Google Distributed Cloud エアギャップ アプライアンスの IL5 構成

Google Cloud は、 Google Cloud 米国リージョンで IL5 データ要件を満たす必要がある国防総省とパートナー組織をサポートします。Google Distributed Cloud(GDC)エアギャップ アプライアンスは、米国国防総省(DoD)クラウド コンピューティング セキュリティ要件ガイド(SRG)で定義されている IL5 要件を満たす必要があります。このページで提供する構成ガイダンスは、規制対象のお客様が Google Distributed Cloud のエアギャップ アプライアンスに IL5 規制対象ワークロードをデプロイする際に役立ちます。このドキュメントでは、 Google Cloudの Assured Workloads サービスである IL5 Software Defined Community Cloud で動作するように GDC エアギャップ アプライアンスを構成する方法についても説明します。

GDC エアギャップ アプライアンスの影響レベル 5 の構成アプローチ

エンタープライズ クラウド プラットフォームとは異なり、DoD のお客様はアプライアンスの物理ハードウェアとそこに保存されているデータを単独で管理します。このアプライアンスはシングルテナント プラットフォームでもあり、SRG セクション 5.2.2.3SRG セクション 5.2.4.1 に従って、コンピューティングとストレージの両方の分離を実現します。

接続モードで Google Cloud を使用する場合、お客様は Assured Workloads を活用して、 Google Cloud 環境が IL5 用に構成されていることも確認する必要があります。

コンプライアンスを維持する

GDC のエアギャップ アプライアンスのお客様は、IL5 のガイドラインに沿ってデプロイされたユニットを運用する必要があります。

アクセスと認証

ID プロバイダを管理する: 米国国防総省のお客様は、ID プロバイダを構成する際に次の 2 つのオプションを利用できます。

  1. プリインストールされている Keycloak ID プロバイダを使用し、Keycloak が準拠するように構成します。Google は、パスワード ポリシー、2 段階認証プロセス、証明書管理、ログイン試行のしきい値、監査ロギング、初期管理者アカウントの管理など、DoD のお客様がポリシーと DoD SRG に従って構成する必要があるすべての設定の詳細な概要を提供します。
  2. 既存のID プロバイダと統合し、政府のポリシーと DoD SRG の要件に準拠するように構成します。

アクセス権の付与と取り消し: 米国国防総省のお客様は、アプライアンス内のクラスタとクラウド ワークロードへのアクセスを管理する必要があります。お客様は、ユーザー アカウントの定期的なアクセス レビューも行う必要があります。

サービス ID を管理する: 米国国防総省のお客様は、サービス ID を安全に管理し、すべてのサービス アカウントに最小権限の原則を適用して、機能に必要な最小限のロールのみを付与する必要があります。お客様は、サービス アカウントの定期的なアクセス権レビューも行う必要があります。

認証情報と証明書をローテーションする: お客様は、デフォルトの認証情報と証明書のローテーション、認証情報と証明書の定期的なローテーション、侵害が疑われる場合の認証情報と証明書のローテーションを行う責任があります。これには、ネットワーク アプライアンスオブジェクト ストレージ キーTLS 証明書ディスク暗号鍵ストレージ認証鍵などが含まれます。

ストレージと暗号化

顧客管理の暗号鍵(CMEK): お客様は、提供された YubiKey を使用して、アプライアンスの Linux Unified Key Setup(LUKS)ベースのディスク暗号化の鍵を管理する必要があります。お客様は、輸送のために YubiKey を取り外し、分類に従ってラベルを付け、別々に発送する必要があります。

ストレージ ボリュームの使用率: 監査ログのストレージを含め、アプライアンスのストレージ使用率をモニタリングするのはお客様の責任です。アプライアンスには、 オンボード ストレージ、 の制限があるため、データセンターへのデータ転送が必要になるタイミングをモニタリングすることが重要です。

ロギング

GDC エアギャップ アプライアンスは、コンプライアンス要件を満たすために、複数のロギング ソースをすぐに使用できます。お客様は、一元化されたストレージ、ログ保持の管理、定期的なログレビューを行う責任を負います。

一元的なログサーバーを設定する: お客様は長期保存用の一元的なログサーバーを設定する必要があります。アプライアンスが紛失、破損、破壊された場合にログが利用できるように、お客様の IL5Google Cloud または IL6 GDC エアギャップ データセンター組織の WORM ストレージ バケットにログを書き込むことを強くおすすめします。アプライアンスにはオンボード ストレージの制限もあり、長期的なストレージ要件を満たせない可能性があります。オフボーディング ログでは、定期的に接続が必要になります。接続の可用性は、運用上のニーズや組織のポリシーによって異なる場合があります。

監査ログのバックアップ: 壊滅的な障害が発生した場合に復元と再構成を確実に行えるように、監査ログをバックアップする必要があります。

ログ転送ジョブのロギングを設定する: ログ転送ジョブのログとアラートを設定する必要があります。これにより、ログ転送が失敗したときに顧客に通知されます。

カスタム アラートルールを作成する: 組織で定義された侵害の指標に対してカスタム アラートルールを設定する必要があります。

ログアラートのクエリと表示: お客様は、ログとアラートを定期的に確認する必要があります。アプライアンスのモニタリング機能を使用するか、一元化されたログサーバーから独自の SIEM ソリューションを活用します。使いやすさを考慮し、組織で定義された侵害の指標をより簡単に特定できるように、ダッシュボードを設定する必要があります。

ネットワーキング

ファイアウォールを構成する(初期設定): 初期設定時にアプライアンス ファイアウォールを構成して、必要に応じて移行元と移行先の通信が明示的に許可されるようにする必要があります。デフォルトのポリシーでは、外部通信は許可されません。

NTP:(初期設定)承認済みの DoD タイムソースを使用するようにアプライアンスを構成する必要があります。内部的には、アプライアンス スイッチが時間参照になります。スイッチは、お客様のネットワーク上のタイムソースを参照する必要があります。

内部ネットワークのコンプライアンスを管理する: 証明書と認証情報を 90 日ごとにローテーションします。

VM ワークロードのネットワーク ポリシーを構成する: Google は、プロジェクトと VM ワークロード内でデフォルトで拒否されるデフォルトのネットワーク ポリシーを提供しています。環境で最小権限を適用するようにネットワーク ポリシーを構成するのは、お客様の責任です。

セッションの終了: アプライアンスは 15 分後にセッションを自動的に終了します。

脆弱性管理(パッチ適用とスキャン)

アプライアンスを更新してパッチを適用する: Google が発行するアドバイザリに基づいて、月単位または必要に応じて更新します。お客様は、タスク オーダーのオンボーディングの一環として、これらのアドバイザリのセキュリティ連絡先を Google に提供する必要があります。

スキャン: Google は、脆弱性を検出し、お客様に毎月パッチを提供するために、リファレンス デバイスをスキャンします。環境内のアプライアンスをスキャンしてパッチが適用されていることを確認し、環境内の脆弱性を把握するのは、お客様の責任です。

メディア保護

メディア マーキング: アプライアンスと出力デバイスに適切な分類レベルでラベルを付けるのは、お客様の責任です。Google は、未分類のドライブと空白の YubiKey を含む未分類のユニットを出荷します。ユニットが Controlled Unclassified Information、Secret Information、またはその他の注意事項で使用されることを示すラベルを適用する必要があります。

メディアの取り扱い: お客様は、メディアのアクセス、使用、保存、転送、ダウングレードなど、すべての保護対象情報の管理責任を負います。アプライアンスとメディアへの物理アクセスはお客様が単独で制御します。YubiKey を使用する場合、お客様はアプライアンスと同じ分類レベルで鍵を扱う必要があります。輸送中は、YubiKey をアプライアンスから取り外し、個別に保管または発送する必要があります。

メディアのサニタイズ: メディアのサニタイズはお客様の責任で行っていただきます。これには、必要に応じてドライブの取り外し、サニタイズ、破棄が含まれます。アプライアンス ユニットをメンテナンスのために Google に返送する前に、ドライブと YubiKey を取り外す必要があります。ドライブが取り外された場合、ドライブがサニタイズまたは破棄されるまで、前述のメディア処理の期待値が適用されます。