Configurar redes para FedRAMP y DoD en Google Cloud

Last reviewed 2024-02-28 UTC

En este documento, se proporciona orientación de configuración para ayudarte a implementar de forma segura las políticas de redes de Google Cloud en Estados Unidos (EE.UU.) que cumplan con los requisitos de diseño de FedRAMP High y de Impact Level 2 (IL2), Impact Level 4 (IL4) e Impact Level 5 (IL5) del Departamento de Defensa (DoD). Este documento está dirigido a ingenieros de redes, ingenieros de seguridad y arquitectos de soluciones que diseñan e implementan soluciones de herramientas de redes en Google Cloud. En el siguiente diagrama, se muestra un diseño de red de la zona de destino para cargas de trabajo altamente reguladas.

Diseño de red de la zona de destino para cargas de trabajo altamente reguladas.

Arquitectura

El diseño de red que se muestra en el diagrama anterior está alineado con los requisitos del framework de cumplimiento de EE.UU. para FedRAMP High y para IL2, IL4 e IL5 de DoD. Esta arquitectura incluye los siguientes componentes, que se describen con más detalle más adelante en este documento:

  • Nube privada virtual (VPC): Estas VPC son globales; sin embargo, solo debes crear subredes en regiones de EE.UU.
  • Balanceadores de cargas regionales: Estos balanceadores de cargas son regionales, no globales. Solo admiten implementaciones en EE.UU. Ten en cuenta que el uso de balanceadores de carga externos a los que se puede acceder directamente a través de Internet podría necesitar una validación adicional con DISA para garantizar la autorización del DoD para IL4 e IL5.
  • Políticas de seguridad de Google Cloud Armor: Estas políticas se pueden usar con políticas de seguridad del balanceador de cargas regional compatible.
  • Private Service Connect, Acceso privado a Google (PGA) y Acceso privado a servicios (PSA): Estas opciones permiten la conectividad privada a los servicios administrados de Google dentro de la región. Debes habilitar el acceso privado a los servicios administrados y a las APIs de Google dentro de la región a través de la opción relevante para tu caso de uso.
  • Servicios de terceros: para los servicios de productores y consumidores de terceros, debes asegurarte de que el servicio de productor y los datos que están en tránsito cumplan con tus requisitos de cumplimiento.
  • No producción: Aprovisiona otros entornos, como los que no son de producción, las pruebas y el control de calidad (QA) de acuerdo con la estrategia de VPC de tu organización.

Caso de uso

Assured Workloads es un framework de cumplimiento que puede ayudar a proporcionar los controles de seguridad que necesitas para cumplir con los requisitos reglamentarios de FedRAMP High y de IL2, IL4 e IL5 de DoD. Después de realizar la implementación con Assured Workloads, eres responsable de configurar políticas de redes compatibles y seguras. Para otros casos de uso de cumplimiento, consulta Aloja cargas de trabajo de FedRAMP Moderate y High en Google Cloud en la documentación del FedRAMP.

El alcance de esta guía se limita a los componentes de herramientas de redes. Debes configurar las cargas de trabajo de acuerdo con el modelo de responsabilidad compartida, la Matriz de responsabilidad del cliente de FedRAMP, los servicios de Google Cloud dentro del alcance y los lineamientos de Assured Workloads y FedRAMP. Para obtener más información sobre cómo cumplir con los requisitos de cumplimiento de otros servicios de Google Cloud, consulta el Centro de recursos de cumplimiento.

Los servicios a los que se hace referencia en este documento son solo de ejemplo. Debes Revisar los servicios que se encuentran dentro del alcance de los programas de cumplimiento para garantizar los requisitos de nivel de cumplimiento correctos para tu carga de trabajo.

Productos fuera del alcance

Los siguientes servicios no cumplen con los requisitos de cumplimiento de límites jurisdiccionales de FedRAMP High o de IL2, IL4 e IL5 de DoD:

  • Balanceador de cargas de aplicaciones externo global
  • Google Cloud Armor global
  • Balanceador de cargas de proxy externo global

Te recomendamos analizar el riesgo de usar estos servicios en tu red con tu equipo de atención al cliente de Google antes de comenzar a diseñar la red.

Consideraciones de diseño

En esta sección, se describen las consideraciones de diseño para las que son adecuadas las opciones de configuración que se describen en este documento.

Usa Assured Workloads

Debes usar Assured Workloads a fin de cumplir con los requisitos basados en el cumplimiento en Google Cloud para las normativas que tienen requisitos de residencia y soberanía de los datos, como FedRAMP High y IL4 e IL5 de DoD. Para comprender si estos principios se aplican a tu programa de cumplimiento en Google Cloud, te recomendamos que revises la Descripción general de Assured Workloads en las primeras etapas de la fase de diseño. Eres responsable de configurar tus propias políticas de IAM y de red.

Debes configurar una carpeta de Assured Workloads y establecer el programa de cumplimiento adecuado. En este caso, configura el programa de cumplimiento adecuado como FedRAMP High o IL2, IL4, IL5. Esta carpeta proporciona un límite regulatorio dentro de una organización para identificar los tipos de datos regulados. De forma predeterminada, cualquier proyecto en esta carpeta heredará las barreras de seguridad y cumplimiento establecidas a nivel de la carpeta de Assured Workloads. Assured Workloads restringe las regiones que puedes seleccionar para esos recursos en función del programa de cumplimiento que elegiste a través del Servicio de políticas de la organización de restricción de recursos.

Alineación regional

Debes usar una o más de las regiones de Google de EE.UU. para respaldar los programas de cumplimiento dentro del alcance de esta guía. Ten en cuenta que tanto FedRAMP High como IL4 e IL5 de DoD tienen un requisito general de que los datos se mantengan dentro de un límite geográfico de EE.UU. Para obtener información sobre qué regiones puedes agregar, consulta Ubicaciones de Assured Workloads.

Cumplimiento a nivel del producto

Es tu responsabilidad confirmar que un producto o servicio admita los requisitos de residencia y soberanía de los datos adecuados para tu caso de uso. Cuando compres o uses tu programa de cumplimiento objetivo, también debes seguir estos lineamientos para cada producto que uses para cumplir con los requisitos de cumplimiento aplicables. Assured Workloads configura una política de la organización modificable con una política de restricción de uso de recursos de un momento determinado que refleja los servicios que cumplen con el framework de cumplimiento elegido.

Deployment

A fin de ayudarte a satisfacer tus requisitos de cumplimiento, te recomendamos que sigas los lineamientos de esta sección para los servicios de herramientas de redes individuales.

Configuración de red de nube privada virtual

Debes realizar las siguientes configuraciones de nube privada virtual:

Parámetros de configuración de Private Service Connect

Private Service Connect es una función de las redes de Google Cloud que permite a los consumidores acceder a los servicios administrados de forma privada desde su red de VPC.

Ambos tipos de Private Service Connect (extremos de Private Service Connect y backends de Private Service Connect) admiten los controles que se describen en este documento cuando se configuran con balanceadores de cargas regionales. Te recomendamos que apliques los detalles de configuración que se describen en la siguiente tabla:

Tipo de Private Service Connect Balanceadores de cargas compatibles Estado de cumplimiento
Extremos de Private Service Connect para las APIs de Google No aplicable No compatible
Backends de Private Service Connect para las APIs de Google
  • Balanceador de cargas de aplicaciones externo global
  • Balanceador de cargas de red del proxy externo regional o balanceador de cargas de aplicaciones interno
  • Balanceador de cargas de red del proxy externo regional
Compatible cuando se usa con cualquiera de los siguientes balanceadores de cargas regionales:
  • Balanceador de cargas de aplicaciones externo o interno regional
  • Balanceador de cargas de red del proxy externo regional
Extremos de Private Service Connect para servicios publicados
  • Balanceador de cargas de aplicaciones interno regional
  • Balanceador de cargas de red de transferencia interno regional
  • Balanceador de cargas de red del proxy externo regional
Conforme
Backends de Private Service Connect para servicios publicados
  • Balanceador de cargas de aplicaciones externo global
  • Balanceador de cargas de aplicaciones externo o interno regional
  • Balanceador de cargas de red del proxy externo regional
  • Balanceador de cargas de red de transferencia interno regional
Compatible cuando se usa con el siguiente balanceador de cargas regional:
  • Balanceador de cargas de aplicaciones externo o interno regional
  • Balanceador de cargas de red del proxy externo regional
  • Balanceador de cargas de red de transferencia interno regional

Duplicación de paquetes

La Duplicación de paquetes es una función de VPC que puedes usar para ayudarte a mantener el cumplimiento. La duplicación de paquetes capta todo el tráfico y los datos de paquetes, incluidas las cargas útiles y los encabezados, y los reenvía a los recopiladores de destino para su análisis. La duplicación de paquetes hereda el estado de cumplimiento de VPC.

Cloud Load Balancing

Google Cloud ofrece diferentes tipos de balanceadores de cargas, como se describe en Descripción general del balanceador de cargas de aplicaciones. Para esta arquitectura, debes usar balanceadores de cargas regionales.

Cloud DNS

Puedes usar Cloud DNS para satisfacer tus requisitos de cumplimiento. Cloud DNS es un servicio de DNS administrado en Google Cloud que admite zonas de reenvío privadas, zonas de intercambio de tráfico, zonas de búsqueda inversa y Políticas de servidor DNS. Las zonas públicas de Cloud DNS no cumplen con los controles de FedRAMP High y de IL2, IL4 o IL5 de DoD.

Cloud Router

Cloud Router es un producto regional que puedes configurar para Cloud VPN, Cloud Interconnect y Cloud NAT. Solo debes configurar Cloud Router en regiones de EE.UU. Cuando creas o editas una red de VPC, puedes configurar el modo de enrutamiento dinámico para que sea regional o global. Si habilitas el modo de enrutamiento global, debes configurar el modo anunciado personalizado para incluir solo las redes de EE.UU.

Cloud NAT

Cloud NAT es un producto NAT administrado regional que puedes usar para habilitar el acceso saliente a Internet para recursos privados sin direcciones IP externas. Solo debes configurar la puerta de enlace de Cloud NAT en regiones de EE.UU. que tengan el componente asociado de Cloud Router.

Cloud VPN

Debes usar los extremos de Cloud VPN ubicados dentro de EE.UU. Asegúrate de que la puerta de enlace de VPN esté configurada solo para usarse en la región de EE.UU. correcta, como se describe en Alineación regional. Te recomendamos que uses el tipo VPN con alta disponibilidad para Cloud VPN. Para la encriptación, solo debes usar algoritmos de cifrado de cumplimiento de FIPS 140-2 a fin de crear certificados y configurar la seguridad de tu dirección IP. Para obtener más información sobre los algoritmos de cifrado admitidos en Cloud VPN, consulta Algoritmos de cifrado IKE admitidos. Para obtener orientación sobre cómo seleccionar un cifrado que cumpla con los estándares FIPS 140-2, consulta Validación con FIPS 140-2. Después de realizar una configuración, no hay forma de cambiar un algoritmo de cifrado existente en Google Cloud. Asegúrate de configurar el mismo algoritmo de cifrado en tu dispositivo de terceros que usas con Cloud VPN.

Google Cloud Armor

Google Cloud Armor es un servicio de protección de aplicaciones y mitigación de DDoS. Ayuda a protegerse contra ataques DDoS en implementaciones de clientes de Google Cloud con cargas de trabajo expuestas a Internet. Google Cloud Armor para el balanceador de cargas de aplicaciones externo regional está diseñado para proporcionar la misma protección y las mismas capacidades para las cargas de trabajo regionales con balanceo de cargas. Debido a que los firewalls de aplicación web (WAF) de Google Cloud Armor usan un alcance regional, tu configuración y el tráfico residen en la región en la que se crean los recursos. Debes crear políticas de seguridad de backend regionales y adjuntarlas a los servicios de backend con alcance regional. Las nuevas políticas de seguridad regionales solo se pueden aplicar a servicios de backend con alcance regional en la misma región y se almacenan, evalúan y aplican dentro de la región. Google Cloud Armor para VMs y balanceadores de cargas de red extiende la protección contra DDoS de Google Cloud Armor para las cargas de trabajo expuestas a Internet a través de una regla de reenvío del balanceador de cargas de red (o reenvío de protocolos) o mediante una VM expuesta directamente a través de una IP pública. Para habilitar esta protección, debes configurar la protección contra DDoS de red avanzada.

Interconexión dedicada

Para usar una interconexión dedicada, tu red debe conectarse físicamente a la red de Google en una instalación de colocación compatible. El proveedor de instalaciones proporciona un circuito de 10 G o 100 G entre tu red y un punto de presencia perimetral de Google. Solo debes usar Cloud Interconnect en instalaciones de colocación dentro de EE.UU. que entreguen regiones de Google Cloud en EE.UU.

Cuando usas Partner de Cloud Interconnect, debes consultar con el proveedor de servicios para confirmar que sus ubicaciones estén dentro de EE.UU. y estén conectadas a una de las ubicaciones de Google Cloud de EE.UU. enumeradas más adelante en esta sección.

De forma predeterminada, el tráfico que se envía a través de Cloud Interconnect no está encriptado. Si deseas encriptar el tráfico enviado a través de Cloud Interconnect, puedes configurar VPN a través de Cloud Interconnect o MACsec.

Para ver la lista completa de regiones y ubicaciones conjuntas compatibles, consulta la siguiente tabla:

Región Ubicación Nombre del establecimiento Instalación
us-east4 (Virginia) Ashburn iad-zone1-1 Equinix Ashburn (DC1-DC11)
Ashburn iad-zone2-1 Equinix Ashburn (DC1-DC11)
Ashburn iad-zone1-5467 CoreSite - Reston (VA3)
Ashburn iad-zone2-5467 CoreSite - Reston (VA3)
us-east5 (Columbus) Columbus cmh-zone1-2377 Cologix COL1
Columbus cmh-zone2-2377 Cologix COL1
us-central1 (Iowa) Council Bluffs cbf-zone1-575 Centros de datos de Nebraska (1623 Farnam)
Council Bluffs cbf-zone2-575 Centros de datos de Nebraska (1623 Farnam)
us-south1 (Dallas) Dallas dfw-zone1-4 Equinix Dallas (DA1)
Dallas dfw-zone2-4 Equinix Dallas (DA1)
us-west1 (Oregón) Portland pdx-zone1-1922 EdgeConneX Portland (EDCPOR01)
Portland pdx-zone2-1922 EdgeConneX Portland (EDCPOR01)
us-west2 (Los Ángeles) Los Ángeles lax-zone1-8 Equinix Los Angeles (LA1)
Los Ángeles lax-zone2-8 Equinix Los Angeles (LA1)
Los Ángeles lax-zone1-19 CoreSite - LA1 - One Wilshire
Los Ángeles lax-zone2-19 CoreSite - LA1 - One Wilshire
Los Ángeles lax-zone1-403 Digital Realty LAX (600 West 7th)
Los Ángeles lax-zone2-403 Digital Realty LAX (600 West 7th)
Los Ángeles lax-zone1-333 Equinix LA3/LA4 - Los Angeles, El Segundo
Los Ángeles lax-zone2-333 Equinix LA3/LA4 - Los Angeles, El Segundo
us-west3 (Salt Lake City) Salt Lake City slc-zone1-99001 Aligned Salt Lake (SLC-01)
Salt Lake City slc-zone2-99001 Aligned Salt Lake (SLC-01)
us-west4 (Las Vegas) Las Vegas las-zone1-770 Switch Las Vegas
Las Vegas las-zone2-770 Switch Las Vegas

¿Qué sigue?

Colaboradores

Autores:

Otros colaboradores: