Questa pagina descrive come Google Cloud e Google Kubernetes Engine (GKE) mantengono la conformità agli standard federali di elaborazione delle informazioni (FIPS) durante l'elaborazione e la trasmissione dei dati tramite i cluster GKE in esecuzione su Google Cloud.
Questa pagina è destinata a responsabili della sicurezza, ingegneri della sicurezza e responsabili della conformità che vogliono soddisfare requisiti rigorosi di sicurezza e privacy dei dati relativi a FIPS. Questa pagina è utile anche se devi dimostrare a un revisore che GKE su Google Cloud implementa protezioni con convalida FIPS per la sicurezza dei dati per impostazione predefinita.
Punti chiave sulla crittografia con convalida FIPS in GKE
- I controlli di sicurezza FedRAMP® per la crittografia dei dati in transito (SC-28) e inattivi (SC-8(1)) richiedono che i dati vengano criptati utilizzando moduli crittografici convalidati FIPS 140-2 o versioni successive. Questi controlli di sicurezza non impongono esplicitamente l'attivazione della "modalità FIPS" a livello di sistema operativo. Inoltre, la modalità FIPS a livello di sistema operativo non garantisce la conformità.
- I dati archiviati nei sistemi autorizzati FedRAMP Google Cloud sono criptati in modalità non attiva per impostazione predefinita utilizzando moduli crittografici convalidati FIPS 140-2 o versioni successive. Finché i tuoi dati sono archiviati in questi sistemi autorizzati, soddisfano i requisiti FedRAMP per la protezione dei dati at-rest (controllo di sicurezza SC-28). Per un elenco dei sistemi autorizzati, consulta la sezione Servizi FedRAMP High nell'ambito.
- I dati che trasmetti all'interno della rete Virtual Private Cloud (VPC) Google Cloudvengono criptati automaticamente e sono protetti da meccanismi di autenticazione e autorizzazione. VPC è autorizzato a FedRAMP High. Finché i dati vengono trasmessi all'interno della rete VPC, soddisfano i requisiti FedRAMP per la protezione dei dati in transito (controllo di sicurezza SC-8(1)). Google Cloud
- Per soddisfare i requisiti FedRAMP per la protezione dei dati at-rest e in transito, non è necessario creare le applicazioni utilizzando processi di build conformi a FIPS. Questo perché i dati trasmessi all'interno della rete VPCGoogle Cloud e archiviati nei sistemi di archiviazione Google Cloud autorizzati da FedRAMP sono protetti in conformità a questi requisiti FedRAMP per la protezione dei dati per impostazione predefinita.
Informazioni su FIPS e FedRAMP
Il Federal Risk and Authorization Management Program (FedRAMP) è un programma governativo statunitense che definisce un approccio standardizzato alla valutazione della sicurezza e dei rischi per le tecnologie cloud. GKE è incluso nell'elenco dei Google Cloud servizi che dispongono dell'autorizzazione provvisoria a operare (P-ATO) FedRAMP High. Per saperne di più sulla Google Cloud P-ATO FedRAMP, consulta la Google Cloud panoramica di FedRAMP.
FIPS è un insieme di standard annunciati pubblicamente e pubblicati dal National Institute of Standards and Technology (NIST). La pubblicazione FIPS 140-2 definisce i requisiti per l'approvazione dei moduli crittografici. Per maggiori dettagli, vedi FIPS 140-2 su NIST.
Il P-ATO FedRAMP High include controlli per la protezione dei dati in transito (SC-8(1)) e la protezione dei dati at-rest (SC-28(1)) utilizzando moduli crittografici convalidati da FIPS.
Protezione dei dati con convalida FIPS predefinita in GKE
Le sezioni seguenti spiegano come Google Cloud e GKE implementano la crittografia con convalida FIPS per proteggere i dati at-rest e in transito. Queste informazioni sono trattate in modo più dettagliato nel piano di sicurezza del sistema (SSP), che puoi richiedere al tuo team di vendita, al tuo rappresentante o al FedRAMP Program Management Office se sei un cliente governativo. Google Cloud Google Cloud Google Cloud Google Cloud Per maggiori dettagli, vedi Conformità FedRAMP diGoogle Cloud .
Protezione dei dati at-rest con convalida FIPS
I dati GKE vengono criptati a riposo utilizzando un modulo di crittografiaGoogle Cloud convalidato FIPS 140-2 denominato BoringCrypto. Per maggiori dettagli, vedi Convalida FIPS 140-2 in Google Cloud.
Per saperne di più sulla crittografia at-rest, consulta le seguenti risorse:
- Crittografia at-rest predefinita
- Servizi Google Cloud interessati dall'autorizzazione provvisoria a operare (P-ATO) FedRAMP
- NIST 800-57: Recommendations for Key Management
- Convalida del modulo NIST BoringCrypto
- Cripta i dati in transito in GKE con chiavi di crittografia gestite dall'utente
Protezione dei dati in transito con convalida FIPS
Il Google Cloud VPC ha un'autorizzazione provvisoria a operare (P-ATO) FedRAMP High. Tutti i dati che trasmetti all'interno della tua rete VPC vengono criptati automaticamente. In GKE, ciò significa che tutto il traffico da e verso container, pod, il processo kubelet su ogni nodo, tutti i nodi, le istanze del piano di controllo e altri servizi Google Cloud all'interno del VPC è protetto durante il transito. Tutte le connessioni alle API di Google utilizzano Transport Layer Security (TLS) 1.2 o versioni successive per criptare il traffico di rete. Non sono necessarie ulteriori azioni per la conformità FIPS per la protezione dei dati in transito all'interno della rete VPCGoogle Cloud .
Per ulteriori informazioni su come vengono criptati i dati in transito, consulta il white paper sulla crittografia dei dati in transito.
Consigli per proteggere i dati al di fuori di Google Cloud
La crittografia predefinita dei dati in transito per GKE e Google Cloud si applica solo all'interno della rete VPC. Google Cloud Devi utilizzare la crittografia conforme a FIPS per proteggere i dati che si trovano al di fuori del perimetro della rete VPC. I seguenti consigli ti aiutano a garantire che tutti i dati in entrata e in uscita al di fuori del tuo ambienteGoogle Cloud FIPS in transito siano criptati con crittografia conforme a FIPS.
Intercettare e criptare il traffico in entrata da internet
Per il traffico in entrata verso il tuo Google Cloud ambiente da internet, utilizza le norme SSL nei Google Cloud bilanciatori del carico per definire un insieme consentito di cifrari o meccanismi crittografici con convalida FIPS con cui i dati devono essere protetti quando entrano nell' Google Cloud ambiente. Per i dettagli, consulta le seguenti risorse:
- Criteri SSL per i protocolli SSL e TLS
- Creare policy SSL con un profilo personalizzato
- Crittografia tra bilanciatori del carico proxy e backend
Intercettare e criptare il traffico in uscita verso internet
Definisci un perimetro che limiti le connessioni di dati in uscita a un insieme di terze parti note di cui ti fidi configurando i firewall. Diagramma e documenta eventuali requisiti di rete esterni, ad esempio l'estrazione di dati da fonti come GitHub, e dove si verificheranno queste connessioni esterne all'interno del tuo ambiente. Valuta la possibilità di utilizzare un proxy inverso per intercettare il traffico in uscita dal tuo VPC.
Se hai traffico HTTP che esce dal perimetro del tuo ambienteGoogle Cloud conforme a FedRAMP, valuta la possibilità di configurare un proxy di inoltro HTTP per intercettare i dati prima che escano dall'ambiente. Esegui nuovamente la crittografia dei dati utilizzando un modulo crittografico convalidato FIPS 140-2 prima di consentirne l'uscita dal tuo perimetro. Questo approccio è più gestibile su larga scala rispetto al tentativo di garantire che ogni client interno utilizzi librerie di crittografia conformi per la comunicazione esterna.
Abilita nodi privati
GKE ti consente di disattivare l'indirizzo IP esterno per i nuovi nodi nei tuoi cluster, in modo che i workload eseguiti sui nodi non possano comunicare con internet per impostazione predefinita. Utilizza le variabili di ambiente http_proxy
o https_proxy
per inviare tutto il traffico al proxy HTTP configurato.
Puoi configurare un'intercettazione più trasparente di questo traffico con le regole di routing. Tuttavia, poiché esegui il proxy del traffico TLS, il proxy non può essere completamente trasparente per le applicazioni che esegui su GKE.
Per maggiori dettagli, consulta le seguenti risorse:
Utilizza Cloud VPN per le connessioni a livello di rete a GKE
A volte potrebbe essere necessaria una connessione di livello di rete criptata ai tuoi cluster GKE. Ad esempio, potresti dover configurare una rete conforme a FIPS tra i nodi GKE e i nodi on-premise. Cloud VPN è un servizio autorizzato FedRAMP High che cripta i dati in transito tra la rete VPC e la rete on-premise. Per i dettagli, consulta la panoramica di Cloud VPN.
Utilizzare Cloud KMS per le operazioni di crittografia
Se devi eseguire operazioni crittografiche nel tuo Google Cloud ambiente, utilizza Cloud Key Management Service. Cloud KMS è un servizio autorizzato FedRAMP High. Cloud KMS ti consente di eseguire operazioni di crittografia conformi allo standard FIPS 140-2 livello 1 o livello 3. Per maggiori dettagli, consulta le seguenti risorse:
Crea librerie con convalida FIPS nei carichi di lavoro GKE
Per utilizzare il modulo di crittografia BoringCrypto nelle tue applicazioni GKE, installa BoringSSL. BoringSSL è un fork open source di OpenSSL che include la libreria BoringCrypto. Per creare, compilare e collegare staticamente il modulo BoringCrypto a BoringSSL, consulta la sezione 12.1, "Istruzioni per l'installazione", nel PDF del documento BoringCrypto FIPS 140-2 Security Policy.
Prendi in considerazione immagini container conformi a FIPS di terze parti
Ti consigliamo di utilizzare i proxy al limite del tuo ambienteGoogle Cloud conforme a FIPS per applicare in modo completo la conformità a FIPS. Puoi anche eseguire carichi di lavoro conformi a FIPS senza essere limitato alle macchine host dei nodi con kernel conformi a FIPS. Alcuni fornitori di terze parti forniscono immagini container che utilizzano una fonte di entropia separata e conforme a FIPS.
Assicurati di valutare correttamente l'implementazione del fornitore di terze parti per assicurarti che sia effettivamente conforme allo standard FIPS.
Passaggi successivi
- Leggi la Google Cloud guida all'implementazione FedRAMP
- Utilizza un vincolo della policy dell'organizzazione per limitare TLS alla versione 1.2