Google Cloud supporta il Dipartimento della Difesa e le organizzazioni partner che devono soddisfare i requisiti dei dati IL5 nelle Google Cloud regioni degli Stati Uniti. L'appliance air-gapped Google Distributed Cloud (GDC) deve soddisfare i requisiti IL5 definiti nella Guida ai requisiti di sicurezza per il cloud computing del Dipartimento della Difesa (DoD) degli Stati Uniti (SRG). Le indicazioni di configurazione fornite in questa pagina aiutano i clienti regolamentati a eseguire il deployment di carichi di lavoro regolamentati IL5 sull'appliance di Google Distributed Cloud con air gap. Questo documento illustra anche come configurare l'appliance GDC air-gapped per funzionare con il servizio Assured Workloads di Google Cloud, il cloud di community software-defined IL5.
Approccio di configurazione dell'appliance GDC con air gap Impact Level 5
A differenza di una piattaforma cloud aziendale, i clienti del Dipartimento della Difesa hanno la custodia esclusiva dell'hardware fisico dell'appliance e dei dati archiviati. L'appliance è anche una piattaforma single-tenant, che garantisce l'isolamento di calcolo e archiviazione in conformità con la sezione 5.2.2.3 della SRG e la sezione 5.2.4.1 della SRG.
Quando utilizzano Google Cloud in modalità connessa, i clienti devono anche assicurarsi che il loro ambiente Google Cloud sia configurato per IL5 utilizzando Assured Workloads.
Rispettare la conformità
I clienti dell'appliance air-gap GDC devono utilizzare le unità di cui è stato eseguito il deployment in conformità con le linee guida IL5.
Accesso e autorizzazione
Gestisci il provider di identità: i clienti del Dipartimento della Difesa hanno due opzioni per configurare un provider di identità:
- Utilizza il provider di identità Keycloak preinstallato e configura Keycloak in modo che sia conforme. Google fornisce una panoramica dettagliata di tutte le impostazioni che devono essere configurate dai clienti del Dipartimento della Difesa in conformità alle loro norme e al DoD SRG, come le norme relative alle password, l'autenticazione a due fattori, la gestione dei certificati, le soglie dei tentativi di accesso, la registrazione dei log di controllo e la gestione iniziale dell'account amministratore.
- Esegui l'integrazione con un provider di identità esistente e configuralo in modo che sia conforme alle norme governative e ai requisiti SRG del Dipartimento della Difesa.
Concedi e revoca l'accesso: i clienti del Dipartimento della Difesa devono gestire l'accesso ai cluster all'interno dei loro dispositivi, nonché ai carichi di lavoro cloud. I clienti sono inoltre responsabili di revisioni periodiche dell'accesso per gli account utente.
- Gestisci l'accesso ai cluster: i clienti del Dipartimento della Difesa sono responsabili della gestione dell'accesso IO/PA/AO ai cluster.
- Gestisci l'accesso alle risorse del progetto: i clienti del Dipartimento della Difesa sono responsabili della gestione dell'accesso PA/AO alle risorse del progetto.
Gestisci identità di servizio: I clienti del Dipartimento della Difesa devono gestire in modo sicuro le identità di servizio e seguire il principio del privilegio minimo per tutti i service account concedendo solo i ruoli minimi necessari per funzionare. I clienti sono inoltre responsabili delle revisioni periodiche dell'accesso per i service account.
Ruota le credenziali e i certificati: i clienti sono responsabili della rotazione delle credenziali e dei certificati predefiniti, della rotazione periodica delle credenziali e dei certificati e della rotazione delle credenziali e dei certificati quando si sospetta una compromissione. Ciò include, a titolo esemplificativo: appliance di rete, chiavi di archiviazione degli oggetti, certificati TLS, chiavi di crittografia del disco, e chiavi di autenticazione dell'archiviazione.
Archiviazione e crittografia
Chiavi di crittografia gestite dal cliente (CMEK): i clienti sono responsabili della gestione delle chiavi per la crittografia del disco basata su Linux Unified Key Setup (LUKS) dell'appliance utilizzando le YubiKey fornite. I clienti sono tenuti a rimuovere le YubiKey per il trasporto, etichettarle in base alla classificazione e spedirle separatamente.
Utilizzo del volume di archiviazione: i clienti sono responsabili del monitoraggio dell'utilizzo dello spazio di archiviazione delle loro appliance, incluso lo spazio di archiviazione dei log di controllo. Gli appliance hanno una capacità di quindi è importante monitorare quando è necessario un trasferimento di dati a un data center.
Logging
L'appliance GDC air-gapped fornisce più origini di logging pronte all'uso per soddisfare i requisiti di conformità. I clienti sono responsabili dell'archiviazione centralizzata, della gestione della conservazione dei log e delle revisioni periodiche dei log.
Configura un server di log centrale: i clienti devono configurare un server di log centrale per la conservazione a lungo termine. Google consiglia vivamente di scrivere i log in un bucket di archiviazione WORM nell'organizzazione del data center air-gappedGoogle Cloud GDC IL5 o IL6 del cliente per garantire che i log siano disponibili se un'appliance viene persa, danneggiata o distrutta. L'appliance dispone anche di uno spazio di archiviazione integrato limitato che potrebbe non essere sufficiente per i requisiti di archiviazione a lungo termine. I log di offboarding richiedono periodicamente una certa connettività, che può variare in disponibilità a seconda delle esigenze operative o delle norme dell'organizzazione.
Esegui il backup dei log di controllo: i clienti devono eseguire il backup dei log di controllo per garantire il ripristino e la ricostituzione in seguito a eventuali guasti catastrofici.
Configura il logging per i job di trasferimento dei log: i clienti devono configurare log e avvisi per i job di trasferimento dei log. In questo modo, i clienti vengono avvisati quando un trasferimento dei log non riesce.
Crea regole di avviso personalizzate: I clienti devono configurare regole di avviso personalizzate per gli indicatori di compromissione definiti a livello organizzativo.
Eseguire query e visualizzare i log e avvisi: i clienti sono tenuti a esaminare periodicamente i log e gli avvisi. I clienti possono utilizzare la funzionalità di monitoraggio dell'appliance o sfruttare la propria soluzione SIEM dal server di log centralizzato. I clienti devono configurare dashboard per facilità d'uso e per identificare più facilmente gli indicatori di compromissione definiti dall'organizzazione.
Networking
Configura il firewall (configurazione iniziale): i clienti devono configurare il firewall dell'appliance durante la configurazione iniziale per garantire che le comunicazioni di origine e di destinazione siano esplicitamente consentite, se necessario. Il criterio predefinito non consente alcuna comunicazione esterna.
NTP: (configurazione iniziale) i clienti devono configurare le appliance in modo che utilizzino un'origine ora approvata dal Dipartimento della Difesa. Internamente, l'interruttore dell'apparecchio è il riferimento temporale. Lo switch deve fare riferimento a un'origine ora sulla rete del cliente.
Gestisci la conformità della rete interna: Ruota i certificati e le credenziali ogni 90 giorni.
Configura i criteri di rete per i carichi di lavoro delle VM: Google fornisce criteri di rete predefiniti che sono di tipo deny-by-default all'interno dei progetti e dei carichi di lavoro delle VM. I clienti sono responsabili della configurazione dei criteri di rete per esercitare il privilegio minimo nel proprio ambiente.
Termine sessione: l'appliance termina automaticamente le sessioni dopo 15 minuti.
Gestione delle vulnerabilità (applicazione di patch e analisi)
Aggiorna e applica patch all'appliance: esegui l'aggiornamento mensilmente o in base alle necessità per gli avvisi emessi da Google. I clienti devono fornire a Google un punto di contatto per la sicurezza per questi avvisi nell'ambito dell'onboarding dell'ordine di attività.
Scansione: Google esegue la scansione di un dispositivo di riferimento per rilevare le vulnerabilità e fornire ai clienti patch mensili. I clienti sono responsabili della scansione delle loro appliance nei loro ambienti per garantire la riuscita delle patch e per la consapevolezza situazionale delle vulnerabilità nel loro ambiente.
Protezione dei contenuti multimediali
Contrassegno dei contenuti multimediali: i clienti sono responsabili dell'etichettatura dell'apparecchio e dei dispositivi di output al livello di classificazione appropriato. Google spedisce unità non classificate con unità non classificate e YubiKey vuote. I clienti devono applicare etichette per indicare se un'unità è destinata all'uso con informazioni non classificate controllate, informazioni segrete o altri avvisi.
Gestione dei contenuti multimediali: i clienti sono responsabili della custodia di tutte le informazioni protette, inclusi accesso, utilizzo, archiviazione, trasporto e downgrade dei contenuti multimediali. I clienti hanno il controllo esclusivo dell'accesso fisico agli elettrodomestici e ai contenuti multimediali. Quando vengono utilizzate le YubiKey, i clienti devono trattare le chiavi allo stesso livello di classificazione dell'appliance. Durante il trasporto, le YubiKey devono essere rimosse dall'appliance e conservate o spedite separatamente.
Sanitizzazione dei supporti: i clienti sono responsabili della sanitizzazione dei supporti, inclusa la rimozione e la sanitizzazione o la distruzione delle unità, se necessario. I clienti devono rimuovere le unità e le YubiKey prima di rispedire le unità appliance a Google per la manutenzione. Se le unità vengono rimosse, le stesse aspettative di gestione dei media precedentemente descritte si applicano fino a quando le unità non vengono sanificate o distrutte.