Google Cloud oferece suporte ao Departamento de Defesa e às organizações parceiras que precisam atender aos requisitos de dados IL5 nas regiões dos EUA. Google Cloud O appliance isolado do Google Distributed Cloud (GDC) precisa atender aos requisitos do IL5 definidos no Guia de requisitos de segurança de computação em nuvem (SRG) do Departamento de Defesa (DoD) dos EUA. As orientações de configuração fornecidas nesta página ajudam os clientes regulamentados a implantar cargas de trabalho regulamentadas no nível IL5 no dispositivo com isolamento físico do Google Distributed Cloud. Este documento também explica como configurar o appliance isolado do GDC para trabalhar com o serviço de Cargas de trabalho confirmadas do Google Cloud, a nuvem comunitária definida por software IL5.
Abordagem de configuração do nível 5 de impacto do dispositivo com isolamento físico do GDC
Ao contrário de uma plataforma de nuvem empresarial, os clientes do Departamento de Defesa têm a custódia exclusiva do hardware físico do dispositivo e dos dados armazenados nele. O dispositivo também é uma plataforma de locatário único, que alcança o isolamento de computação e armazenamento de acordo com as seções 5.2.2.3 e 5.2.4.1 do SRG.
Ao usar o Google Cloud em um modo conectado, os clientes também precisam garantir que o ambiente Google Cloud esteja configurado para IL5 usando o Assured Workloads.
Manter a conformidade
Os clientes de dispositivos isolados do GDC precisam operar as unidades implantadas de acordo com as diretrizes do IL5.
Acesso e autorização
Gerenciar o provedor de identidade: os clientes do Departamento de Defesa têm duas opções para configurar um provedor de identidade:
- Use o provedor de identidade Keycloak pré-instalado e configure-o para estar em conformidade. O Google oferece uma visão geral detalhada de todas as configurações que precisam ser definidas pelos clientes do Departamento de Defesa (DoD, na sigla em inglês) de acordo com as políticas e o SRG do DoD, como políticas de senhas, autenticação de dois fatores, gerenciamento de certificados, limites de tentativas de login, registro de auditoria e gerenciamento inicial de contas de administrador.
- Integre com um provedor de identidade atual e configure-o para obedecer às políticas governamentais e aos requisitos do DoD SRG.
Conceder e revogar acesso: os clientes do Departamento de Defesa precisam gerenciar o acesso a clusters nos dispositivos e nas cargas de trabalho na nuvem. Os clientes também são responsáveis por revisões periódicas de acesso para contas de usuário.
- Gerenciar o acesso aos clusters: os clientes do Departamento de Defesa são responsáveis por gerenciar o acesso de IO/PA/AO aos clusters.
- Gerenciar o acesso aos recursos do projeto: os clientes do Departamento de Defesa são responsáveis por gerenciar o acesso de PA/AO aos recursos do projeto.
Gerenciar identidades de serviço: os clientes do Departamento de Defesa precisam gerenciar com segurança as identidades de serviço e seguir o princípio de privilégio mínimo para todas as contas de serviço, concedendo apenas as funções mínimas necessárias para funcionar. Os clientes também são responsáveis por revisões periódicas de acesso para contas de serviço.
Alternar credenciais e certificados: os clientes são responsáveis por alternar credenciais e certificados padrão, alternar credenciais e certificados periodicamente e alternar credenciais e certificados quando houver suspeita de comprometimento. Isso inclui, mas não se limita a: dispositivos de rede, chaves de armazenamento de objetos, certificados TLS, chaves de criptografia de disco, e chaves de autenticação de armazenamento.
Armazenamento e criptografia
Chaves de criptografia gerenciadas pelo cliente (CMEK): os clientes são responsáveis por gerenciar as chaves da criptografia de disco baseada na configuração unificada de chaves do Linux (LUKS) do appliance usando as Yubikeys fornecidas. Os clientes precisam remover as YubiKeys para transporte, rotulá-las de acordo com a classificação e enviar separadamente.
Utilização do volume de armazenamento: os clientes são responsáveis por monitorar a utilização de armazenamento dos appliances, incluindo o armazenamento registro de auditoria. Os eletrodomésticos têmarmazenamento integrado,. Por isso, é importante monitorar quando uma transferência de dados para um data center é necessária.
Logging
O appliance isolado do GDC oferece várias fontes de geração de registros prontas para uso e atender aos requisitos de compliance. Os clientes são responsáveis pelo armazenamento centralizado, pelo gerenciamento da retenção de registros e pelas revisões periódicas de registros.
Configure um servidor de registros central: os clientes precisam configurar um servidor de registros central para retenção de longo prazo. O Google recomenda gravar registros em um bucket de armazenamento WORM na organização de data center isolado por ar IL5Google Cloud ou IL6 do cliente para garantir que os registros estejam disponíveis se um dispositivo for perdido, danificado ou destruído. O dispositivo também tem armazenamento integrado limitado, que pode não ser suficiente para requisitos de armazenamento de longo prazo. Os registros de remoção periódica exigem alguma conectividade, que pode variar em disponibilidade dependendo das necessidades operacionais ou da política organizacional.
Fazer backup dos registros de auditoria: os clientes precisam fazer backup dos registros de auditoria para garantir que a recuperação e a reconstituição possam ocorrer após qualquer falha catastrófica.
Configurar o registro em registros de transferência: os clientes precisam configurar registros e alertas para jobs de transferência de registros. Isso garante que os clientes sejam notificados quando uma transferência de registros falhar.
Criar regras de alerta personalizadas: os clientes precisam configurar regras de alerta personalizadas para indicadores de comprometimento definidos pela organização.
Consultar e visualizar registros e alertas: os clientes precisam revisar periodicamente os registros e alertas. Os clientes podem usar o recurso de monitoramento do dispositivo ou aproveitar a própria solução de SIEM no servidor de registros centralizado. Os clientes precisam configurar painéis para facilitar o uso e identificar mais facilmente os indicadores de comprometimento definidos pela organização.
Rede
Configurar o firewall (configuração inicial): os clientes precisam configurar o firewall do appliance durante a configuração inicial para garantir que as comunicações de origem e destino sejam explicitamente permitidas quando necessário. A política padrão não permite nenhuma comunicação externa.
NTP: (configuração inicial) os clientes precisam configurar os dispositivos para usar uma fonte de tempo aprovada pelo Departamento de Defesa dos EUA. Internamente, o interruptor do aparelho é a referência de tempo. A troca precisa referenciar uma fonte de tempo na rede do cliente.
Gerenciar a conformidade da rede interna: gire certificados e credenciais a cada 90 dias.
Configurar políticas de rede para cargas de trabalho de VM: o Google oferece uma política de rede padrão que é de negação por padrão em projetos e cargas de trabalho de VM. Os clientes são responsáveis por configurar políticas de rede para exercer privilégio mínimo no ambiente deles.
Encerramento da sessão: o dispositivo encerra as sessões automaticamente após 15 minutos.
Gerenciamento de vulnerabilidades (aplicação de patches e verificação)
Atualize e corrija o dispositivo: atualize mensalmente ou conforme necessário para avisos emitidos pelo Google. Os clientes precisam fornecer ao Google um ponto de contato de segurança para esses avisos como parte da integração da ordem de serviço.
Verificação: o Google verifica um dispositivo de referência para detectar vulnerabilidades e fornecer patches aos clientes todos os meses. Os clientes são responsáveis por verificar os appliances nos ambientes deles para garantir que os patches sejam aplicados e para ter consciência situacional das vulnerabilidades no ambiente.
Proteção de mídia
Marcação de mídia: os clientes são responsáveis por rotular o eletrodoméstico e os dispositivos de saída no nível de classificação adequado. O Google envia unidades não classificadas com drives não classificados e YubiKeys em branco. Os clientes precisam aplicar marcadores para indicar se uma unidade foi projetada para uso com informações controladas não classificadas, informações secretas ou outras restrições.
Tratamento de mídia: os clientes são responsáveis por manter a custódia de todas as informações protegidas, incluindo acesso, uso, armazenamento, transporte e downgrade de mídia. Os clientes têm controle exclusivo sobre o acesso físico a aparelhos e mídia. Quando as Yubikeys são usadas, os clientes precisam tratar as chaves no mesmo nível de classificação do dispositivo. Durante o transporte, as YubiKeys precisam ser removidas do dispositivo e armazenadas ou enviadas separadamente.
Limpeza de mídia: os clientes são responsáveis pela limpeza de mídia, incluindo remoção e limpeza ou destruição de unidades, conforme necessário. Os clientes precisam remover as unidades e os YubiKeys antes de enviar as unidades do appliance de volta ao Google para manutenção. Se as unidades forem removidas, as mesmas expectativas de tratamento de mídia descritas anteriormente serão válidas até que as unidades sejam higienizadas ou destruídas.