sezione precedente.
|
| Condivisione di un disco permanente SSD in modalità multi-writer | Non puoi condividere un disco permanente SSD in modalità multi-autore tra istanze VM. |
| Sospensione e ripresa di un'istanza VM | Questa funzionalità è disattivata. La sospensione e il ripristino di un'istanza VM richiedono l'archiviazione su disco permanente, mentre l'archiviazione su disco permanente utilizzata per archiviare lo stato della VM sospesa non può essere criptata tramite CMEK. Consulta il vincolo dei criteri dell'organizzazione gcp.restrictNonCmekServices nella sezione precedente per comprendere le implicazioni relative alla residenza dei dati associate all'abilitazione di questa funzionalità.
|
| SSD locali | Questa funzionalità è disattivata. Non potrai creare un'istanza con SSD locali perché non possono essere criptate tramite CMEK. Consulta il vincolo dei criteri dell'organizzazione gcp.restrictNonCmekServices nella sezione precedente per comprendere le implicazioni relative alla residenza dei dati associate all'abilitazione di questa funzionalità.
|
| Ambiente guest |
Gli script, i daemon e i programmi binari inclusi nell'ambiente guest possono accedere a dati at-rest non criptati e in uso.
A seconda della configurazione della VM, gli aggiornamenti di questo software potrebbero essere installati per impostazione predefinita. Consulta
Ambiente guest per informazioni specifiche sui contenuti di ogni pacchetto, sul codice sorgente e altro ancora. Questi componenti ti aiutano a garantire la residenza dei dati attraverso processi e controlli di sicurezza interni. Tuttavia, per gli utenti che vogliono un maggiore controllo, puoi anche organizzare le tue immagini o i tuoi agenti e, facoltativamente, utilizzare il vincolo del criterio dell'organizzazione compute.trustedImageProjects.
Per ulteriori informazioni, consulta la pagina Creare un'immagine personalizzata. |
instances.getSerialPortOutput() |
Questa API è disabilitata. Non potrai ottenere l'output della porta seriale dall'istanza specificata utilizzando questa API. Modifica il valore del vincolo del criterio dell'organizzazione compute.disableInstanceDataAccessApis in False per abilitare questa API. Puoi anche abilitare e utilizzare la porta seriale interattiva seguendo le istruzioni in
questa pagina.
|
instances.getScreenshot() |
Questa API è disabilitata. Non potrai ottenere uno screenshot dall'istanza specificata utilizzando questa API. Modifica il valore del vincolo del criterio dell'organizzazione compute.disableInstanceDataAccessApis in False per abilitare questa API. Puoi anche abilitare e utilizzare la porta seriale interattiva seguendo le istruzioni in
questa pagina.
|
Funzionalità di Cloud DNS
| Selezione delle | Descrizione |
|---|---|
| Console Google Cloud | Le funzionalità di Cloud DNS non sono disponibili nella console Google Cloud. Utilizza l'API o Google Cloud CLI. |
Funzionalità di Cloud Interconnect
| Selezione delle | Descrizione |
|---|---|
| Console Google Cloud | Le funzionalità di Cloud Interconnect non sono disponibili nella console Google Cloud. Utilizza invece l'API o Google Cloud CLI. |
| VPN ad alta disponibilità | Quando utilizzi Cloud Interconnect con Cloud VPN, devi abilitare la funzionalità VPN ad alta disponibilità. Inoltre, devi rispettare i requisiti di crittografia e regionalizzazione elencati in questa sezione. |
Funzionalità di Cloud Load Balancing
| Selezione delle | Descrizione |
|---|---|
| Console Google Cloud | Le funzionalità di Cloud Load Balancing non sono disponibili nella console Google Cloud. Utilizza l'API o Google Cloud CLI. |
| Bilanciatori del carico a livello di regione | Devi utilizzare solo bilanciatori del carico a livello di regione con ITAR. Consulta le pagine seguenti per saperne di più sulla configurazione dei bilanciatori del carico a livello di regione: |
Funzionalità di Cloud Logging
Per utilizzare Cloud Logging con chiavi di crittografia gestite dal cliente (CMEK), devi completare i passaggi nella pagina Abilitare CMEK per un'organizzazione nella documentazione di Cloud Logging.
| Selezione delle | Descrizione |
|---|---|
| Sink di log | Non inserire informazioni sensibili (dati dei clienti) nei filtri sink. I filtri sink vengono trattati come dati di servizio. |
| Voci di log di tailing in tempo reale | Non creare filtri contenenti i dati dei clienti. Una sessione di tailing in tempo reale include un filtro che viene archiviato come configurazione. I log di attesa non archiviano i dati voce di log, ma possono eseguire query e trasmettere dati tra regioni. |
| Avvisi basati su log | Questa funzionalità è disattivata. Non puoi creare avvisi basati su log nella console Google Cloud. |
| URL abbreviati per le query di Esplora log | Questa funzionalità è disattivata. Non puoi creare URL abbreviati delle query nella console Google Cloud. |
| Salvataggio delle query in Esplora log | Questa funzionalità è disattivata. Non puoi salvare le query nella console Google Cloud. |
| Analisi dei log con BigQuery | Questa funzionalità è disattivata. Non puoi utilizzare la funzionalità Analisi dei log. |
Funzionalità di Network Connectivity Center
| Selezione delle | Descrizione |
|---|---|
| Console Google Cloud | Le funzionalità di Network Connectivity Center non sono disponibili nella console Google Cloud. Utilizza invece l'API o Google Cloud CLI. |
Funzionalità di Cloud NAT
| Selezione delle | Descrizione |
|---|---|
| Console Google Cloud | Le funzionalità di Cloud NAT non sono disponibili nella console Google Cloud. Utilizza l'API o Google Cloud CLI. |
Funzionalità dei router Cloud
| Selezione delle | Descrizione |
|---|---|
| Console Google Cloud | Le funzionalità del router Cloud non sono disponibili nella console Google Cloud. Utilizza l'API o Google Cloud CLI. |
Funzionalità di Cloud SQL
| Selezione delle | Descrizione |
|---|---|
| Esportazione in formato CSV in corso... | L'esportazione in formato CSV non è conforme alla normativa ITAR e non deve essere utilizzata. Questa funzionalità è disabilitata nella console Google Cloud. |
executeSql |
Il metodo executeSql dell'API Cloud SQL non è conforme allo standard ITAR e non deve essere utilizzato. |
Funzionalità di Cloud Storage
| Selezione delle | Descrizione |
|---|---|
| Console Google Cloud | Per mantenere la conformità ITAR, è tua responsabilità utilizzare la console Google Cloud per giurisdizione. La console di giurisdizione impedisce il caricamento e il download degli oggetti Cloud Storage. Per caricare e scaricare oggetti Cloud Storage, consulta la riga Endpoint API conformi di seguito. |
| Endpoint API conformi | Devi utilizzare uno degli endpoint localizzabili conformi alla normativa ITAR con Cloud Storage. Gli endpoint di località sono disponibili per tutte le regioni degli Stati Uniti, per la multiregione degli Stati Uniti e per la doppia regione predefinita NAM4.
Gli endpoint località non sono disponibili per due regioni diverse dalla doppia regione NAM4. Consulta questa pagina per ulteriori informazioni sulle località in Cloud Storage.
|
| Limitazioni | Devi utilizzare gli endpoint di località di Cloud Storage per garantire la conformità a ITAR. Per maggiori informazioni sugli endpoint località di Cloud Storage per ITAR, consulta Endpoint di località per conformità ITAR. Le seguenti operazioni non sono supportate dagli endpoint località. Tuttavia, queste operazioni non includono i dati dei clienti come definito nei termini del servizio di residenza dei dati. Pertanto, puoi utilizzare gli endpoint globali per queste operazioni in base alle esigenze, senza violare la conformità ITAR: |
| Copia e riscrivi gli oggetti | Le operazioni di copia e riscrittura per gli oggetti sono supportate dagli endpoint basati sulla località se entrambi i bucket di origine e di destinazione si trovano nella regione specificata nell'endpoint. Tuttavia, non puoi utilizzare endpoint a livello di località per copiare o riscrivere un oggetto da un bucket all'altro se i bucket si trovano in località diverse. È possibile utilizzare gli endpoint globali per copiare o riscrivere tra più località, ma sconsigliamo di farlo perché potrebbero violare la conformità ITAR. |
Funzionalità di GKE
| Selezione delle | Descrizione |
|---|---|
| Limitazioni delle risorse del cluster | Assicurati che la configurazione del cluster non utilizzi risorse per servizi non supportati nel programma di conformità ITAR. Ad esempio, la seguente configurazione non è valida perché richiede l'abilitazione o l'utilizzo di un servizio non supportato:
set `binaryAuthorization.evaluationMode` to `enabled`
|
Funzionalità VPC
| Selezione delle | Descrizione |
|---|---|
| Console Google Cloud | Le funzionalità di networking VPC non sono disponibili nella console Google Cloud. Utilizza l'API o Google Cloud CLI. |
Funzionalità di Cloud VPN
| Selezione delle | Descrizione |
|---|---|
| Console Google Cloud | Le funzionalità di Cloud VPN non sono disponibili nella console Google Cloud. Utilizza invece l'API o Google Cloud CLI. |
| Crittografia | Devi utilizzare solo crittografie conformi a FIPS 140-2 durante la creazione dei certificati e la configurazione della sicurezza IP. Consulta questa pagina per ulteriori informazioni sulle crittografie supportate in Cloud VPN. Per indicazioni sulla scelta di una crittografia conforme agli standard FIPS 140-2, consulta questa pagina. Al momento non è possibile modificare una crittografia esistente in Google Cloud. Assicurati di configurare la crittografia sull'appliance di terze parti utilizzata con Cloud VPN. |
| Endpoint VPN | Devi utilizzare solo endpoint Cloud VPN che si trovano negli Stati Uniti. Assicurati che il gateway VPN sia configurato per l'utilizzo solo in una regione degli Stati Uniti. |
Passaggi successivi
- Scopri di più sul pacchetto di controllo ITAR.
- Scopri quali prodotti sono supportati per ogni pacchetto di controllo.