이 문서에서는 FedRAMP 높음 및 미국 국방부(DoD) Impact Level 2(IL2), Impact Level 4(IL4), Impact Level 5(IL5)의 설계 요구사항을 준수하는 Google Cloud Networking 정책을 미국(US)에서 안전하게 배포하는 데 도움이 되는 구성 안내를 제공합니다. 이 문서는 Google Cloud에서 네트워킹 솔루션을 설계하고 배포하는 솔루션 설계자, 네트워크 엔지니어, 보안 엔지니어를 대상으로 합니다. 다음 다이어그램에서는 엄격한 규제가 적용되는 워크로드의 시작 영역 네트워크 설계를 보여줍니다.
아키텍처
앞의 다이어그램에 표시된 네트워크 설계는 FedRAMP 높음 및 DoD IL2, IL4, IL5에 대한 미국 규정 준수 프레임워크 요구사항에 부합합니다. 이 아키텍처에는 다음 구성요소가 포함되며 이러한 구성요소는 이 문서의 후반부에서 자세히 설명합니다.
- 가상 프라이빗 클라우드(VPC): 이러한 VPC는 전역이지만 미국 리전에만 서브넷을 만들어야 합니다.
- 리전 부하 분산기: 이러한 부하 분산기는 전역이 아닌 리전입니다. 미국 배포만 지원합니다. 인터넷에서 직접 액세스할 수 있는 외부 부하 분산기를 사용하려면 IL4 및 IL5에 대한 DoD 승인을 보장하기 위해 DISA에서 추가 검증이 필요할 수 있습니다.
- Google Cloud Armor 보안 정책: 이러한 정책은 지원되는 리전 부하 분산기 보안 정책과 함께 사용 가능합니다.
- Private Service Connect, 비공개 Google 액세스(PGA), 비공개 서비스 액세스(PSA): 이러한 옵션은 리전 내에서 Google 관리형 서비스에 대한 비공개 연결을 사용 설정합니다. 사용 사례에 해당하는 옵션을 통해 리전 내에서 Google 관리형 서비스와 API에 대한 비공개 액세스를 사용 설정해야 합니다.
- 서드 파티 서비스: 서드 파티 제작자-소비자 서비스의 경우 생산자 서비스와 전송 중인 데이터 모두 규정 준수 요구사항을 충족하는지 확인해야 합니다.
- 비프로덕션: 조직의 VPC 전략에 따라 비프로덕션, 테스트, 품질 보증(QA)과 같은 다른 환경을 프로비저닝합니다.
사용 사례
Assured Workloads는 FedRAMP 높음 및 DoD IL2, IL4, IL5의 규제 요구사항을 지원하는 데 필요한 보안 제어를 제공하는 데 도움이 되는 규정 준수 프레임워크입니다. Assured Workloads를 사용하여 배포한 후에는 규정 준수 및 보안 네트워킹 정책을 설정해야 합니다. 다른 규정 준수 사용 사례는 FedRAMP 문서의 Google Cloud에서 FedRAMP 중간 및 높음 워크로드 호스팅을 참조하세요.
이 가이드 범위는 네트워킹 구성요소로 제한됩니다. 책임 공유 모델, FedRAMP 고객 책임 규정, 범위 내 Google Cloud 서비스, FedRAMP, Assured Workloads 가이드라인에 따라 워크로드를 구성해야 합니다. 다른 Google Cloud 서비스의 규정 준수 요구사항을 충족하는 방법에 대한 자세한 내용은 규정 준수 리소스 센터를 참조하세요.
이 문서에서 참조된 서비스는 예시 목적으로만 사용됩니다. 워크로드의 올바른 규정 준수 수준 요구사항을 보장하기 위해 규정 준수 프로그램 범위에 해당하는 서비스를 검토해야 합니다.
범위 외 제품
다음 서비스는 FedRAMP 높음 또는 DoD IL2, IL4, IL5 관할권 경계 규정 준수 요구사항을 충족하지 않습니다.
- 전역 외부 애플리케이션 부하 분산기
- 전역 Google Cloud Armor
- 전역 외부 프록시 부하 분산기
네트워크 설계를 시작하기 전에 Google 지원팀과 네트워크에서 이러한 서비스를 사용할 때의 위험을 논의하는 것이 좋습니다.
설계 고려사항
이 섹션에서는 이 문서에 설명된 구성이 적합한 선택인지 판단할 수 있는 설계 고려사항을 설명합니다.
Assured Workloads 사용
FedRAMP 높음 및 DoD IL4, IL5와 같이 데이터 주권 및 상주 요구사항이 있는 규정에 대한 Google Cloud 규정 준수 기반 요구사항을 충족하려면 Assured Workloads를 사용해야 합니다. 이러한 원칙이 Google Cloud의 규정 준수 프로그램에 적용되는지 확인하려면 설계 단계 초기에 Assured Workloads 개요를 검토하는 것이 좋습니다. 개발자가 자체 네트워크와 IAM 정책을 구성해야 합니다.
Assured Workloads 폴더를 구성하고 적절한 규정 준수 프로그램을 설정해야 합니다. 이 경우 적합한 규정 준수 프로그램을 FedRAMP
High
또는 IL2, IL4, IL5
로 설정합니다. 이 폴더는 조직 내의 규제 경계를 제공하여 규제가 적용되는 데이터 유형을 식별합니다. 기본적으로 이 폴더 아래에 있는 모든 프로젝트는 Assured Workloads 폴더 수준에서 설정된 보안 및 규정 준수 가드레일을 상속합니다.
Assured Workloads는 리소스 제한 조직 정책 서비스를 사용하여 선택한 규정 준수 프로그램에 따라 해당 리소스에 대해 선택할 수 있는 리전을 제한합니다.
리전 정렬
이 안내의 범위 내에서 규정 준수 프로그램을 지원하려면 미국 Google 리전을 하나 이상 사용해야 합니다. FedRAMP 높음 및 DoD IL4, IL5에는 데이터가 미국 지리적 경계 내에 유지되어야 한다는 일반적인 요구사항이 있습니다. 추가할 수 있는 리전은 Assured Workloads 위치를 참조하세요.
제품 수준 규정 준수
개발자는 제품이나 서비스가 사용 사례에 적합한 데이터 주권 및 상주 요구사항을 지원하는지 확인해야 합니다. 대상 규정 준수 프로그램을 구매하거나 사용할 때는 해당 규정 준수 요구사항을 충족하는 데 사용하는 각 제품에 이 가이드라인도 따라야 합니다. Assured Workloads는 선택한 규정 준수 프레임워크를 준수하는 서비스를 반영하는 특정 시점의 리소스 사용량 제한 정책을 사용하여 수정 가능한 조직 정책을 설정합니다.
배포
규정 준수 요구 사항을 충족하려면 개별 네트워킹 서비스에 이 섹션의 가이드라인을 따르는 것이 좋습니다.
Virtual Private Cloud 네트워크 구성
다음과 같은 Virtual Private Cloud를 구성해야 합니다.
- 서브넷: 리전 정렬에서 참조하는 미국 리전에 서브넷을 만듭니다. Assured Workloads는 다른 위치에 서브넷 만들기를 제한하는 정책을 적용합니다.
- 방화벽 규칙: VPC 네트워크에서 가상 머신(VM) 인스턴스 간의 연결만 허용하거나 거부하도록 VPC 방화벽 규칙을 구성해야 합니다.
Private Service Connect 구성
Private Service Connect는 소비자가 VPC 네트워크 내부에서 비공개로 관리형 서비스에 액세스할 수 있도록 허용하는 Google Cloud Networking 기능입니다.
두 Private Service Connect 유형(Private Service Connect 엔드포인트 및 Private Service Connect 백엔드) 모두 리전 부하 분산기를 구성할 때 이 문서에 설명된 제어를 지원합니다. 다음 표에 설명된 구성 세부정보를 적용하는 것이 좋습니다.
Private Service Connect 유형 | 지원되는 부하 분산기 | 규정 준수 상태 |
---|---|---|
Google API용 Private Service Connect 엔드포인트 | 해당 사항 없음 | 지원되지 않음 |
Google API용 Private Service Connect 백엔드 |
|
다음 리전 부하 분산기 중 하나와 함께 사용할 경우 규정을 준수합니다.
|
게시된 서비스용 Private Service Connect 엔드포인트 |
|
준수 |
게시된 서비스용 Private Service Connect 백엔드 |
|
다음 리전 부하 분산기와 함께 사용할 경우 규정을 준수합니다.
|
패킷 미러링
패킷 미러링은 규정 준수를 유지하는 데 사용할 수 있는 VPC 기능입니다. 패킷 미러링은 페이로드와 헤더를 포함한 모든 트래픽과 패킷 데이터를 캡처하고 대상 수집기로 전달하여 분석합니다. 패킷 미러링은 VPC 규정 준수 상태를 상속합니다.
Cloud Load Balancing
Google Cloud는 애플리케이션 부하 분산기 개요의 설명대로 여러 가지 유형의 부하 분산기를 제공합니다. 이 아키텍처에서는 리전 부하 분산기를 사용해야 합니다.
Cloud DNS
Cloud DNS를 사용하면 규정 준수 요구사항을 충족할 수 있습니다. Cloud DNS는 비공개 전달 영역, 피어링 영역, 역방향 조회 영역, DNS 서버 정책을 지원하는 Google Cloud의 관리형 DNS 서비스입니다. Cloud DNS 공개 영역에서는 FedRAMP 높음 및 DoD IL2, IL4 또는 IL5 제어를 준수하지 않습니다.
Cloud Router
Cloud Router는 Cloud VPN, Cloud Interconnect, Cloud NAT에 구성할 수 있는 리전 제품입니다. 미국 리전에서만 Cloud Router를 구성해야 합니다. VPC 네트워크를 만들거나 수정할 때 동적 라우팅 모드를 리전 또는 전역으로 설정할 수 있습니다. 전역 라우팅 모드를 사용 설정하는 경우 미국 네트워크만 포함하도록 커스텀 공지 모드를 구성해야 합니다.
Cloud NAT
Cloud NAT는 외부 IP 주소가 없는 비공개 리소스 인터넷에 대한 아웃바운드 액세스를 사용 설정하는 데 사용할 수 있는 리전 관리형 NAT 제품입니다. 연결된 Cloud Router 구성요소가 있는 미국 리전에서만 Cloud NAT 게이트웨이를 구성해야 합니다.
Cloud VPN
미국에 있는 Cloud VPN 엔드포인트를 사용해야 합니다. 리전 정렬의 설명대로 VPN 게이트웨이가 올바른 US 리전에서만 사용되도록 구성되었는지 확인합니다. Cloud VPN에는 HA VPN 유형을 사용하는 것이 좋습니다. 암호화의 경우 인증서를 만들고 IP 주소 보안을 구성하는 데 FIPS 140-2 규정 준수 암호화만 사용해야 합니다. Cloud VPN에서 지원되는 암호화에 대한 자세한 내용은 지원되는 IKE 암호화를 참조하세요. FIPS 140-2 표준을 준수하는 암호화를 선택하는 방법은 FIPS 140-2 Validated를 참조하세요. 구성한 후에는 Google Cloud에서 기존 암호화를 변경할 수 없습니다. Cloud VPN에서 사용하는 서드 파티 어플라이언스에서 같은 암호화를 구성해야 합니다.
Google Cloud Armor
Google Cloud Armor는 DDoS 완화 및 애플리케이션 보호 서비스입니다. 인터넷에 노출된 워크로드가 있는 Google Cloud 고객 배포에서 DDoS 공격으로부터 보호하는 데 도움이 됩니다. 리전 외부 애플리케이션 부하 분산기용 Google Cloud Armor는 리전 부하 분산 워크로드에 동일한 보호와 기능을 제공하도록 설계되었습니다. Google Cloud Armor 웹 애플리케이션 방화벽(WAF)은 리전 범위를 사용하므로 구성과 트래픽은 리소스가 생성된 리전에 있습니다. 리전별 백엔드 보안 정책을 만들고 리전 범위가 지정된 백엔드 서비스에 연결해야 합니다. 새 리전 보안 정책은 같은 리전의 리전 범위 백엔드 서비스에만 적용될 수 있으며 리전 내에서 저장, 평가, 시행됩니다. 네트워크 부하 분산기 및 VM용 Google Cloud Armor는 네트워크 부하 분산기(또는 프로토콜 전달) 전달 규칙이나 공용 IP를 통해 직접 노출된 VM을 통해 인터넷에 노출된 워크로드에 대한 Google Cloud Armor DDoS 보호를 강화합니다. 이 보호를 사용 설정하려면 고급 네트워크 DDoS 보호를 구성해야 합니다.
Dedicated Interconnect
Dedicated Interconnect를 사용하려면 지원되는 코로케이션 시설에서 네트워크를 물리적으로 Google 네트워크에 연결해야 합니다. 시설 제공업체는 네트워크와 Google Edge 접속 지점 간에 10G 또는 100G 회선을 제공합니다. Google Cloud 미국 리전에 서비스를 제공하는 미국 내 코로케이션 시설에서만 Cloud Interconnect를 사용해야 합니다.
Partner Cloud Interconnect를 사용하는 경우 서비스 제공업체에 문의하여 서비스 위치가 미국 내에 있고 이 섹션의 후반부에 나열된 Google Cloud US 위치 중 하나에 연결되어 있는지 확인해야 합니다.
기본적으로 Cloud Interconnect를 통해 전송된 트래픽은 암호화되지 않습니다. Cloud Interconnect를 통해 전송된 트래픽을 암호화하려면 Cloud Interconnect를 통한 VPN 또는 MACsec를 구성하면 됩니다.
지원되는 리전과 코로케이션의 전체 목록은 다음 표를 참조하세요.
지역 | 위치 | 시설 이름 | 시설 |
---|---|---|---|
us-east4(버지니아) | Ashburn | iad-zone1-1 |
Equinix Ashburn(DC1-DC11) |
Ashburn | iad-zone2-1 |
Equinix Ashburn(DC1-DC11) | |
Ashburn | iad-zone1-5467 |
CoreSite - Reston(VA3) | |
Ashburn | iad-zone2-5467 |
CoreSite - Reston(VA3) | |
us-east5(콜럼버스) | 콜럼버스 | cmh-zone1-2377 |
Cologix COL1 |
콜럼버스 | cmh-zone2-2377 |
Cologix COL1 | |
us-central1(아이오와) | 카운슬 블러프스 | cbf-zone1-575 |
Nebraska 데이터 센터(1623 Farnam) |
카운슬 블러프스 | cbf-zone2-575 |
Nebraska 데이터 센터(1623 Farnam) | |
us-south1(댈러스) | 댈러스 | dfw-zone1-4 |
Equinix Dallas(DA1) |
댈러스 | dfw-zone2-4 |
Equinix Dallas(DA1) | |
us-west1(오리건) | 포틀랜드 | pdx-zone1-1922 |
EdgeConneX Portland(EDCPOR01) |
포틀랜드 | pdx-zone2-1922 |
EdgeConneX Portland(EDCPOR01) | |
us-west2(로스앤젤레스) | 로스앤젤레스 | lax-zone1-8 |
Equinix Los Angeles(LA1) |
로스앤젤레스 | lax-zone2-8 |
Equinix Los Angeles(LA1) | |
로스앤젤레스 | lax-zone1-19 |
CoreSite - LA1 - One Wilshire | |
로스앤젤레스 | lax-zone2-19 |
CoreSite - LA1 - One Wilshire | |
로스앤젤레스 | lax-zone1-403 |
Digital Realty LAX(600 West 7th) | |
로스앤젤레스 | lax-zone2-403 |
Digital Realty LAX(600 West 7th) | |
로스앤젤레스 | lax-zone1-333 |
Equinix LA3/LA4 - Los Angeles, El Segundo | |
로스앤젤레스 | lax-zone2-333 |
Equinix LA3/LA4 - Los Angeles, El Segundo | |
us-west3(솔트레이크시티) | 솔트레이크시티 | slc-zone1-99001 |
Aligned Salt Lake(SLC-01) |
솔트레이크시티 | slc-zone2-99001 |
Aligned Salt Lake(SLC-01) | |
us-west4(라스베이거스) | 라스베이거스 | las-zone1-770 |
Switch Las Vegas |
라스베이거스 | las-zone2-770 |
Switch Las Vegas |
다음 단계
- 이 설계 가이드에서 사용되는 Google Cloud 제품을 자세히 알아보세요.
- 클라우드 아키텍처 센터에서 참조 아키텍처, 다이어그램, 권장사항 자세히 살펴보기
참여자
저자:
기타 참여자:
- 애쉬윈 구루라그하벤드란 | 소프트웨어 엔지니어
- 퍼시 와디아 | 그룹 제품 관리자
- 다니엘 리 | 클라우드 보안 설계자
- 마퀴스 캐롤 | 컨설턴트
- 미셸 추비르카 | 클라우드 보안 변호사