コンテンツに移動
Cloud
ブログ
お問い合わせ 無料で開始
Cloud
ブログ
お問い合わせ 無料で開始
セキュリティ & アイデンティティ

Assured Workloads を使用して FedRAMP High に対応したネットワークを構築する方法

2024年6月20日
https://storage.googleapis.com/gweb-cloudblog-publish/images/Security_BlogHeader_B_epmyJP1.max-2600x2600_IkKZwmx.jpg
Haider Witwit

Customer Engineer - Networking Specialist, Google Cloud

Neha Chhabra

Product Manager

※この投稿は米国時間 2024 年 6 月 11 日に、Google Cloud blog に投稿されたものの抄訳です。

このたび Google Cloud は、12 の追加の Cloud ネットワーキング サービスを含めた 130 を超えるサービスにおいて、特に機密性の高い未分類データを保護するためのきわめて厳格な標準である FedRAMP High 認定を取得し、米国政府のコンプライアンスにおける大きなマイルストーンを達成しました。お客様が FedRAMP High に対応したネットワーク アーキテクチャを安全にデプロイできるよう支援するために、おすすめのベスト プラクティスをいくつかまとめました。

公共部門のお客様は、Google Cloud の Assured Workloads を使用することで、Google のパブリック クラウド インフラストラクチャで規制対象の FedRAMP High ワークロードを実行できるようになります。米国のデータ ロケーションと担当者のアクセスを制御することによって、Assured Workloads はセキュリティとコンプライアンスを確保するプロセスを簡素化すると同時に、お客様が Google Cloud の柔軟性とイノベーションを活用できるようサポートします。

Google Cloud の FedRAMP High 認定の対象として新たに加わった Cloud ネットワーキング サービスは次のとおりです。

  1. Cloud Router
  2. Cloud NAT
  3. Cloud VPN
  4. Cloud Interconnect
  5. Cloud Load Balancing
  6. Cloud Armor
  7. Cloud IDS
  8. Cloud CDN
  9. Traffic Director
  10. Network Intelligence Center
  11. Network Connectivity Center
  12. Network Service Tiers

FedRAMP High 認定の対象となる Google Cloud サービスの全リストについては、こちらをご覧ください。

Assured Workloads のネットワーク基盤を FedRAMP High に対応するよう構成する方法

まず組織内に Assured Workloads フォルダを作成し、コントロール パッケージを FedRAMP High に設定します。このフォルダは、規制対象データ型を識別するための組織内の境界を提供します。デフォルトで、このフォルダに含まれるプロジェクトはすべて、Assured Workloads によってフォルダレベルで設定されたセキュリティとコンプライアンスのガードレールを継承します。

Assured Workloads フォルダは、FedRAMP High コントロール パッケージに準拠するために、サポート対象の Google Cloud プロダクトにセキュリティ管理を適用します。これらのコントロールには、サポートされているプロダクトのみにリソース使用を限定し、許可されたロケーションでのみリソースの作成または使用を許可する組織ポリシーの設定が含まれます。サービスを設計で使用する前に、FedRAMP High の対象サービスをチェックして、そのサービスが対応していることを必ず確認してください。

次に、リソースをホストするために、Assured Workloads フォルダ内にプロジェクトを新規作成するか、既存のプロジェクトを移行します。必要に応じてサブフォルダを作成することもできます。

https://storage.googleapis.com/gweb-cloudblog-publish/images/FR-D_diagram.max-1100x1100.jpg

FedRAMP High 境界内で対象のサービスを利用するネットワーク ランディング ゾーン ソリューションの例

この図は、FedRAMP High ネットワーク境界のランディング ゾーン ソリューションの例を示しています。これには、次のようないくつかの重要な機能が含まれています。

  1. ハブ アンド スポーク設計で VPC ピアリングを使用して本番環境と非本番環境を分離するために、複数の VPC が使用されています。VPC を使用した設計はグローバルですが、Assured Workloads の制限により、サポート対象の Assured Workloads ロケーション以外にサブネットを作成することはできません。
  2. スポークからスポークへの接続が必要な場合は、VPC ピアリングの推移性の欠如に対処するために VPC スポークタイプの NCC ハブをおすすめします。
  3. 共有 VPC サービス プロジェクトでホストされるウェブ ワークロードと TCP / UDP ワークロードへの外部アクセスを提供するために、Cloud Armor によって保護されたリージョン ロードバランサが使用されています。
  4. Private Service Connect エンドポイントが使用され、GCP マネージド サービスとサードパーティ サービスへのプライベート アクセスが提供されています。

提案された設計を構成する方法に関する詳細なガイダンスについては、Google Cloud で FedRAMP と DoD に準拠したネットワークを構成するをご覧ください。

ー Google Cloud、カスタマー エンジニア - ネットワーキング スペシャリスト Haider Witwit

ー プロダクト マネージャー Neha Chhabra

投稿先
関連記事
https://storage.googleapis.com/gweb-cloudblog-publish/images/DO_NOT_USE_Tdn2Cef.max-700x700.jpg
Security & Identity

Confidential Accelerators による AI ワークロードのセキュリティ強化

執筆者: Joanna Young • 所要時間: 11 分

https://storage.googleapis.com/gweb-cloudblog-publish/images/DO_NOT_USE_Tdn2Cef.max-700x700.jpg
Security & Identity

Cybersecurity Incident Response Services Forrester Wave, Q2 2024 で Google がリーダーに

執筆者: Jennifer Guzzetta • 所要時間: 5 分

https://storage.googleapis.com/gweb-cloudblog-publish/images/DO_NOT_USE_Tdn2Cef.max-700x700.jpg
Security & Identity

AI とサイバーセキュリティの交差に関する最新情報をご紹介する Google Cloud Security Talks にぜひご参加ください

執筆者: Ruchika Mishra • 所要時間: 7 分

https://storage.googleapis.com/gweb-cloudblog-publish/images/DO_NOT_USE_Tdn2Cef.max-700x700.jpg
Security & Identity

Identity-Aware Proxy と Security Command Center を使用して SSH 環境を保護する方法

執筆者: Rahul Ramachandran • 所要時間: 7 分