Google Cloud unterstützt das US-Verteidigungsministerium und Partnerorganisationen, die IL5-Datenanforderungen in Google Cloud US-Regionen erfüllen müssen. Die Air-Gap-Appliance von Google Distributed Cloud (GDC) muss die IL5-Anforderungen erfüllen, die im Leitfaden für Sicherheitsanforderungen an Cloud Computing (SRG) des US-Verteidigungsministeriums (DoD) definiert sind. Die auf dieser Seite bereitgestellten Konfigurationsanleitungen helfen regulierten Kunden, IL5-konforme Arbeitslasten auf der Google Distributed Cloud-Appliance ohne Internetverbindung bereitzustellen. In diesem Dokument wird auch beschrieben, wie Sie die GDC-Appliance mit Air Gap für die Verwendung mit dem Assured Workloads-Dienst von Google Cloud, der IL5 Software Defined Community Cloud, konfigurieren.
Konfigurationsansatz für GDC-Air-Gap-Appliance mit Impact Level 5
Im Gegensatz zu einer Enterprise-Cloud-Plattform haben DoD-Kunden die alleinige Verwahrung der physischen Hardware ihres Geräts und der darauf gespeicherten Daten. Die Appliance ist auch eine Single-Tenant-Plattform, die sowohl Compute- als auch Storage-Isolation gemäß SRG-Abschnitt 5.2.2.3 und SRG-Abschnitt 5.2.4.1 bietet.
Wenn Kunden Google Cloud in einem verbundenen Modus verwenden, müssen sie auch dafür sorgen, dass ihre Google Cloud -Umgebung für IL5 konfiguriert ist. Dazu müssen sie Assured Workloads nutzen.
Compliance wahren
Kunden mit GDC-Air-Gap-Geräten sollten ihre bereitgestellten Einheiten gemäß den IL5-Richtlinien betreiben.
Zugriff und Autorisierung
Identitätsanbieter verwalten: Kunden des US-Verteidigungsministeriums haben zwei Optionen zum Konfigurieren eines Identitätsanbieters:
- Verwenden Sie den vorinstallierten Keycloak-Identitätsanbieter und konfigurieren Sie Keycloak so, dass die Anforderungen erfüllt werden. Google bietet eine detaillierte Übersicht aller Einstellungen, die von DoD-Kunden gemäß ihren Richtlinien und dem DoD SRG konfiguriert werden müssen, z. B. Passwortrichtlinien, 2‑Faktor-Authentifizierung, Zertifikatsverwaltung, Grenzwerte für Anmeldeversuche, Audit-Logging und Verwaltung des ersten Administratorkontos.
- Integration in einen vorhandenen Identitätsanbieter und Konfiguration gemäß behördlichen Richtlinien und DoD SRG-Anforderungen.
Zugriff gewähren und widerrufen: Kunden des US-Verteidigungsministeriums müssen den Zugriff auf Cluster in ihren Appliances sowie auf Cloud-Arbeitslasten verwalten. Kunden sind auch für regelmäßige Zugriffsüberprüfungen für Nutzerkonten verantwortlich.
- Zugriff auf Cluster verwalten: Kunden des US-Verteidigungsministeriums sind für die Verwaltung des IO-/PA-/AO-Zugriffs auf Cluster verantwortlich.
- Zugriff auf Projektressourcen verwalten: Kunden des US-Verteidigungsministeriums sind für die Verwaltung des PA/AO-Zugriffs auf Projektressourcen verantwortlich.
Dienstidentitäten verwalten:�0x0A>Kunden des US-Verteidigungsministeriums müssen Dienstidentitäten sicher verwalten und das Prinzip der geringsten Berechtigung für alle Dienstkonten einhalten, indem sie nur die für die Funktion erforderlichen Mindestrollen zuweisen. Kunden sind auch für regelmäßige Zugriffsüberprüfungen für Dienstkonten verantwortlich.
Anmeldedaten und Zertifikate rotieren: Kunden sind dafür verantwortlich, Standardanmeldedaten und ‑zertifikate zu rotieren, Anmeldedaten und Zertifikate regelmäßig zu rotieren und Anmeldedaten und Zertifikate zu rotieren, wenn ein Sicherheitsrisiko vermutet wird. Dazu gehören unter anderem Netzwerkgeräte, Objektspeicherschlüssel, TLS-Zertifikate, Festplattenverschlüsselungsschlüssel und Speicherauthentifizierungsschlüssel.
Speicher und Verschlüsselung
Vom Kunden verwaltete Verschlüsselungsschlüssel (Customer-Managed Encryption Keys, CMEK): Kunden sind für die Verwaltung der Schlüssel für die auf Linux Unified Key Setup (LUKS) basierende Laufwerkverschlüsselung der Appliance verantwortlich. Dazu verwenden sie die bereitgestellten YubiKeys. Kunden müssen die YubiKeys für den Transport entfernen, sie entsprechend ihrer Klassifizierung kennzeichnen und separat versenden.
Nutzung des Speichervolumes: Kunden sind dafür verantwortlich, die Speichernutzung ihrer Appliances zu überwachen, einschließlich des Speichers für Audit-Logs. Geräte haben einen begrenzten integrierten Speicher, daher ist es wichtig, zu überwachen, wann eine Datenübertragung zu einem Rechenzentrum erforderlich ist.
Logging
Die GDC-Appliance für Air-Gap-Umgebungen bietet mehrere Logging-Quellen, um Compliance-Anforderungen zu erfüllen. Kunden sind für die zentrale Speicherung, die Verwaltung der Protokollaufbewahrung und die regelmäßige Überprüfung von Protokollen verantwortlich.
Zentralen Logserver einrichten: Kunden müssen einen zentralen Logserver für die langfristige Aufbewahrung einrichten. Google empfiehlt dringend, Protokolle in einen WORM-Storage-Bucket in der IL5-Google Cloud oder IL6-GDC-Organisation des Kunden zu schreiben, um sicherzustellen, dass Protokolle verfügbar sind, wenn ein Gerät verloren geht, beschädigt oder zerstört wird. Das Gerät hat auch einen begrenzten Onboard-Speicher, der möglicherweise nicht für langfristige Speicheranforderungen ausreicht. Für das Offboarding von Logs ist in regelmäßigen Abständen eine Verbindung erforderlich, deren Verfügbarkeit je nach betrieblichen Anforderungen oder Organisationsrichtlinien variieren kann.
Audit-Logs sichern: Kunden müssen Audit-Logs sichern, damit nach einem katastrophalen Ausfall eine Wiederherstellung und Rekonstitution erfolgen kann.
Logging für Logübertragungsjobs einrichten: Kunden müssen Logs und Benachrichtigungen für Logübertragungsjobs einrichten. So werden Kunden benachrichtigt, wenn eine Protokollübertragung fehlschlägt.
Benutzerdefinierte Benachrichtigungsregeln erstellen: Kunden sollten benutzerdefinierte Benachrichtigungsregeln für organisationsdefinierte Indikatoren für Sicherheitsrisiken einrichten.
Logs und Benachrichtigungen abfragen und ansehen: Kunden müssen Logs und Benachrichtigungen regelmäßig überprüfen. Kunden können die Überwachungsfunktion der Appliance oder ihre eigene SIEM-Lösung vom zentralen Protokollserver aus nutzen. Kunden sollten Dashboards einrichten, um die Verwendung zu vereinfachen und organisationsdefinierte Indikatoren für Sicherheitsrisiken leichter zu erkennen.
Netzwerk
Firewall konfigurieren (Ersteinrichtung): Kunden müssen die Appliance-Firewall bei der Ersteinrichtung konfigurieren, um sicherzustellen, dass die Kommunikation zwischen Quelle und Ziel bei Bedarf explizit zugelassen wird. Die Standardrichtlinie lässt keine externe Kommunikation zu.
NTP: (Ersteinrichtung) Kunden müssen Appliances so konfigurieren, dass eine genehmigte DoD-Zeitquelle verwendet wird. Intern ist der Geräteschalter die Zeitreferenz. Der Switch muss auf eine Zeitquelle im Netzwerk des Kunden verweisen.
Compliance des internen Netzwerks verwalten: Zertifikate und Anmeldedaten alle 90 Tage rotieren.
Netzwerkrichtlinien für VM-Arbeitslasten konfigurieren: Google stellt eine Standardnetzwerkrichtlinie bereit, die standardmäßig für Projekte und VM-Arbeitslasten auf „Verweigern“ festgelegt ist. Kunden sind dafür verantwortlich, Netzwerkrichtlinien so zu konfigurieren, dass in ihrer Umgebung das Prinzip der geringsten Berechtigung angewendet wird.
Sitzungsbeendigung: Die Appliance beendet Sitzungen nach 15 Minuten automatisch.
Sicherheitslückenverwaltung (Patchen und Scannen)
Appliance aktualisieren und patchen: Führen Sie monatliche oder bei Bedarf Updates für von Google herausgegebene Empfehlungen durch. Kunden müssen Google im Rahmen des Onboardings für den Arbeitsauftrag einen Sicherheitskontakt für diese Empfehlungen zur Verfügung stellen.
Scannen: Google scannt ein Referenzgerät, um Sicherheitslücken zu erkennen und Kunden monatlich Patches zur Verfügung zu stellen. Kunden sind dafür verantwortlich, ihre Geräte in ihren Umgebungen zu scannen, um sicherzustellen, dass Patches erfolgreich sind, und um sich über Sicherheitslücken in ihrer Umgebung zu informieren.
Medienschutz
Kennzeichnung von Medien: Kunden sind dafür verantwortlich, das Gerät und die Ausgabegeräte mit der entsprechenden Klassifizierungsstufe zu kennzeichnen. Google liefert nicht klassifizierte Geräte mit nicht klassifizierten Laufwerken und leeren Yubikeys aus. Kunden müssen Labels anbringen, um anzugeben, ob eine Einheit für die Verwendung mit Controlled Unclassified Information, Secret Information oder anderen Einschränkungen vorgesehen ist.
Umgang mit Medien: Kunden sind für die Aufbewahrung aller geschützten Informationen verantwortlich, einschließlich des Zugriffs auf Medien, der Verwendung, Speicherung, des Transports und der Herabstufung. Kunden haben die alleinige Kontrolle über den physischen Zugriff auf Geräte und Medien. Wenn Yubikeys verwendet werden, sollten Kunden die Schlüssel auf derselben Klassifizierungsstufe wie das Gerät behandeln. Während des Transports müssen die YubiKeys aus dem Gerät entfernt und separat aufbewahrt oder versendet werden.
Bereinigung von Medien: Kunden sind für die Bereinigung von Medien verantwortlich, einschließlich des Entfernens und Bereinigens oder der Zerstörung von Laufwerken, sofern erforderlich. Kunden müssen Laufwerke und Yubikeys entfernen, bevor sie Appliance-Einheiten zur Wartung an Google zurücksenden. Wenn Laufwerke entfernt werden, gelten bis zur Bereinigung oder Zerstörung der Laufwerke dieselben Erwartungen an die Medienbehandlung wie zuvor beschrieben.