Esta página se ha traducido con Cloud Translation API.

Información sobre el cifrado validado por FIPS en GKE

Autopilot Standard

En esta página se describe cómo mantienen Google Cloud y Google Kubernetes Engine (GKE) el cumplimiento de los estándares federales de procesamiento de información (FIPS) mientras procesas y transmites datos a través de tus clústeres de GKE que se ejecutan en Google Cloud.

Esta página está dirigida a los responsables de seguridad, los ingenieros de seguridad y los responsables de cumplimiento que quieran cumplir los estrictos requisitos de seguridad y privacidad de los datos relacionados con FIPS. También puedes usar esta página para mostrar a un auditor que GKE en Google Cloud implementa protecciones validadas por FIPS para la seguridad de los datos de forma predeterminada.

Puntos clave sobre el cifrado validado por FIPS en GKE

Los controles de seguridad de FedRAMP® para el cifrado de datos en tránsito (SC-28) y en reposo (SC-8(1)) requieren que los datos se cifren con módulos criptográficos validados por FIPS 140-2 o una versión posterior. Estos controles de seguridad no exigen explícitamente que se habilite el "modo FIPS" a nivel del sistema operativo (SO). Además, el modo FIPS a nivel de SO no garantiza el cumplimiento.
Los datos almacenados en sistemas autorizados por FedRAMP Google Cloud se cifran en reposo de forma predeterminada mediante módulos criptográficos validados por FIPS 140-2 o versiones posteriores. Mientras tus datos se almacenen en estos sistemas autorizados, cumplirán los requisitos de FedRAMP para proteger los datos en reposo (control de seguridad SC-28). Para ver una lista de los sistemas autorizados, consulta los servicios de nivel alto de FedRAMP incluidos.
Los datos que transmites en la red de Google Cloudnube privada virtual (VPC) se cifran automáticamente y están protegidos mediante mecanismos de autenticación y autorización. La VPC está autorizada en el nivel alto de FedRAMP. Mientras tus datos se transmitan en la red de Google Cloud VPC, cumplirán los requisitos de FedRAMP para proteger los datos en tránsito (control de seguridad SC-8(1)).
No es necesario que compiles tus aplicaciones con procesos de compilación que cumplan el estándar FIPS para cumplir los requisitos de FedRAMP en cuanto a la protección de datos en reposo y en tránsito. Esto se debe a que los datos que se transmiten en la red deGoogle Cloud VPC y se almacenan en sistemas de almacenamiento autorizados por FedRAMP Google Cloud están protegidos de forma predeterminada de acuerdo con estos requisitos de protección de datos de FedRAMP.

Información sobre FIPS y FedRAMP

El programa federal de gestión de autorizaciones y riesgo de EE. UU. (FedRAMP) es un programa del Gobierno de EE. UU. que define un método estandarizado para evaluar la seguridad y los riesgos de las tecnologías en la nube. GKE se incluye en la lista deGoogle Cloud servicios que tienen una autoridad provisional para operar (P-ATO) con un nivel de impacto alto del programa FedRAMP. Para obtener más información sobre la Google Cloud P-ATO de FedRAMP, consulta la Google Cloud descripción general de FedRAMP.

FIPS es un conjunto de estándares anunciado públicamente y emitido por el Instituto Nacional de Normas y Tecnología de Estados Unidos (NIST). La publicación FIPS 140-2 define los requisitos para aprobar módulos criptográficos. Para obtener más información, consulta FIPS 140-2 en el NIST.

La autoridad provisional para operar de FedRAMP High incluye controles para proteger los datos en tránsito (SC-8(1)) y los datos en reposo (SC-28(1)) mediante módulos criptográficos validados por FIPS.

Protección de datos predeterminada validada por FIPS en GKE

En las siguientes secciones se explica cómo implementan Google Cloud y GKE el cifrado validado por FIPS para proteger los datos en reposo y en tránsito. Esta información se trata con más detalle en el Google Cloud plan de seguridad del sistema (SSP), que puedes solicitar a tu equipo de ventas, Google Cloud representante o a laGoogle Cloud oficina de gestión del programa Google Cloud FedRAMP si eres cliente del ámbito público. Para obtener más información, consulta Google Cloud Cumplimiento de FedRAMP.

Protección de datos en reposo validada por FIPS

Los datos de GKE se encriptan en reposo mediante un módulo de encriptadoGoogle Cloud validado por el estándar FIPS 140-2 llamado BoringCrypto. Para obtener más información, consulta Validación FIPS 140-2 en Google Cloud.

Para obtener más información sobre el cifrado en reposo, consulta los siguientes recursos:

Protección de datos en tránsito validada por FIPS

La Google Cloud VPC tiene una autoridad provisional para operar de FedRAMP High. Todos los datos que transmitas en tu red de VPC se cifran automáticamente. En GKE, esto significa que todo el tráfico hacia y desde contenedores, pods, el proceso kubelet de cada nodo, todos los nodos, las instancias del plano de control y otros Google Cloud servicios de la VPC Google Cloud está protegido en tránsito. Todas las conexiones a las APIs de Google usan Seguridad en la capa de transporte (TLS) 1.2 o una versión posterior para cifrar el tráfico de red. No es necesario hacer nada más para cumplir el estándar FIPS en la protección de datos en tránsito dentro de la redGoogle Cloud VPC.

Para obtener más información sobre cómo se cifran tus datos en tránsito, consulta el informe sobre el cifrado en tránsito.

Recomendaciones para proteger los datos fuera de Google Cloud

El cifrado predeterminado de los datos en tránsito de GKE yGoogle Cloud solo se aplica en la Google Cloud red VPC. Debes usar criptografía compatible con FIPS para proteger los datos que estén fuera del límite de la red VPC. Las siguientes recomendaciones te ayudarán a asegurarte de que todos los datos entrantes y salientes fuera de tu entornoGoogle Cloud FIPS en tránsito se cifren con criptografía compatible con FIPS.

Interceptar y cifrar el tráfico entrante de Internet

Para el tráfico entrante a tu Google Cloud entorno desde Internet, usa políticas de SSL en los Google Cloud balanceadores de carga para definir un conjunto permitido de cifrados o mecanismos criptográficos validados por FIPS con los que se deben proteger los datos cuando entren en el Google Cloud entorno. Para obtener más información, consulta los siguientes recursos:

Interceptar y cifrar el tráfico saliente a Internet

Define un perímetro que limite las conexiones de datos salientes a un conjunto de terceros conocidos en los que confíes configurando cortafuegos. Diagrama y documenta los requisitos de red externos, como la extracción de datos de fuentes como GitHub, y dónde se producirán esas conexiones externas en tu entorno. Puedes usar un proxy inverso para interceptar el tráfico saliente de tu VPC.

Si tiene tráfico HTTP que sale del perímetro de su entornoGoogle Cloud con cumplimiento de FedRAMP, considere la posibilidad de configurar un proxy de reenvío HTTP para interceptar los datos antes de que salgan del entorno. Vuelve a cifrar los datos con un módulo criptográfico validado por FIPS 140-2 antes de permitir que salgan de tu perímetro. Este enfoque es más fácil de gestionar a gran escala que intentar asegurarse de que todos los clientes internos usen bibliotecas de cifrado que cumplan los requisitos para la comunicación externa.

Habilitar nodos privados

GKE te permite inhabilitar la dirección IP externa de los nodos nuevos de tus clústeres para que las cargas de trabajo que se ejecuten en los nodos no puedan comunicarse con Internet de forma predeterminada. Usa las variables de entorno http_proxy o https_proxy para enviar todo el tráfico a tu proxy HTTP configurado.

Puedes configurar una intercepción más transparente de este tráfico con reglas de enrutamiento. Sin embargo, como estás enviando el tráfico TLS a través de un proxy, este no puede ser completamente transparente para las aplicaciones que ejecutas en GKE.

Para obtener más información, consulta los siguientes recursos:

Usar Cloud VPN para conexiones de capa de red a GKE

A veces, es posible que necesites una conexión de capa de red cifrada a tus clústeres de GKE. Por ejemplo, puede que tengas que configurar una red compatible con FIPS entre los nodos de GKE y los nodos locales. Cloud VPN es un servicio autorizado por FedRAMP High que cifra tus datos en tránsito entre tu red de VPC y tu red on-premise. Para obtener más información, consulta la información general sobre Cloud VPN.

Usar Cloud KMS para operaciones criptográficas

Si necesitas realizar operaciones criptográficas en tu entorno de Google Cloud, usa Cloud Key Management Service. Cloud KMS es un servicio autorizado por FedRAMP High. Cloud KMS te permite realizar operaciones criptográficas que cumplen el estándar FIPS 140-2 de nivel 1 o 3. Para obtener más información, consulta los siguientes recursos:

Compilar bibliotecas validadas por FIPS en cargas de trabajo de GKE

Para usar el módulo de cifrado BoringCrypto en tus aplicaciones de GKE, instala BoringSSL. BoringSSL es una bifurcación de código abierto de OpenSSL que incluye la biblioteca BoringCrypto. Para compilar y vincular estáticamente el módulo BoringCrypto a BoringSSL, consulta la sección 12.1 "Instrucciones de instalación" del PDF de la política de seguridad FIPS 140-2 de BoringCrypto.

Considerar imágenes de contenedor de terceros que cumplan el estándar FIPS

Te recomendamos que utilices proxies en el límite de tu entorno compatible con FIPS Google Cloud para aplicar el cumplimiento de FIPS de forma integral. También puedes ejecutar cargas de trabajo conformes con FIPS sin limitarte a máquinas host de nodos que tengan kernels conformes con FIPS. Algunos proveedores externos ofrecen imágenes de contenedor que usan una fuente de entropía independiente y compatible con FIPS.

Asegúrese de evaluar correctamente la implementación del proveedor externo para comprobar que cumple los requisitos de FIPS.

Información sobre el cifrado validado por FIPS en GKE Organízate con las colecciones Guarda y clasifica el contenido según tus preferencias.