Google Cloud Suporta o Departamento de Defesa e as organizações parceiras que têm de cumprir os requisitos de dados IL5 nas regiões dos EUA. Google Cloud O dispositivo isolado do Google Distributed Cloud (GDC) tem de cumprir os requisitos IL5 definidos no guia de requisitos de segurança (SRG) de computação na nuvem do Departamento de Defesa (DoD) dos EUA. As orientações de configuração disponibilizadas nesta página ajudam os clientes regulamentados a implementar cargas de trabalho regulamentadas de IL5 no dispositivo isolado do Google Distributed Cloud. Este documento também aborda a forma de configurar o dispositivo isolado do GDC para funcionar com o serviço Assured Workloads da Google CloudGoogle, a IL5 Software Defined Community Cloud.
Abordagem de configuração do nível 5 do impacto do dispositivo isolado do GDC
Ao contrário de uma plataforma na nuvem empresarial, os clientes do DoD têm a custódia exclusiva do hardware físico do dispositivo e dos dados armazenados no mesmo. O dispositivo também é uma plataforma de inquilino único, que alcança o isolamento de computação e armazenamento de acordo com a secção 5.2.2.3 do SRG e a secção 5.2.4.1 do SRG.
Quando usam o Google Cloud num modo ligado, os clientes também têm de garantir que o respetivo ambiente Google Cloud está configurado para IL5 através da utilização dos Assured Workloads.
Mantenha a conformidade
Os clientes de dispositivos com isolamento de ar da GDC devem operar as respetivas unidades implementadas de acordo com as diretrizes do IL5.
Acesso e autorização
Faça a gestão do Fornecedor de identidade: os clientes do Departamento de Defesa têm duas opções para configurar um Fornecedor de identidade:
- Use o fornecedor de identidade Keycloak pré-instalado e configure o Keycloak para estar em conformidade. A Google fornece uma vista geral detalhada de todas as definições que têm de ser configuradas pelos clientes do DoD de acordo com as respetivas políticas e o SRG do DoD, como políticas de palavras-passe, autenticação em dois passos, gestão de certificados, limites de tentativas de início de sessão, registo de auditoria e gestão inicial da conta de administrador.
- Integre-o com um fornecedor de identidade existente e configure-o para estar em conformidade com as políticas governamentais e os requisitos da SRG do DoD.
Conceda e revogue o acesso: os clientes do Departamento de Defesa têm de gerir o acesso aos clusters nos respetivos dispositivos, bem como às cargas de trabalho na nuvem. Os clientes também são responsáveis por revisões de acesso periódicas para contas de utilizador.
- Gerir o acesso a clusters: Os clientes do Departamento de Defesa são responsáveis por gerir o acesso IO/PA/AO a clusters.
- Gerir o acesso aos recursos do projeto: os clientes do Departamento de Defesa são responsáveis pela gestão do acesso de PA/AO aos recursos do projeto.
Gerir identidades de serviço: Os clientes do Departamento de Defesa têm de gerir as identidades de serviço em segurança e seguir o princípio do menor privilégio para todas as contas de serviço, concedendo apenas as funções mínimas necessárias para funcionar. Os clientes também são responsáveis pelas revisões de acesso periódicas das contas de serviço.
Rodar credenciais e certificados: os clientes são responsáveis por rodar as credenciais e os certificados predefinidos, rodar as credenciais e os certificados periodicamente e rodar as credenciais e os certificados quando houver suspeitas de comprometimento. Isto inclui, entre outros: dispositivos de rede, chaves de armazenamento de objetos, certificados TLS, chaves de encriptação de disco, e chaves de autenticação de armazenamento.
Armazenamento e encriptação
Chaves de encriptação geridas pelo cliente (CMEK): os clientes são responsáveis por gerir as chaves para a encriptação de disco baseada na configuração unificada de chaves (LUKS) do Linux do dispositivo, através da utilização das Yubikeys fornecidas. Os clientes têm de remover os Yubikeys para transporte, etiquetá-los de acordo com a respetiva classificação e enviá-los separadamente.
Utilização do volume de armazenamento: os clientes são responsáveis por monitorizar a utilização do armazenamento dos respetivos dispositivos, incluindo o armazenamento do registo de auditoria. Os eletrodomésticos têm um limitado, pelo que é importante monitorizar quando é necessária uma transferência de dados para um centro de dados.
Registo
O dispositivo isolado do GDC oferece várias origens de registo prontas a usar para cumprir os requisitos de conformidade. Os clientes são responsáveis pelo armazenamento centralizado, pela gestão da retenção de registos e pelas revisões periódicas de registos.
Configure um servidor de registo central: Os clientes têm de configurar um servidor de registo central para retenção a longo prazo. A Google recomenda vivamente que escreva registos num contentor de armazenamento WORM na organização do centro de dados isolado da GDC IL5 Google Cloud ou IL6 do cliente para garantir que os registos estão disponíveis se um dispositivo for perdido, danificado ou destruído. O dispositivo também tem armazenamento integrado limitado que pode não ser suficiente para os requisitos de armazenamento a longo prazo. Os registos de desvinculação requerem periodicamente alguma conetividade, cuja disponibilidade pode variar consoante as necessidades operacionais ou a política organizacional.
Faça uma cópia de segurança dos registos de auditoria: os clientes têm de fazer uma cópia de segurança dos registos de auditoria para garantir que a recuperação e a reconstituição podem ocorrer após qualquer falha catastrófica.
Configure o registo para tarefas de transferência de registos: os clientes têm de configurar registos e alertas para tarefas de transferência de registos. Isto garante que os clientes são notificados quando uma transferência de registos falha.
Crie regras de alerta personalizadas: Os clientes devem configurar regras de alerta personalizadas para indicadores de comprometimento definidos pela organização.
Consultar e ver registos e alertas: Os clientes têm de rever periodicamente os registos e os alertas. Os clientes podem usar a capacidade de monitorização do dispositivo ou tirar partido da sua própria solução SIEM a partir do servidor de registo centralizado. Os clientes devem configurar painéis de controlo para facilitar a utilização e identificar mais facilmente os indicadores de comprometimento definidos pela organização.
Trabalhar em rede
Configure a firewall (configuração inicial): os clientes têm de configurar a firewall do dispositivo durante a configuração inicial para garantir que as comunicações de origem e destino são explicitamente permitidas quando necessário. A política predefinida não permite nenhuma comunicação externa.
NTP: (configuração inicial) os clientes têm de configurar os aparelhos para usar uma origem de tempo do DoD aprovada. Internamente, o interruptor do aparelho é a referência de tempo. O comutador tem de fazer referência a uma fonte de tempo na rede do cliente.
Faça a gestão da conformidade da rede interna: Rode os certificados e as credenciais a cada 90 dias.
Configure políticas de rede para cargas de trabalho de VMs: A Google fornece uma política de rede predefinida que é de recusa por predefinição nos projetos e nas cargas de trabalho de VMs. Os clientes são responsáveis por configurar políticas de rede para exercer o menor privilégio no respetivo ambiente.
Encerramento da sessão: o dispositivo termina as sessões automaticamente após 15 minutos.
Gestão de vulnerabilidades (aplicação de patches e análise)
Atualize e aplique patches ao dispositivo: atualize-o mensalmente ou conforme necessário para avisos emitidos pela Google. Os clientes têm de fornecer à Google um ponto de contacto de segurança para estes avisos como parte da integração da ordem de tarefa.
Análise: A Google analisa um dispositivo de referência para detetar vulnerabilidades e fornecer patches aos clientes mensalmente. Os clientes são responsáveis por analisar os respetivos dispositivos nos respetivos ambientes para garantir que as correções são bem-sucedidas e por ter consciência situacional das vulnerabilidades no respetivo ambiente.
Proteção de conteúdo multimédia
Marcação de suportes: os clientes são responsáveis pela etiquetagem dos dispositivos de saída e dos eletrodomésticos ao nível de classificação adequado. A Google envia unidades não classificadas com discos não classificados e Yubikeys em branco. Os clientes têm de aplicar etiquetas para indicar se uma unidade se destina a utilização com informações não classificadas controladas, informações secretas ou outras ressalvas.
Tratamento de suportes de dados: os clientes são responsáveis por manter a custódia de todas as informações protegidas, incluindo o acesso, a utilização, o armazenamento, o transporte e a desclassificação de suportes de dados. Os clientes têm controlo exclusivo sobre o acesso físico a aparelhos e suportes. Quando são usadas Yubikeys, os clientes devem tratar as chaves ao mesmo nível de classificação que o dispositivo. Durante o transporte, as Yubikeys têm de ser removidas do dispositivo e armazenadas ou enviadas separadamente.
Limpeza de suportes de dados: os clientes são responsáveis pela limpeza de suportes de dados, incluindo a remoção e a limpeza ou a destruição de unidades, conforme necessário. Os clientes têm de remover as unidades e os Yubikeys antes de enviar as unidades do dispositivo de volta para a Google para manutenção. Se as unidades forem removidas, aplicam-se as mesmas expetativas de processamento de suportes descritas anteriormente até as unidades serem limpas ou destruídas.