Google Cloud admite al Departamento de Defensa y a las organizaciones asociadas que deben cumplir con los requisitos de datos de IL5 en las regiones de Google Cloud EE.UU. El dispositivo aislado de Google Distributed Cloud (GDC) debe cumplir con los requisitos de IL5 definidos en la Guía de Requisitos de Seguridad (SRG) de computación en la nube del Departamento de Defensa (DoD) de EE.UU.. La guía de configuración que se proporciona en esta página ayuda a los clientes regulados a implementar cargas de trabajo reguladas por IL5 en el dispositivo aislado de Google Distributed Cloud. En este documento, también se explica cómo configurar el dispositivo aislado de GDC para que funcione con el servicio de Cargas de trabajo aseguradas de Google Cloud, la nube comunitaria definida por software de IL5.
Enfoque de configuración del dispositivo aislado de GDC con nivel de impacto 5
A diferencia de una plataforma de nube empresarial, los clientes del DoD tienen la custodia exclusiva del hardware físico de su dispositivo y de los datos almacenados en él. El dispositivo también es una plataforma de un solo arrendatario, que logra el aislamiento del procesamiento y el almacenamiento de acuerdo con la Sección 5.2.2.3 del SRG y la Sección 5.2.4.1 del SRG.
Cuando se usa Google Cloud en un modo conectado, los clientes también deben asegurarse de que su entorno Google Cloud esté configurado para IL5 aprovechando Assured Workloads.
Cumple con las normas
Los clientes de dispositivos aislados de GDC deben operar sus unidades implementadas de acuerdo con los lineamientos del IL5.
Acceso y autorización
Administra el proveedor de identidad: Los clientes del Departamento de Defensa tienen dos opciones para configurar un proveedor de identidad:
- Usa el proveedor de identidad de Keycloak preinstalado y configura Keycloak para que cumpla con los requisitos. Google proporciona una descripción general detallada de todos los parámetros de configuración que los clientes del DoD deben establecer de conformidad con sus políticas y el SRG del DoD, como las políticas de contraseñas, la autenticación de dos factores, la administración de certificados, los umbrales de intentos de acceso, el registro de auditoría y la administración inicial de la cuenta de administrador.
- Integra un proveedor de identidad existente y configúralo para que cumpla con las políticas gubernamentales y los requisitos de SRG del DoD.
Cómo otorgar y revocar acceso: Los clientes del Departamento de Defensa deben administrar el acceso a los clústeres dentro de sus dispositivos, así como a las cargas de trabajo en la nube. Los clientes también son responsables de las revisiones de acceso periódicas para las cuentas de usuario.
- Administra el acceso a los clústeres: Los clientes del Departamento de Defensa son responsables de administrar el acceso de IO/PA/AO a los clústeres.
- Administra el acceso a los recursos del proyecto: Los clientes del Departamento de Defensa son responsables de administrar el acceso de los PA/AO a los recursos del proyecto.
Administra identidades de servicio: Los clientes del Departamento de Defensa deben administrar de forma segura las identidades de servicio y seguir el principio de privilegio mínimo para todas las cuentas de servicio, ya que solo deben otorgar los roles mínimos necesarios para funcionar. Los clientes también son responsables de las revisiones de acceso periódicas para las cuentas de servicio.
Rota las credenciales y los certificados: Los clientes son responsables de rotar las credenciales y los certificados predeterminados, rotar las credenciales y los certificados periódicamente, y rotar las credenciales y los certificados cuando se sospeche de una vulneración. Esto incluye, sin limitaciones, dispositivos de red, claves de almacenamiento de objetos, certificados TLS, claves de encriptación de disco y claves de autenticación de almacenamiento.
Almacenamiento y encriptación
Claves de encriptación administradas por el cliente (CMEK): Los clientes son responsables de administrar las claves para la encriptación de disco basada en Linux Unified Key Setup (LUKS) del dispositivo aprovechando las YubiKeys proporcionadas. Los clientes deben quitar las YubiKeys para transportarlas, etiquetarlas según su clasificación y enviarlas por separado.
Uso del volumen de almacenamiento: Los clientes son responsables de supervisar el uso del almacenamiento de sus dispositivos, incluido el almacenamiento de registros de auditoría. Los dispositivos tienen almacenamiento integrado limitado, por lo que es importante supervisar cuándo se requiere una transferencia de datos a un centro de datos.
Logging
El dispositivo aislado de GDC proporciona varias fuentes de registro listas para usar para cumplir con los requisitos de cumplimiento. Los clientes son responsables del almacenamiento centralizado, la administración de la retención de registros y las revisiones periódicas de los registros.
Configura un servidor de registro central: Los clientes deben configurar un servidor de registro central para la retención a largo plazo. Google recomienda escribir registros en un bucket de almacenamiento WORM en la organización del centro de datos aislado de IL5Google Cloud o IL6 de GDC del cliente para garantizar que los registros estén disponibles si se pierde, daña o destruye un dispositivo. El dispositivo también tiene almacenamiento integrado limitado que podría no ser suficiente para los requisitos de almacenamiento a largo plazo. Los registros de baja requieren periódicamente cierta conectividad, cuya disponibilidad puede variar según las necesidades operativas o la política de la organización.
Copia de seguridad de los registros de auditoría: Los clientes deben crear copias de seguridad de los registros de auditoría para garantizar que se pueda realizar la recuperación y la reconstitución después de cualquier falla catastrófica.
Configura el registro para los trabajos de transferencia de registros: Los clientes deben configurar registros y alertas para los trabajos de transferencia de registros. Esto garantiza que se notifique a los clientes cuando falle una transferencia de registros.
Crea reglas de alerta personalizadas: Los clientes deben configurar reglas de alerta personalizadas para los indicadores de vulneración definidos por la organización.
Consultar y ver registros y alertas: Los clientes deben revisar periódicamente los registros y las alertas. Los clientes pueden usar la capacidad de supervisión del dispositivo o aprovechar su propia solución de SIEM desde el servidor de registros centralizado. Los clientes deben configurar paneles para facilitar el uso y poder identificar más fácilmente los indicadores de vulneración definidos por la organización.
Redes
Configura el firewall (configuración inicial): Los clientes deben configurar el firewall del dispositivo durante la configuración inicial para garantizar que las comunicaciones de origen y destino se permitan de forma explícita cuando sea necesario. La política predeterminada no permitirá ninguna comunicación externa.
NTP: (configuración inicial) Los clientes deben configurar los dispositivos para que usen una fuente de tiempo aprobada por el DoD. Internamente, el interruptor del electrodoméstico es la referencia de tiempo. El conmutador debe hacer referencia a una fuente de tiempo en la red del cliente.
Administra el cumplimiento de la red interna: Rota los certificados y las credenciales cada 90 días.
Configura políticas de red para cargas de trabajo de VM: Google proporciona una política de red predeterminada que se rechaza de forma predeterminada dentro de los proyectos y las cargas de trabajo de VM. Los clientes son responsables de configurar las políticas de red para ejercer el principio de privilegio mínimo en su entorno.
Finalización de la sesión: El dispositivo finaliza las sesiones automáticamente después de 15 minutos.
Administración de vulnerabilidades (aplicación de parches y análisis)
Actualiza y aplica parches al dispositivo: Realiza actualizaciones mensuales o según sea necesario para los avisos emitidos por Google. Los clientes deben proporcionar a Google un punto de contacto de seguridad para estos avisos como parte de la incorporación de la Orden de Tareas.
Análisis: Google analiza un dispositivo de referencia para detectar vulnerabilidades y proporcionar parches a los clientes todos los meses. Los clientes son responsables de analizar sus dispositivos en sus entornos para garantizar que las correcciones se apliquen correctamente y para tener conocimiento de las vulnerabilidades en su entorno.
Protección de medios
Marcado de medios: Los clientes son responsables de etiquetar los dispositivos de salida y los electrodomésticos en el nivel de clasificación adecuado. Google envía unidades sin clasificar con unidades sin clasificar y YubiKeys en blanco. Los clientes deben aplicar etiquetas para indicar si una unidad está diseñada para usarse con información controlada no clasificada, información secreta o cualquier otra advertencia.
Manejo de medios: Los clientes son responsables de mantener la custodia de toda la información protegida, lo que incluye el acceso, el uso, el almacenamiento, el transporte y la degradación de los medios. Los clientes tienen el control exclusivo del acceso físico a los dispositivos y los medios. Cuando se usan Yubikeys, los clientes deben tratar las llaves con el mismo nivel de clasificación que el dispositivo. Durante el transporte, las YubiKeys deben quitarse del dispositivo y almacenarse o enviarse por separado.
Limpieza de medios: Los clientes son responsables de la limpieza de medios, lo que incluye la eliminación y la limpieza o la destrucción de las unidades según sea necesario. Los clientes deben quitar las unidades y las YubiKeys antes de devolver las unidades de appliance a Google para su mantenimiento. Si se quitan las unidades, se aplican las mismas expectativas de manipulación de medios que se describieron anteriormente hasta que se limpien o destruyan las unidades.