En este documento, se proporciona orientación de configuración para ayudarte a implementar de forma segura las políticas de redes de Google Cloud en Estados Unidos (EE.UU.) que cumplan con los requisitos de diseño de FedRAMP High y de Impact Level 2 (IL2), Impact Level 4 (IL4) e Impact Level 5 (IL5) del Departamento de Defensa (DoD). Este documento está dirigido a ingenieros de redes, ingenieros de seguridad y arquitectos de soluciones que diseñan e implementan soluciones de herramientas de redes en Google Cloud. En el siguiente diagrama, se muestra un diseño de red de la zona de destino para cargas de trabajo altamente reguladas.
Arquitectura
El diseño de red que se muestra en el diagrama anterior está alineado con los requisitos del framework de cumplimiento de EE.UU. para FedRAMP High y para IL2, IL4 e IL5 de DoD. Esta arquitectura incluye los siguientes componentes, que se describen con más detalle más adelante en este documento:
- Nube privada virtual (VPC): Estas VPC son globales; sin embargo, solo debes crear subredes en regiones de EE.UU.
- Balanceadores de cargas regionales: Estos balanceadores de cargas son regionales, no globales. Solo admiten implementaciones en EE.UU.
- Políticas de seguridad de Google Cloud Armor: Estas políticas se pueden usar con políticas de seguridad del balanceador de cargas regional compatible.
- Private Service Connect, Acceso privado a Google (PGA) y Acceso privado a servicios (PSA): Estas opciones permiten la conectividad privada a los servicios administrados de Google dentro de la región. Debes habilitar el acceso privado a los servicios administrados y a las APIs de Google dentro de la región a través de la opción relevante para tu caso de uso.
- Servicios de terceros: para los servicios de productores y consumidores de terceros, debes asegurarte de que el servicio de productor y los datos que están en tránsito cumplan con tus requisitos de cumplimiento.
- No producción: Aprovisiona otros entornos, como los que no son de producción, las pruebas y el control de calidad (QA) de acuerdo con la estrategia de VPC de tu organización.
Caso de uso
Assured Workloads es un framework de cumplimiento que puede ayudar a proporcionar los controles de seguridad que necesitas para cumplir con los requisitos reglamentarios de FedRAMP High y de IL2, IL4 e IL5 de DoD. Después de realizar la implementación con Assured Workloads, eres responsable de configurar políticas de redes compatibles y seguras. Para otros casos de uso de cumplimiento, consulta Aloja cargas de trabajo de FedRAMP Moderate y High en Google Cloud en la documentación del FedRAMP.
El alcance de esta guía se limita a los componentes de herramientas de redes. Debes configurar las cargas de trabajo de acuerdo con el modelo de responsabilidad compartida, la Matriz de responsabilidad del cliente de FedRAMP, los servicios de Google Cloud dentro del alcance y los lineamientos de Assured Workloads y FedRAMP. Para obtener más información sobre cómo cumplir con los requisitos de cumplimiento de otros servicios de Google Cloud, consulta el Centro de recursos de cumplimiento.
Productos fuera del alcance
Los siguientes servicios no cumplen con los requisitos de cumplimiento de límites jurisdiccionales de FedRAMP High o de IL2, IL4 e IL5 de DoD:
- Balanceador de cargas de aplicaciones externo global
- Google Cloud Armor global
- Balanceador de cargas de proxy externo global
- Cloud CDN y Media CDN
- Network Intelligence Center
Te recomendamos analizar el riesgo de usar estos servicios en tu red con tu equipo de atención al cliente de Google antes de comenzar a diseñar la red.
Consideraciones de diseño
En esta sección, se describen las consideraciones de diseño para las que son adecuadas las opciones de configuración que se describen en este documento.
Usa Assured Workloads
Debes usar Assured Workloads a fin de cumplir con los requisitos basados en el cumplimiento en Google Cloud para las normativas que tienen requisitos de residencia y soberanía de los datos, como FedRAMP High y IL4 e IL5 de DoD. Para comprender si estos principios se aplican a tu programa de cumplimiento en Google Cloud, te recomendamos que revises la Descripción general de Assured Workloads en las primeras etapas de la fase de diseño. Eres responsable de configurar tus propias políticas de IAM y de red.
Debes configurar una carpeta de Assured Workloads y establecer el programa de cumplimiento adecuado. En este caso, configura el programa de cumplimiento adecuado como FedRAMP
High o IL2, IL4, IL5. Esta carpeta proporciona un límite regulatorio dentro de una organización para identificar los tipos de datos regulados. De forma predeterminada, cualquier proyecto en esta carpeta heredará las barreras de seguridad y cumplimiento establecidas a nivel de la carpeta de Assured Workloads.
Assured Workloads restringe las regiones que puedes seleccionar para esos recursos en función del programa de cumplimiento que elegiste mediante el Servicio de políticas de la organización de restricción de recursos.
Alineación regional
Debes usar una o más de las regiones de Google de EE.UU. para respaldar los programas de cumplimiento dentro del alcance de esta guía. Ten en cuenta que tanto FedRAMP High como IL4 e IL5 de DoD tienen un requisito general de que los datos se mantengan dentro de un límite geográfico de EE.UU. Para obtener información sobre qué regiones puedes agregar, consulta Ubicaciones de Assured Workloads.
Cumplimiento a nivel del producto
Es tu responsabilidad confirmar que un producto o servicio admita los requisitos de residencia y soberanía de los datos adecuados para tu caso de uso. Cuando compres o uses tu programa de cumplimiento objetivo, también debes seguir estos lineamientos para cada producto que uses a fin de cumplir con los requisitos de cumplimiento aplicables. Assured Workloads configura una política de la organización modificable con una política de restricción de uso de recursos de un momento determinado que refleja los servicios que cumplen con el framework de cumplimiento elegido.
Deployment
A fin de ayudarte a satisfacer tus requisitos de cumplimiento, te recomendamos que sigas los lineamientos de esta sección para los servicios de herramientas de redes individuales.
Configuración de red de nube privada virtual
Debes realizar las siguientes configuraciones de nube privada virtual:
- Subredes: Crea subredes en las regiones de EE.UU. a las que se hace referencia en Alineación regional. Assured Workloads aplica políticas para restringir la creación de subredes en otras ubicaciones.
- Reglas de firewall: Debes configurar reglas de firewall de VPC para permitir o denegar conexiones solo desde o hacia instancias de máquina virtual (VM) en tu red de VPC.
Parámetros de configuración de Private Service Connect
Private Service Connect es una función de las herramientas de redes de Google Cloud que permite a los consumidores acceder a los servicios administrados de forma privada desde su red de VPC.
Ambos tipos de Private Service Connect (extremos de Private Service Connect y backends de Private Service Connect) admiten los controles que se describen en este documento cuando se configuran con balanceadores de cargas regionales. Te recomendamos que apliques los detalles de configuración que se describen en la siguiente tabla:
| Tipo de Private Service Connect | Balanceadores de cargas compatibles | Estado de cumplimiento |
|---|---|---|
| Extremos de Private Service Connect para las APIs de Google | No aplicable | No compatible |
| Backends de Private Service Connect para las APIs de Google |
|
Compatible cuando se usa con cualquiera de los siguientes balanceadores de cargas regionales:
|
| Extremos de Private Service Connect para servicios publicados |
|
Conforme |
| Backends de Private Service Connect para servicios publicados |
|
Compatible cuando se usa con el siguiente balanceador de cargas regional:
|
Duplicación de paquetes
La Duplicación de paquetes es una función de VPC que puedes usar para ayudarte a mantener el cumplimiento. La duplicación de paquetes capta todo el tráfico y los datos de paquetes, incluidas las cargas útiles y los encabezados, y los reenvía a los recopiladores de destino para su análisis. La duplicación de paquetes hereda el estado de cumplimiento de VPC.
Cloud Load Balancing
Google Cloud ofrece diferentes tipos de balanceadores de cargas, como se describe en Descripción general del balanceador de cargas de aplicaciones. Para esta arquitectura, debes usar balanceadores de cargas regionales.
Cloud DNS
Puedes usar Cloud DNS para satisfacer tus requisitos de cumplimiento. Cloud DNS es un servicio de DNS administrado en Google Cloud que admite zonas de reenvío privadas, zonas de intercambio de tráfico, zonas de búsqueda inversa y Políticas de servidor DNS. Las zonas públicas de Cloud DNS no cumplen con los controles de FedRAMP High y de IL2, IL4 o IL5 de DoD.
Cloud Router
Cloud Router es un producto regional que puedes configurar para Cloud VPN, Cloud Interconnect y Cloud NAT. Solo debes configurar Cloud Router en regiones de EE.UU. Cuando creas o editas una red de VPC, puedes configurar el modo de enrutamiento dinámico para que sea regional o global. Si habilitas el modo de enrutamiento global, debes configurar los anuncios de ruta personalizados para incluir solo las redes de EE.UU.
Cloud NAT
Cloud NAT es un producto NAT administrado regional que puedes usar a fin de habilitar el acceso saliente a Internet para recursos privados sin direcciones IP externas. Solo debes configurar la puerta de enlace de Cloud NAT en regiones de EE.UU. que tengan el componente asociado de Cloud Router.
Cloud VPN
Debes usar los extremos de Cloud VPN ubicados dentro de EE.UU. Asegúrate de que la puerta de enlace de VPN esté configurada solo para usarse en la región de EE.UU. correcta, como se describe en Alineación regional. Te recomendamos que uses el tipo VPN con alta disponibilidad para Cloud VPN. Para la encriptación, solo debes usar algoritmos de cifrado de cumplimiento de FIPS 140-2 a fin de crear certificados y configurar la seguridad de tu dirección IP. Para obtener más información sobre los algoritmos de cifrado admitidos en Cloud VPN, consulta Algoritmos de cifrado IKE admitidos. Para obtener orientación sobre cómo seleccionar un cifrado que cumpla con los estándares FIPS 140-2, consulta Validación con FIPS 140-2. Después de realizar una configuración, no hay forma de cambiar un algoritmo de cifrado existente en Google Cloud. Asegúrate de configurar el mismo algoritmo de cifrado en tu dispositivo de terceros que usas con Cloud VPN.
Google Cloud Armor
Google Cloud Armor es un servicio de protección de aplicaciones y mitigación de DDoS. Ayuda a protegerse contra ataques DDoS en implementaciones de clientes de Google Cloud con cargas de trabajo expuestas a Internet. Google Cloud Armor para el balanceador de cargas de aplicaciones externo regional está diseñado a fin de proporcionar la misma protección y las mismas capacidades para las cargas de trabajo regionales con balanceo de cargas. Debido a que los firewalls de aplicación web (WAF) de Google Cloud Armor usan un alcance regional, tu configuración y el tráfico residen en la región en la que se crean los recursos. Debes crear políticas de seguridad de backend regionales y adjuntarlas a los servicios de backend con alcance regional. Las nuevas políticas de seguridad regionales solo se pueden aplicar a servicios de backend con alcance regional en la misma región y se almacenan, evalúan y aplican dentro de la región. Google Cloud Armor para VMs y balanceadores de cargas de red extiende la protección contra DDoS de Google Cloud Armor para las cargas de trabajo expuestas a Internet a través de una regla de reenvío del balanceador de cargas de red (o reenvío de protocolos) o mediante una VM expuesta directamente a través de una IP pública. Para habilitar esta protección, debes configurar la protección contra DDoS de red avanzada.
Interconexión dedicada
Para usar una interconexión dedicada, tu red debe conectarse físicamente a la red de Google en una instalación de colocación compatible. El proveedor de instalaciones proporciona un circuito de 10 G o 100 G entre tu red y un punto de presencia perimetral de Google. Solo debes usar Cloud Interconnect en instalaciones de colocación dentro de EE.UU. que entreguen regiones de Google Cloud en EE.UU.
Cuando usas Partner de Cloud Interconnect, debes consultar con el proveedor de servicios para confirmar que sus ubicaciones estén dentro de EE.UU. y estén conectadas a una de las ubicaciones de Google Cloud de EE.UU. enumeradas más adelante en esta sección.
De forma predeterminada, el tráfico que se envía a través de Cloud Interconnect no está encriptado. Si deseas encriptar el tráfico enviado a través de Cloud Interconnect, puedes configurar VPN mediante Cloud Interconnect o MACsec.
Para ver la lista completa de regiones y ubicaciones conjuntas compatibles, consulta la siguiente tabla:
| Región | Ubicación | Nombre del establecimiento | Instalación |
|---|---|---|---|
| us-east4 (Virginia) | Ashburn | iad-zone1-1 |
Equinix Ashburn (DC1-DC11) |
| Ashburn | iad-zone2-1 |
Equinix Ashburn (DC1-DC11) | |
| Ashburn | iad-zone1-5467 |
CoreSite - Reston (VA3) | |
| Ashburn | iad-zone2-5467 |
CoreSite - Reston (VA3) | |
| us-east5 (Columbus) | Columbus | cmh-zone1-2377 |
Cologix COL1 |
| Columbus | cmh-zone2-2377 |
Cologix COL1 | |
| us-central1 (Iowa) | Council Bluffs | cbf-zone1-575 |
Centros de datos de Nebraska (1623 Farnam) |
| Council Bluffs | cbf-zone2-575 |
Centros de datos de Nebraska (1623 Farnam) | |
| us-south1 (Dallas) | Dallas | dfw-zone1-4 |
Equinix Dallas (DA1) |
| Dallas | dfw-zone2-4 |
Equinix Dallas (DA1) | |
| us-west1 (Oregón) | Portland | pdx-zone1-1922 |
EdgeConneX Portland (EDCPOR01) |
| Portland | pdx-zone2-1922 |
EdgeConneX Portland (EDCPOR01) | |
| us-west2 (Los Ángeles) | Los Ángeles | lax-zone1-8 |
Equinix Los Angeles (LA1) |
| Los Ángeles | lax-zone2-8 |
Equinix Los Angeles (LA1) | |
| Los Ángeles | lax-zone1-19 |
CoreSite - LA1 - One Wilshire | |
| Los Ángeles | lax-zone2-19 |
CoreSite - LA1 - One Wilshire | |
| Los Ángeles | lax-zone1-403 |
Digital Realty LAX (600 West 7th) | |
| Los Ángeles | lax-zone2-403 |
Digital Realty LAX (600 West 7th) | |
| Los Ángeles | lax-zone1-333 |
Equinix LA3/LA4 - Los Angeles, El Segundo | |
| Los Ángeles | lax-zone2-333 |
Equinix LA3/LA4 - Los Angeles, El Segundo | |
| us-west3 (Salt Lake City) | Salt Lake City | slc-zone1-99001 |
Aligned Salt Lake (SLC-01) |
| Salt Lake City | slc-zone2-99001 |
Aligned Salt Lake (SLC-01) | |
| us-west4 (Las Vegas) | Las Vegas | las-zone1-770 |
Switch Las Vegas |
| Las Vegas | las-zone2-770 |
Switch Las Vegas |
¿Qué sigue?
- Obtén más información sobre los productos de Google Cloud que se usan en esta guía de diseño:
- Para obtener más información sobre las arquitecturas de referencia, los diagramas y las prácticas recomendadas, explora Cloud Architecture Center.
Colaboradores
Autores:
- Haider Witwit | Ingeniero de Atención al cliente
- Bhavin Desai | Gerente de producto
Otros colaboradores:
- Ashwin Gururaghavendran | Ingeniero de software
- Percy Wadia | Gerente de grupo de productos
- Daniel Lees | Arquitecto de Seguridad en la Nube
- Marquis Carroll | Asesor
- Michele Chubirka | Representante de seguridad de Cloud