Esta página descreve como o Google Cloud e o Google Kubernetes Engine (GKE) mantêm a conformidade com as Normas de Processamento de Informação Federal (FIPS) à medida que processa e transmite dados através dos seus clusters do GKE que são executados no Google Cloud.
Esta página destina-se a gestores de segurança, engenheiros de segurança e responsáveis pela conformidade que pretendem cumprir requisitos rigorosos de segurança de dados e privacidade relacionados com a FIPS. Também pode usar esta página para mostrar a um auditor que o GKE on Google Cloud implementa proteções validadas pela FIPS para a segurança dos dados por predefinição.
Principais conclusões sobre a encriptação validada pela FIPS no GKE
- Os controlos de segurança da FedRAMP® para a encriptação de dados em trânsito (SC-28) e em repouso (SC-8(1)) exigem que os seus dados sejam encriptados através de módulos criptográficos validados pela FIPS 140-2 ou mais recentes. Estes controlos de segurança não exigem explicitamente a ativação do "modo FIPS" ao nível do sistema operativo (SO). Além disso, o modo FIPS ao nível do SO não é uma garantia de conformidade.
- Os dados armazenados em sistemas Google Cloud autorizados pela FedRAMP são encriptados em repouso por predefinição através de módulos criptográficos validados pela FIPS 140-2 ou mais recentes. Enquanto os seus dados estiverem armazenados nestes sistemas autorizados, os dados cumprem os requisitos da FedRAMP para proteger os dados em repouso (controlo de segurança SC-28). Para ver uma lista dos sistemas autorizados, consulte os serviços de âmbito do FedRAMP High.
- Os dados que transmite na rede da Google Cloud nuvem privada virtual (VPC) são encriptados automaticamente e estão protegidos por mecanismos de autenticação e autorização. A VPC está autorizada no FedRAMP High. Enquanto os seus dados estiverem a ser transmitidos na rede VPC, os dados cumprem os requisitos da FedRAMP para proteger os dados em trânsito (controlo de segurança SC-8(1)). Google Cloud
- Não precisa de criar as suas aplicações com processos de compilação em conformidade com a FIPS para cumprir os requisitos da FedRAMP para a proteção de dados em repouso e em trânsito. Isto deve-se ao facto de os dados transmitidos na rede VPC e armazenados em sistemas de armazenamento autorizados pela FedRAMP estarem protegidos em conformidade com estes requisitos da FedRAMP para proteção de dados por predefinição.Google Cloud Google Cloud
Acerca das normas FIPS e FedRAMP
O Federal Risk and Authorization Management Program (FedRAMP) é um programa do governo dos EUA que define uma abordagem uniformizada para a avaliação de segurança e risco para tecnologias na nuvem. O GKE está incluído na lista de Google Cloud serviços que têm autoridade provisória para operar (P-ATO) FedRAMP High. Para saber mais acerca da Google Cloud FedRAMP P-ATO, consulte a Google Cloud vista geral da FedRAMP.
O FIPS é um conjunto de normas anunciado publicamente e emitido pelo National Institute of Standards and Technology (NIST). A publicação FIPS 140-2 define os requisitos para aprovar módulos criptográficos. Para obter detalhes, consulte o artigo FIPS 140-2 no NIST.
A P-ATO FedRAMP High inclui controlos para proteger dados em trânsito (SC-8(1)) e proteger dados em repouso (SC-28(1)) através de módulos criptográficos validados pela FIPS.
Proteção de dados predefinida validada pela FIPS no GKE
As secções seguintes explicam como o Google Cloud e o GKE implementam a encriptação validada pela FIPS para proteger os dados inativos e em trânsito. Estas informações são abordadas mais detalhadamente no plano de segurança do sistema (SSP), que pode solicitar à sua equipa de vendas, representante ou ao Gabinete de gestão do programa FedRAMP se for um cliente governamental. Google Cloud Google Cloud Google Cloud Google Cloud Para ver detalhes, consulte o artigo Google Cloud Conformidade com o FedRAMP.
Proteção de dados em repouso validada pela FIPS
Os dados do GKE são encriptados em repouso através de um módulo de encriptação Google Cloud validado pela FIPS 140-2 denominado BoringCrypto. Para obter detalhes, consulte o artigo Validação FIPS 140-2 no Google Cloud.
Para mais informações sobre a encriptação em repouso, consulte os seguintes recursos:
- Encriptação predefinida em repouso
- Serviços do Google Cloud no âmbito da FedRAMP P-ATO
- NIST 800-57: recomendações para a gestão de chaves
- Validação do módulo BoringCrypto do NIST
- Encripte os seus dados em trânsito no GKE com chaves de encriptação geridas pelo utilizador
Proteção de dados em trânsito validada pela FIPS
O Google Cloud VPC tem um P-ATO FedRAMP High. Todos os dados que transmitir na sua rede VPC são automaticamente encriptados. No GKE, isto significa que todo o tráfego de e para contentores, pods, o processo kubelet em cada nó, todos os nós, instâncias do plano de controlo e outros Google Cloud serviços na VPC está protegido em trânsito. Todas as ligações às APIs Google usam o Transport Layer Security (TLS) 1.2 ou superior para encriptar o tráfego de rede. Não é necessária nenhuma ação adicional para estar em conformidade com a FIPS para a proteção de dados em trânsito na Google Cloud rede VPC.
Para mais informações sobre como os seus dados são encriptados em trânsito, consulte o Livro branco sobre a encriptação em trânsito.
Recomendações para proteger dados fora do Google Cloud
A encriptação predefinida de dados em trânsito para o GKE e Google Cloud aplica-se apenas na Google Cloud rede VPC. Tem de usar criptografia em conformidade com a FIPS para proteger os dados que estão fora do limite da rede VPC. As seguintes recomendações ajudam a garantir que todos os dados recebidos e enviados fora do seu ambienteGoogle Cloud FIPS em trânsito são encriptados com criptografia em conformidade com o FIPS.
Intercetar e encriptar o tráfego recebido da Internet
Para o tráfego de entrada para o seu Google Cloud ambiente a partir da Internet, use políticas SSL em Google Cloud equilibradores de carga para definir um conjunto permitido de cifras ou mecanismos criptográficos validados pela FIPS com os quais os dados têm de ser protegidos quando entram no Google Cloud ambiente. Para ver detalhes, consulte os seguintes recursos:
- Políticas de SSL para protocolos SSL e TLS
- Crie políticas SSL com um perfil personalizado
- Encriptação entre balanceadores de carga de proxy e back-ends
Intercetar e encriptar o tráfego de saída para a Internet
Defina um perímetro que limite as ligações de dados de saída a um conjunto de terceiros conhecidos nos quais confia configurando firewalls. Diagramar e documentar todos os requisitos de rede externos, como a obtenção de dados de origens como o GitHub, e onde essas ligações externas ocorrem no seu ambiente. Considere usar um proxy inverso para intercetar o tráfego de saída da sua VPC.
Se tiver tráfego HTTP que está a sair do perímetro do seu ambiente Google Cloud em conformidade com a FedRAMP, considere configurar um proxy de encaminhamento HTTP para intercetar os dados antes de saírem do ambiente. Volte a encriptar os dados através de um módulo criptográfico validado pela FIPS 140-2 antes de permitir que saiam do seu perímetro. Esta abordagem é mais fácil de gerir em grande escala do que tentar garantir que todos os clientes internos usam bibliotecas de encriptação em conformidade para a comunicação externa.
Ative os nós privados
O GKE permite-lhe desativar o endereço IP externo para novos nós nos seus clusters, para que as cargas de trabalho executadas nos nós não possam comunicar com a Internet por predefinição. Use as variáveis de ambiente http_proxy ou https_proxy para enviar todo o tráfego para o proxy HTTP configurado.
Pode configurar uma interceção mais transparente deste tráfego com regras de encaminhamento. No entanto, uma vez que está a usar um proxy para o tráfego TLS, o proxy não pode ser completamente transparente para as aplicações que executa no GKE.
Para ver detalhes, consulte os seguintes recursos:
Use a Cloud VPN para ligações da camada de rede ao GKE
Por vezes, pode precisar de uma ligação de camada de rede encriptada aos seus clusters do GKE. Por exemplo, pode ter de configurar uma rede em conformidade com a norma FIPS entre os nós do GKE e os nós no local. A Cloud VPN é um serviço autorizado pela FedRAMP High que encripta os seus dados em trânsito entre a sua rede VPC e a sua rede no local. Para ver detalhes, consulte o artigo Vista geral da VPN na nuvem.
Use o Cloud KMS para operações criptográficas
Se precisar de realizar operações criptográficas no seu ambiente Google Cloud, use o Cloud Key Management Service. O Cloud KMS é um serviço autorizado do FedRAMP High. O Cloud KMS permite-lhe realizar operações criptográficas em conformidade com o nível 1 ou 3 da norma FIPS 140-2. Para ver detalhes, consulte os seguintes recursos:
Crie bibliotecas validadas pela FIPS em cargas de trabalho do GKE
Para usar o módulo de encriptação BoringCrypto nas suas aplicações do GKE, instale o BoringSSL. O BoringSSL é uma ramificação de código aberto do OpenSSL que inclui a biblioteca BoringCrypto. Para criar, compilar e associar estaticamente o módulo BoringCrypto ao BoringSSL, consulte a secção 12.1, "Instruções de instalação", no PDF da política de segurança FIPS 140-2 do BoringCrypto
Considere imagens de contentores de terceiros compatíveis com FIPS
Recomendamos que use proxies no limite do seu ambiente Google Cloud em conformidade com a FIPS para aplicar a conformidade com a FIPS de forma abrangente. Também pode executar cargas de trabalho em conformidade com a FIPS sem se limitar a máquinas anfitriãs de nós que tenham kernels em conformidade com a FIPS. Alguns fornecedores externos disponibilizam imagens de contentores que usam uma origem de entropia separada e em conformidade com a FIPS.
Certifique-se de que avalia corretamente a implementação do fornecedor externo para garantir que está realmente em conformidade com a FIPS.
O que se segue?
- Leia o Google Cloud guia de implementação do FedRAMP
- Use uma restrição de política da organização para restringir o TLS à versão 1.2