本文档提供了配置指南,可帮助您在美国 (US) 安全地部署 Google Cloud 符合 FedRAMP 高风险级别和美国国防部 (DoD) 影响级别 2 (IL2)、影响级别 4 (IL4) 和影响级别 5 (IL5) 设计要求的网络政策。本文档面向在 Google Cloud上设计和部署网络解决方案的解决方案架构师、网络工程师和安全工程师。下图显示了高度监管的工作负载的着陆区网络设计。
架构
上图中显示的网络设计符合 FedRAMP High 以及 DoD IL2、IL4 和 IL5 的美国合规性框架要求。此架构包括以下组件,本文档稍后会对此进行详细介绍:
- 虚拟私有云 (VPC):这些 VPC 是全球性的,但您只能在美国区域中创建子网。
- 区域级负载均衡器:这些负载均衡器是区域级负载均衡器,而非全球负载均衡器。它们仅支持在美国部署。请注意,使用无法通过互联网直接访问的外部负载平衡器时,可能需要通过 DISA 进行额外的验证,以确保获得 IL4 和 IL5 的 DoD 授权。
- Google Cloud Armor 安全政策:这些政策可以与受支持的区域级负载平衡器安全政策配合使用。
- Private Service Connect、专用 Google 访问通道 (PGA) 和专用服务访问通道 (PSA):这些选项可以启用与区域内 Google 托管式服务的专用连接。您必须通过与您的使用场景相关的选项在该区域内启用对 Google 托管式服务和 API 的专用访问通道。
- 第三方服务:对于第三方提供方-使用方服务,您必须确保提供方服务和传输中的数据均满足您的合规性要求。
- 非生产:根据组织的 VPC 策略预配其他环境,例如非生产、测试和质量保证 (QA)。
使用场景
Assured Workloads 是一个合规性框架,有助于提供您需要的安全控制措施,以满足 FedRAMP 高风险级别以及 DoD IL2、IL4 和 IL5 的监管要求。使用 Assured Workloads 进行部署后,您需要负责设置合规且安全的网络政策。如需了解其他合规性用例,请参阅 FedRAMP 文档中的将 FedRAMP 中等和高工作负载托管到 Google Cloud。
本指南的范围仅限于网络组件。您必须根据共担责任模型、FedRAMP 客户责任矩阵、适用 Google Cloud 服务、FedRAMP 和 Assured Workloads 准则来配置工作负载。如需详细了解如何满足其他 Google Cloud 服务的合规性要求,请参阅合规性资源中心。
本文档中提及的服务仅作示例之用。您必须查看符合合规性计划要求的服务,以确保符合工作负载的合规性级别要求。
超出范围的产品
以下服务不符合 FedRAMP High 或 DoD IL2、IL4 和 IL5 管辖区边界合规性要求:
- 全球外部应用负载均衡器
- 全球 Google Cloud Armor
- 全球外部代理负载均衡器
在开始进行网络设计之前,我们建议您与 Google 支持团队讨论在您的网络中使用这些服务的风险。
设计考虑事项
本部分介绍了适合采用本文档中所述配置的设计注意事项。
使用 Assured Workloads
对于具有数据主权和驻留要求的法规(例如 FedRAMP High 以及 DoD IL4 和 IL5),您必须使用 Assured Workloads 来满足 Google Cloud 基于合规性的要求。如需了解这些原则是否适用于您在 Google Cloud上的合规计划,我们建议您在设计阶段的早期阶段查看 Assured Workloads 概览。您负责配置自己的网络和 IAM 政策。
您必须配置一个 Assured Workloads 文件夹,并设置相应的合规计划。在这种情况下,请将相应的合规性计划设置为 FedRAMP
High 或 IL2, IL4, IL5。此文件夹提供组织内的监管边界以识别受监管的数据类型。默认情况下,此文件夹下的任何项目都将继承在 Assured Workloads 文件夹级层设置的安全性和合规性安全措施。Assured Workloads 根据您使用组织政策服务资源限制选择的合规性计划来限制您可以为这些资源选择的区域。
区域一致性
您必须使用一个或多个美国 Google 区域来支持本指南范围内的合规性计划。请注意,FedRAMP High 以及 DoD IL4 和 IL5 的一般要求是将数据保留在美国地理边界内。如需了解您可以添加的区域,请参阅 Assured Workloads 位置。
产品级合规性
您有责任确认产品或服务支持您的应用场景的相应数据主权和驻留要求。当您购买或使用目标合规性计划时,您还必须针对使用的每个产品遵循以下准则,以满足适用的合规性要求。Assured Workloads 会设置可修改的组织政策,其中包含时间点资源使用限制政策,该政策反映了符合所选合规性框架的服务。
部署
为了帮助您满足合规性要求,我们建议您遵循本部分中针对个别网络服务的准则。
Virtual Private Cloud 网络配置
您必须进行以下 Virtual Private Cloud 配置:
- 子网:在区域一致性中引用的美国区域中创建子网。Assured Workloads 会应用政策来限制在其他位置创建子网。
- 防火墙规则:您必须将 VPC 防火墙规则配置为仅允许或拒绝传入或传出 VPC 网络中的虚拟机 (VM) 实例的连接。
Private Service Connect 配置
Private Service Connect 是一项网络功能, Google Cloud 可让消费者从其 VPC 网络内部以私密方式访问托管式服务。
使用区域负载平衡器配置时,两种 Private Service Connect 类型(Private Service Connect 端点和 Private Service Connect 后端)都支持本文档中描述的控制措施。我们建议您应用下表中所述的配置详细信息:
| Private Service Connect 类型 | 支持的负载均衡器 | 法规遵从状态 |
|---|---|---|
| Google API 的 Private Service Connect 端点 | 不适用 | 不受支持 |
| Google API 的 Private Service Connect 后端 |
|
与以下任一区域级负载均衡器搭配使用时合规:
|
| 已发布服务的 Private Service Connect 端点 |
|
合规 |
| 已发布服务的 Private Service Connect 后端 |
|
与以下区域级负载均衡器一起使用时合规:
|
数据包镜像
数据包镜像是一项 VPC 功能,可帮助您保持合规性。数据包镜像可捕获所有流量和数据包数据(包括载荷和标头),并将其转发到目标收集器进行分析。数据包镜像会继承 VPC 合规性状态。
Cloud Load Balancing
Google Cloud 提供不同类型的负载平衡器,如应用负载平衡器概览中所述。对于此架构,您必须使用区域级负载均衡器。
Cloud DNS
您可以使用 Cloud DNS 来帮助您满足合规性要求。Cloud DNS 是 Google Cloud 中的一项托管式 DNS 服务,支持专用转发地区、对等互连地区、反向查找地区和 DNS 服务器政策。Cloud DNS 公开区域不符合 FedRAMP High 以及 DoD IL2、IL4 或 IL5 控制的要求。
Cloud Router
Cloud Router 是一款区域级产品,您可以为 Cloud VPN、Cloud Interconnect 和 Cloud NAT 进行配置。您只能在美国区域配置 Cloud Router。创建或修改 VPC 网络时,可以将动态路由模式设置为区域级或全球级。如果启用全局路由模式,则必须将自定义通告模式配置为仅包含美国网络。
Cloud NAT
Cloud NAT 是一种区域级托管式 NAT 产品,可用于为没有外部 IP 地址的专用资源启用对互联网的出站访问。您只能在具有关联 Cloud Router 组件的美国区域配置 Cloud NAT 网关。
Cloud VPN
您必须使用位于美国境内的 Cloud VPN 端点。确保您的 VPN 网关配置为仅在正确的美国区域使用,如区域一致性中所述。我们建议您对 Cloud VPN 使用高可用性 VPN 类型。对于加密,您只能使用符合 FIPS 140-2 的加密方式来创建证书和配置 IP 地址安全性。如需详细了解 Cloud VPN 中支持的加密方式,请参阅支持的 IKE 加密方式。如需了解如何选择符合 FIPS 140-2 标准的加密方式,请参阅已通过 FIPS 140-2 验证。完成配置后,您将无法更改Google Cloud中的现有加密方式。请确保在第三方设备上配置与 Cloud VPN 相同的加密方式。
Google Cloud Armor
Google Cloud Armor 是一项 DDoS 缓解和应用保护服务。它有助于防止对具有向互联网公开的工作负载的客户部署的 DDoS 攻击。 Google Cloud 适用于区域级外部应用负载平衡器的 Google Cloud Armor 旨在为区域级负载均衡工作负载提供相同的保护和功能。由于 Google Cloud Armor Web 应用防火墙 (WAF) 使用区域级范围,因此您的配置和流量位于创建资源的区域中。您必须创建区域级后端安全政策,并将其附加到具有区域范围的后端服务。新的区域级安全政策只能应用于同一区域中区域级范围的后端服务,并在区域内存储、评估和强制执行。对于通过网络负载均衡器(或协议转发)转发规则或直接通过公共 IP 公开的虚拟机公开给互联网的工作负载,适用于网络负载均衡器和虚拟机的 Google Cloud Armor 为其扩展了 Google Cloud Armor DDoS 防护。如需启用此保护,您必须配置高级网络 DDoS 防护。
专用互连
如需使用专用互连,您的网络必须在受支持的对接网点处以物理方式连接到 Google 网络。对接网点提供商在您的网络与 Google Edge 入网点之间提供 10G 或 100G 线路。您只能在服务于美国区域的对接网点中使用 Cloud Interconnect。 Google Cloud
使用合作伙伴互连时,您必须咨询服务提供商,确认其位置位于美国境内并且已连接到本部分后面列出的某个美国位置。 Google Cloud
默认情况下,通过 Cloud Interconnect 发送的流量未加密。如果您要对通过 Cloud Interconnect 发送的流量进行加密,则可以配置通过 Cloud Interconnect 实现的 VPN 或 MACsec。
如需查看支持的区域和对接网点的完整列表,请参阅下表:
后续步骤
- 详细了解本设计指南中使用的 Google Cloud 产品:
- 如需查看更多参考架构、图表和最佳实践,请浏览云架构中心。
贡献者
作者:
- Haider Witwit | 客户工程师
- Bhavin Desai | 产品经理
其他贡献者:
- Ashwin Gururagughndran | 软件工程师
- Percy Wadia | 组合产品经理
- Daniel Lees | 云安全架构师
- Marquis Carroll | 顾问
- Michele Chubirka | 云安全技术推广工程师