Google Distributed Cloud 经过网闸隔离的设备 IL5 配置

Google Cloud 支持必须满足 Google Cloud 美国区域中 IL5 数据要求的国防部和合作伙伴组织。Google Distributed Cloud (GDC) 气隙设备必须满足美国国防部 (DoD) 云计算安全要求指南 (SRG) 中定义的 IL5 要求。本页面提供的配置指南可帮助受监管的客户在 Google Distributed Cloud 经过网闸隔离的设备上部署 IL5 受监管的工作负载。本文档还介绍了如何配置 GDC 空气隔离设备以使用 Google Cloud的 Assured Workloads 服务，即 IL5 软件定义社区云。

经过网闸隔离的 GDC 设备影响级别 5 配置方法

与企业云平台不同，DoD 客户拥有其设备物理硬件和存储在其中的数据的唯一保管权。该设备也是一个单租户平台，可根据 SRG 第 5.2.2.3 节和 SRG 第 5.2.4.1 节实现计算和存储隔离。

在关联模式下使用 Google Cloud 时，客户还必须确保其 Google Cloud 环境已通过利用 Assured Workloads 配置为 IL5。

保持合规性

GDC 空气隔离设备客户应按照 IL5 指南操作其已部署的设备。

访问与授权

管理身份提供商：美国国防部客户有两种配置身份提供商的选项：

1. 使用预安装的 Keycloak 身份提供方，并将 Keycloak 配置为合规。Google 提供了详细概览，其中列出了 DoD 客户必须根据其政策和 DoD SRG 配置的所有设置，例如密码政策、双重身份验证、证书管理、登录尝试阈值、审核日志记录和初始管理员账号管理。
2. 与现有身份提供方集成，并将其配置为符合政府政策和 DoD SRG 要求。

授予和撤消访问权限：美国国防部客户必须管理对设备内集群以及云工作负载的访问权限。客户还负责定期对用户账号的访问权限进行审核。

• 管理集群访问权限：美国国防部客户负责管理对集群的 IO/PA/AO 访问权限。
• 管理对项目资源的访问权限：美国国防部客户负责管理 PA/AO 对项目资源的访问权限。

管理服务身份：美国国防部客户必须安全地管理服务身份，并遵循最小权限原则，仅授予服务账号正常运行所需的最低角色。客户还负责定期审核服务账号的访问权限。

轮替凭据和证书：客户负责轮替默认凭据和证书、定期轮替凭据和证书，以及在怀疑凭据和证书遭到入侵时轮替凭据和证书。这包括但不限于：网络设备、对象存储密钥、TLS 证书、磁盘加密密钥和存储身份验证密钥。

存储和加密

客户管理的加密密钥 (CMEK)：客户负责利用提供的 Yubikey 管理设备基于 Linux Unified Key Setup (LUKS) 的磁盘加密的密钥。客户必须移除 Yubikey 以便运输，根据其分类为 Yubikey 贴上标签，并单独寄送。

存储卷利用率：客户负责监控其设备（包括审核日志存储空间）的存储空间利用率。设备具有有限的本地存储空间、本地存储空间，因此请务必监控何时需要将数据传输到数据中心。

日志记录

GDC 网闸隔离设备开箱即用，提供多种日志来源，可满足合规性要求。客户负责集中存储、管理日志保留期和定期审核日志。

设置中央日志服务器： 客户必须设置中央日志服务器，以便长期保留日志。Google 强烈建议将日志写入客户的 IL5Google Cloud 或 IL6 GDC 气隙数据中心组织中的 WORM 存储桶，以确保在设备丢失、损坏或被毁时日志可用。该设备还具有有限的板载存储空间，可能无法满足长期存储需求。离职日志需要定期进行一些连接，但可用性可能会因运营需求或组织政策而异。

备份审核日志：客户必须备份审核日志，以确保在发生任何灾难性故障后能够进行恢复和重建。

为日志转移作业设置日志记录：客户必须为日志转移作业设置日志和提醒。这样可确保在日志转移失败时通知客户。

创建自定义提醒规则：客户应为组织定义的入侵指标设置自定义提醒规则。

查询和查看日志和提醒：客户需要定期查看日志和提醒。客户可以使用设备自带的监控功能，也可以利用集中式日志服务器中的自有 SIEM 解决方案。客户应设置信息中心，以便于使用，并更轻松地识别组织定义的入侵指标。

网络

配置防火墙（初始设置）：客户必须在初始设置期间配置设备防火墙，以确保在需要时明确允许来源和目标通信。默认政策不允许任何外部通信。

NTP：（初始设置）客户必须将设备配置为使用经批准的 DoD 时间源。在内部，设备开关是时间参考。交换机必须引用客户网络上的时间源。

管理内部网络合规性：每 90 天轮换一次证书和凭据。

为虚拟机工作负载配置网络政策：Google 提供了一项默认网络政策，该政策在项目和虚拟机工作负载中默认拒绝所有流量。客户负责配置网络政策，以便在自己的环境中实现最小权限。

会话终止：设备会在 15 分钟后自动终止会话。

漏洞管理（修补和扫描）

更新和修补设备：每月更新一次，或根据 Google 发布的公告按需更新。客户必须在任务订单的初始配置过程中向 Google 提供这些安全公告的安全联系人。

扫描：Google 会扫描参考设备，以检测漏洞并每月为客户提供补丁。客户负责扫描其环境中的设备，以确保补丁成功应用，并了解其环境中的漏洞情况。

媒体保护

媒体标记：客户负责以适当的分类级别标记设备和输出设备。Google 会随未分类的设备一起提供未分类的驱动器和空白 Yubikey。客户必须应用标签来指明设备是否旨在用于处理受控非机密信息、机密信息或其他注意事项。

媒体处理：客户负责维护所有受保护信息的保管链，包括媒体访问、使用、存储、传输和降级。客户对设备和媒体的物理访问权限拥有完全控制权。使用 Yubikey 时，客户应将密钥视为与设备具有相同的分类级别。在运输过程中，必须从设备中取出 Yubikey，并单独存放或运输。

媒体清理：客户负责媒体清理，包括根据需要移除并清理或销毁驱动器。客户必须先移除硬盘和 Yubikey，然后才能将设备单元寄送回 Google 进行维护。如果移除硬盘，则在对硬盘进行清理或销毁之前，仍需遵循之前概述的相同媒体处理预期。