Google Cloud est compatible avec le ministère de la Défense et les organisations partenaires qui doivent répondre aux exigences de données IL5 dans les régions Google Cloud américaines. L'appliance Google Distributed Cloud (GDC) isolée doit répondre aux exigences IL5 définies dans le Guide des exigences de sécurité sur le cloud computing du ministère de la Défense des États-Unis (DoD). Les conseils de configuration fournis sur cette page aident les clients soumis à des réglementations à déployer des charges de travail réglementées IL5 sur l'appliance Google Distributed Cloud sous air gap. Ce document explique également comment configurer l'appliance GDC air-gapped pour qu'elle fonctionne avec le service Assured Workloads de Google Cloud, le cloud communautaire défini par logiciel IL5.
Approche de configuration de l'appliance GDC sous air gap de niveau d'impact 5
Contrairement à une plate-forme cloud d'entreprise, les clients du DoD ont la garde exclusive du matériel physique de leur appliance et des données qui y sont stockées. L'appliance est également une plate-forme à locataire unique, qui permet d'isoler le calcul et le stockage conformément aux sections 5.2.2.3 et 5.2.4.1 du SRG.
Lorsqu'ils utilisent Google Cloud en mode connecté, les clients doivent également s'assurer que leur environnement Google Cloud est configuré pour IL5 en utilisant Assured Workloads.
Respecter les règles
Les clients qui utilisent des appliances GDC isolées doivent exploiter leurs unités déployées conformément aux consignes IL5.
Accès et autorisations
Gérer le fournisseur d'identité : les clients du ministère de la Défense disposent de deux options pour configurer un fournisseur d'identité :
- Utilisez le fournisseur d'identité Keycloak préinstallé et configurez-le pour qu'il soit conforme. Google fournit un aperçu détaillé de tous les paramètres que les clients du DoD doivent configurer conformément à leurs règles et au DoD SRG, tels que les règles relatives aux mots de passe, l'authentification à deux facteurs, la gestion des certificats, les seuils de tentatives de connexion, la journalisation des audits et la gestion initiale des comptes administrateur.
- Intégrez un fournisseur d'identité existant et configurez-le pour qu'il soit conforme aux règles gouvernementales et aux exigences du SRG du DoD.
Accorder et révoquer l'accès : les clients du ministère de la Défense doivent gérer l'accès aux clusters dans leurs appliances ainsi qu'aux charges de travail cloud. Les clients sont également responsables des vérifications d'accès périodiques pour les comptes utilisateur.
- Gérer l'accès aux clusters : les clients du ministère de la Défense sont responsables de la gestion de l'accès IO/PA/AO aux clusters.
- Gérer l'accès aux ressources du projet : les clients du ministère de la Défense sont responsables de la gestion de l'accès des PA/AO aux ressources du projet.
Gérer les identités de service : les clients du ministère de la Défense doivent gérer les identités de service de manière sécurisée et suivre le principe du moindre privilège pour tous les comptes de service en n'accordant que les rôles minimaux requis pour fonctionner. Les clients sont également responsables des examens d'accès périodiques pour les comptes de service.
Rotation des identifiants et des certificats : les clients sont responsables de la rotation des identifiants et des certificats par défaut, de la rotation périodique des identifiants et des certificats, et de la rotation des identifiants et des certificats en cas de suspicion de piratage. Cela inclut, sans s'y limiter : les appliances réseau, les clés de stockage d'objets, les certificats TLS, les clés de chiffrement de disque, et les clés d'authentification de stockage.
Stockage et chiffrement
Clés de chiffrement gérées par le client (CMEK) : les clients sont responsables de la gestion des clés pour le chiffrement de disque basé sur Linux Unified Key Setup (LUKS) de l'appliance en utilisant les YubiKeys fournies. Les clients doivent retirer les YubiKeys pour le transport, les étiqueter en fonction de leur classification et les expédier séparément.
Utilisation du volume de stockage : les clients sont responsables de la surveillance de l'utilisation du stockage de leurs appliances, y compris du stockage des journaux d'audit. Les appliances disposent d'un espace de stockage intégré limité :,. Il est donc important de surveiller le moment où un transfert de données vers un centre de données est nécessaire.
Journalisation
L'appliance GDC air-gapped fournit plusieurs sources de journaux prêtes à l'emploi pour répondre aux exigences de conformité. Il incombe aux clients de gérer le stockage centralisé, la conservation des journaux et les examens périodiques des journaux.
Configurer un serveur de journaux central : les clients doivent configurer un serveur de journaux central pour la conservation à long terme. Google recommande vivement d'écrire les journaux dans un bucket de stockage WORM de l'organisation du centre de donnéesGoogle Cloud ou IL6 GDC air-gapped du client pour s'assurer que les journaux sont disponibles si un appareil est perdu, endommagé ou détruit. L'appliance dispose également d'un espace de stockage intégré limité qui peut ne pas être suffisant pour les besoins de stockage à long terme. Les journaux de désintégration nécessitent périodiquement une certaine connectivité, dont la disponibilité peut varier en fonction des besoins opérationnels ou des règles de l'organisation.
Sauvegarder les journaux d'audit : les clients doivent sauvegarder les journaux d'audit pour s'assurer que la récupération et la reconstitution peuvent avoir lieu en cas de défaillance catastrophique.
Configurer la journalisation pour les tâches de transfert de journaux : les clients doivent configurer les journaux et les alertes pour les tâches de transfert de journaux. Cela permet de s'assurer que les clients sont avertis en cas d'échec du transfert de journaux.
Créer des règles d'alerte personnalisées : les clients doivent configurer des règles d'alerte personnalisées pour les indicateurs de compromission définis par l'organisation.
Interroger et afficher les journaux et les alertes : les clients sont tenus d'examiner régulièrement les journaux et les alertes. Les clients peuvent utiliser la fonctionnalité de surveillance de l'appliance ou leur propre solution SIEM à partir du serveur de journaux centralisé. Les clients doivent configurer des tableaux de bord pour faciliter l'utilisation et identifier plus facilement les indicateurs de compromission définis par l'organisation.
Mise en réseau
Configurer le pare-feu (configuration initiale) : les clients doivent configurer le pare-feu de l'appliance lors de la configuration initiale pour s'assurer que les communications source et de destination sont explicitement autorisées lorsque cela est nécessaire. La règle par défaut n'autorise aucune communication externe.
NTP : (configuration initiale) Les clients doivent configurer les appliances pour qu'elles utilisent une source de temps approuvée par le DoD. En interne, le commutateur de l'appareil est la référence temporelle. Le commutateur doit faire référence à une source de temps sur le réseau du client.
Gérer la conformité du réseau interne : alternez les certificats et les identifiants tous les 90 jours.
Configurer des règles de réseau pour les charges de travail de VM : Google fournit une règle de réseau par défaut qui est définie sur "refuser par défaut" dans les projets et les charges de travail de VM. Il incombe aux clients de configurer des règles réseau pour appliquer le principe du moindre privilège dans leur environnement.
Fin de session : l'appliance met fin automatiquement aux sessions après 15 minutes.
Gestion des failles (application de correctifs et analyse)
Mettez à jour et corrigez l'appliance : effectuez des mises à jour mensuelles ou selon les besoins pour les avis émis par Google. Les clients doivent fournir à Google un contact chargé de la sécurité pour ces avis dans le cadre de l'intégration des bons de commande.
Analyse : Google analyse un appareil de référence afin de détecter les failles et de fournir des correctifs aux clients tous les mois. Il incombe aux clients d'analyser leurs appliances dans leurs environnements pour s'assurer que les correctifs fonctionnent et pour être informés des failles de sécurité dans leur environnement.
Protection des contenus multimédias
Marquage des supports : les clients sont responsables de l'étiquetage de l'appareil et des périphériques de sortie au niveau de classification approprié. Google expédie des unités non classifiées avec des lecteurs non classifiés et des YubiKey vierges. Les clients doivent appliquer des libellés pour indiquer si une unité est destinée à être utilisée avec des informations non classifiées contrôlées, des informations secrètes ou d'autres mises en garde.
Gestion des supports : les clients sont responsables de la conservation de toutes les informations protégées, y compris l'accès aux supports, leur utilisation, leur stockage, leur transport et leur déclassement. Les clients contrôlent seuls l'accès physique aux appareils et aux supports. Lorsque des YubiKeys sont utilisées, les clients doivent traiter les clés au même niveau de classification que l'appliance. Pendant le transport, les YubiKey doivent être retirées de l'appliance, puis stockées ou expédiées séparément.
Nettoyage des supports de données : les clients sont responsables du nettoyage des supports de données, y compris de la suppression, du nettoyage ou de la destruction des lecteurs si nécessaire. Les clients doivent retirer les lecteurs et les YubiKey avant de renvoyer les appliances à Google pour maintenance. Si des disques sont retirés, les mêmes attentes concernant la gestion des supports précédemment décrites s'appliquent jusqu'à ce que les disques soient nettoyés ou détruits.