Google Distributed Cloud 實體隔離設備 IL5 設定

Google Cloud 支援國防部和合作夥伴機構，這些機構必須在 Google Cloud 美國境內區域符合 IL5 資料要求。 Google Distributed Cloud (GDC) 氣隙裝置必須符合《美國國防部 (DoD) 雲端運算安全性要求指南 (SRG)》中定義的 IL5 要求。本頁提供的設定指南可協助受監管客戶，在 Google Distributed Cloud 實體隔離裝置上部署 IL5 受監管工作負載。本文也說明如何設定 GDC 氣隙裝置，以便與 Google Cloud的 Assured Workloads 服務 (即 IL5 軟體定義社群雲端) 搭配使用。

GDC 氣隙隔離設備影響等級 5 設定方法

與企業雲端平台不同，美國國防部客戶可全權保管裝置的實體硬體，以及儲存在裝置上的資料。此外，這項裝置也是單一租戶平台，可根據 SRG 第 5.2.2.3 節和 SRG 第 5.2.4.1 節，同時達成運算和儲存體隔離。

在連線模式下使用 Google Cloud 時，客戶也必須利用 Assured Workloads，確保 Google Cloud 環境已設定為 IL5。

遵守法規

GDC 氣隙設備客戶應按照 IL5 指南操作已部署的裝置。

存取權與授權

管理識別資訊提供者：美國國防部客戶可透過下列兩種方式設定識別資訊提供者：

1. 使用預先安裝的 Keycloak 識別資訊提供者，並將 Keycloak 設定為符合規範。Google 提供詳細總覽，說明國防部客戶必須根據政策和國防部 SRG 設定的所有項目，例如密碼政策、雙重驗證、憑證管理、登入嘗試次數上限、稽核記錄，以及初始管理員帳戶管理。
2. 整合現有的身分識別提供者，並設定為符合政府政策和國防部 SRG 規定。

授予及撤銷存取權： 美國國防部客戶必須管理裝置和雲端工作負載中叢集的存取權。客戶也必須定期審查使用者帳戶的存取權。

• 管理叢集存取權： 美國國防部客戶負責管理叢集的 IO/PA/AO 存取權。
• 管理專案資源的存取權： 美國國防部客戶負責管理 PA/AO 對專案資源的存取權。

管理服務身分： 美國國防部客戶必須安全地管理服務身分，並遵循所有服務帳戶的最小權限原則，只授予運作所需的最低角色。客戶也應負責定期審查服務帳戶的存取權。

輪替憑證和憑證：客戶有責任輪替預設憑證和憑證、定期輪替憑證和憑證，以及在懷疑遭入侵時輪替憑證和憑證。包括但不限於： 網路設備、 物件儲存空間金鑰、 傳輸層安全標準 (TLS) 憑證、 磁碟加密金鑰， 以及 儲存空間驗證金鑰。

儲存空間與加密

客戶管理的加密金鑰 (CMEK)：客戶必須負責管理設備的 Linux Unified Key Setup (LUKS) 金鑰，方法是運用提供的 YubiKey 進行磁碟加密。客戶必須移除 YubiKey 以利運送，並根據分類標示，然後分開運送。

儲存空間容量使用率：客戶有責任監控設備的儲存空間使用率，包括稽核記錄儲存空間。裝置的 內建儲存空間 因此請務必監控何時需要將資料傳輸至資料中心。

記錄

GDC 實體隔離裝置提供多個記錄來源，可直接使用，滿足法規遵循需求。客戶須負責集中儲存資料、管理記錄檔保留時間，以及定期審查記錄檔。

設定中央記錄伺服器： 客戶必須設定中央記錄伺服器，才能長期保留記錄。Google 強烈建議將記錄檔寫入客戶 IL5 或 IL6 GDC 氣隙資料中心機構的 WORM 儲存空間 bucket，確保記錄檔在設備遺失、損壞或毀損時仍可存取。Google Cloud 此外，裝置的內建儲存空間有限，可能無法滿足長期儲存需求。離線記錄需要定期連線，但連線頻率可能因作業需求或機構政策而異。

備份稽核記錄： 客戶必須備份稽核記錄，確保在發生任何災難性故障後，可以進行復原和重組作業。

設定記錄檔移轉工作的記錄功能：客戶必須為記錄檔移轉工作設定記錄和快訊。這樣一來，記錄檔移轉失敗時，客戶就會收到通知。

建立自訂快訊規則： 客戶應為機構定義的入侵指標設定自訂快訊規則。

查詢及查看記錄和快訊： 客戶必須定期查看記錄和快訊。客戶可使用設備的監控功能，或透過集中式記錄伺服器運用自己的 SIEM 解決方案。客戶應設定資訊主頁，方便使用並更輕鬆地識別機構定義的入侵指標。

網路

設定防火牆 (初始設定)：客戶必須在初始設定期間設定設備防火牆，確保來源和目的地通訊在必要時明確允許。預設政策不會允許任何外部通訊。

NTP：(初始設定) 客戶必須設定設備，使用核准的 DoD 時間來源。在系統內部，電器開關是時間參照。交換器必須參照客戶網路上的時間來源。

管理內部網路法規遵循情形： 每 90 天輪替一次憑證和憑證。

為 VM 工作負載設定網路政策： Google 提供預設網路政策，可在專案和 VM 工作負載中預設拒絕存取。客戶有責任設定網路政策，在環境中實施最低權限原則。

工作階段終止：裝置會在 15 分鐘後自動終止工作階段。

安全漏洞管理 (修補和掃描)

更新及修補設備：每月更新，或視需要根據 Google 發布的建議更新。客戶必須在工作單上線程序中，向 Google 提供這些安全諮詢的聯絡窗口。

掃描： Google 會掃描參考裝置，偵測安全漏洞，並每月為客戶提供修補程式。客戶有責任掃描環境中的裝置，確保修補程式成功安裝，並瞭解環境中的安全漏洞。

媒體保護

媒體標記：消費者有責任為電器和輸出裝置標示適當的分類等級。Google 會運送未分類的裝置，其中包含未分類的硬碟和空白 YubiKey。客戶必須套用標籤，指出裝置是否適用於受控非機密資訊、機密資訊或其他注意事項。

媒體處理：客戶有責任維護所有受保護資訊的保管鏈，包括媒體存取、使用、儲存、傳輸和降級。顧客可完全控管家電和媒體的實體存取權。使用 Yubikey 時，客戶應將金鑰視為與設備相同分類等級的項目。運送期間，YubiKey 必須從設備中取出，並另外存放或運送。

媒體清除：客戶須負責清除媒體，包括視需要移除、清除或銷毀硬碟。客戶必須先移除硬碟和 YubiKey，再將設備裝置送回 Google 維修。如果移除硬碟，在硬碟經過清除或銷毀前，仍須遵守先前所述的媒體處理規定。