このドキュメントでは、米国(US)で FedRAMP High および国防総省(DoD)影響レベル 2(IL2)、影響レベル 4(IL4)、影響レベル 5(IL5)の設計要件に準拠した Google Cloud ネットワーキング ポリシーを安全にデプロイするための構成ガイダンスを提供します。このドキュメントは、Google Cloud でネットワーキング ソリューションを設計してデプロイするソリューション アーキテクト、ネットワーク エンジニア、セキュリティ エンジニアを対象としています。次の図は、規制の厳しいワークロードのランディング ゾーンのネットワーク設計を示しています。
アーキテクチャ
上の図に示すネットワーク設計は、FedRAMP High、DoD IL2、IL4、IL5 の米国コンプライアンス フレームワーク要件に準拠しています。このアーキテクチャには次のコンポーネントが含まれています。詳細については、このドキュメントの後半で説明します。
- Virtual Private Cloud(VPC): これらの VPC はグローバルですが、サブネットは US リージョンにのみ作成する必要があります。
- リージョン ロードバランサ: これらのロードバランサはグローバルではなく、リージョンです。米国内でのデプロイのみをサポートしています。
- Google Cloud Armor セキュリティ ポリシー: これらのポリシーは、サポートされているリージョン ロードバランサのセキュリティ ポリシーで使用できます。
- Private Service Connect、限定公開の Google アクセス(PGA)、プライベート サービス アクセス(PSA): これらのオプションを使用すると、リージョン内の Google マネージド サービスへのプライベート接続が可能になります。ユースケースに応じて適切なオプションを使用して、リージョン内の Google マネージド サービスと API への限定公開アクセスを有効にする必要があります。
- サードパーティ サービス: サードパーティのプロデューサー / コンシューマー サービスの場合、プロデューサー サービスと転送中データの両方がコンプライアンス要件を満たしている必要があります。
- 非本番環境: 組織の VPC 戦略に従って非本番環境、テスト、品質保証(QA)などの他の環境をプロビジョニングします。
ユースケース
Assured Workloads は、FedRAMP High、DoD IL2、IL4、IL5 の規制要件を満たすために必要なセキュリティ制御の提供に役立つコンプライアンス フレームワークです。Assured Workloads を使用してデプロイした後に、規制を遵守する安全なネットワーキング ポリシーを設定する必要があります。その他のコンプライアンスのユースケースについては、FedRAMP ドキュメントの Hosting FedRAMP Moderate and High Workloads on Google Cloud をご覧ください。
このガイダンスの対象範囲はネットワーキング コンポーネントに限定されます。共有責任モデルである FedRAMP Customer Responsibility Matrix、対象範囲の Google Cloud サービス、FedRAMP、Assured Workloads のガイドラインに従ってワークロードを構成する必要があります。他の Google Cloud サービスのコンプライアンス要件を満たす方法については、コンプライアンス リソース センターをご覧ください。
対象外のプロダクト
次のサービスは、FedRAMP High または DoD IL2、IL4、IL5 の管轄区域のコンプライアンス要件を満たしていません。
- グローバル外部アプリケーション ロードバランサ
- グローバル Google Cloud Armor
- グローバル外部プロキシ ロードバランサ
- Cloud CDN と Media CDN
- Network Intelligence Center
ネットワーク設計を開始する前に、これらのサービスをネットワークで使用するリスクについて Google サポートチームと検討することをおすすめします。
設計上の考慮事項
このセクションでは、このドキュメントで説明する構成に適した設計を行う際の考慮事項について説明します。
Assured Workloads を使用する
データ主権とデータ所在地が制限されている規制(FedRAMP High、DoD IL4、IL5 など)に対する Google Cloud のコンプライアンス要件を満たすには、Assured Workloads を使用する必要があります。これらの原則が Google Cloud のコンプライアンス プログラムに適用されるかどうかを把握するため、設計フェーズの早い段階で Assured Workloads の概要を確認することをおすすめします。独自のネットワークと IAM ポリシーを構成する責任はお客様にあります。
Assured Workloads フォルダを構成し、適切なコンプライアンス プログラムを設定する必要があります。この場合は、適切なコンプライアンス プログラムを FedRAMP
High または IL2, IL4, IL5 に設定します。このフォルダは、規制対象のデータタイプを識別するための組織内の規制境界となります。デフォルトでは、このフォルダ下のプロジェクトは、Assured Workloads フォルダレベルで設定されたセキュリティとコンプライアンスのガードレールを継承します。Assured Workloads は、リソース制限の組織のポリシー サービスで選択されたコンプライアンス プログラムに基づいて、これらのリソースに選択できるリージョンを制限します。
リージョン アライメント
このガイダンスの対象となるコンプライアンス プログラムをサポートするには、米国の Google リージョンを 1 つ以上使用する必要があります。FedRAMP High、DoD IL4、IL5 には、データを米国の地理的境界内に保持するという一般的な要件があります。追加できるリージョンについては、Assured Workloads のロケーションをご覧ください。
プロダクトレベルのコンプライアンス
プロダクトまたはサービスがユースケースに適したデータ主権と所在地の要件を満たしているかどうかは、お客様の責任で確認していただく必要があります。対象のコンプライアンス プログラムを購入または使用する場合は、該当するコンプライアンス要件を満たすために使用する各プロダクトについて、以下のガイドラインも遵守する必要があります。Assured Workloads は変更可能な組織のポリシーを設定し、選択されたコンプライアンス フレームワークに準拠するサービスを反映した特定の時点のリソース使用制限ポリシーを適用します。
デプロイ
コンプライアンス要件を満たすため、このセクションに記載されている個々のネットワーキング サービスのガイドラインを遵守することをおすすめします。
Virtual Private Cloud ネットワークの構成
次の Virtual Private Cloud 構成を行う必要があります。
- サブネット: リージョン アライメントに記載されている米国リージョンにサブネットを作成します。Assured Workloads は、他のロケーションでのサブネットの作成を制限するポリシーを適用します
- ファイアウォール ルール: VPC ネットワークの仮想マシン(VM)インスタンスとの接続のみを許可または拒否するように、VPC ファイアウォール ルールを構成する必要があります。
Private Service Connect の構成
Private Service Connect は Google Cloud ネットワーキング機能の一つで、コンシューマーが VPC ネットワーク内からマネージド サービスにプライベート接続でアクセスできるようにします。
リージョン ロードバランサで Private Service Connect の両方のタイプ(Private Service Connect エンドポイントと Private Service Connect バックエンド)が構成されていれば、このドキュメントで説明するコントロールがサポートされます。次の表に示す構成の詳細を適用することをおすすめします。
| Private Service Connect のタイプ | サポートされているロードバランサ | コンプライアンスのステータス |
|---|---|---|
| Google API の Private Service Connect エンドポイント | なし | サポートされていません。 |
| Google API 用の Private Service Connect バックエンド |
|
次のいずれかのリージョン ロードバランサと組み合わせて使用する場合は、規制に準拠しています。
|
| 公開サービス用の Private Service Connect エンドポイント |
|
準拠 |
| 公開サービス用の Private Service Connect バックエンド |
|
次のリージョン ロードバランサで使用する場合は準拠:
|
Packet Mirroring
Packet Mirroring は、コンプライアンスの維持に使用できる VPC 機能です。Packet Mirroring は、ペイロードとヘッダーを含むすべてのトラフィックとパケットデータをキャプチャし、分析のためにターゲット コレクタに転送します。Packet Mirroring は VPC のコンプライアンス ステータスを継承します。
Cloud Load Balancing
アプリケーション ロードバランサの概要で説明されているように、Google Cloud にはさまざまな種類のロードバランサが用意されています。このアーキテクチャでは、リージョン ロードバランサを使用する必要があります。
Cloud DNS
Cloud DNS は、コンプライアンス要件の遵守に役立つプロダクトです。Cloud DNS は Google Cloud のマネージド DNS サービスで、限定公開転送ゾーン、ピアリング ゾーン、逆引き参照ゾーン、DNS サーバー ポリシーをサポートしています。Cloud DNS の一般公開ゾーンは、FedRAMP High と DoD IL2、IL4、IL5 のコントロールに準拠していません。
Cloud Router
Cloud Router は、Cloud VPN、Cloud Interconnect、Cloud NAT 用に構成できるリージョン プロダクトです。Cloud Router は米国のリージョンにのみ構成する必要があります。VPC ネットワークを作成または編集するときに、動的ルーティング モードをリージョンまたはグローバルに設定できます。グローバル ルーティング モードを有効にする場合は、米国のネットワークのみが含まれるようにカスタム ルート アドバタイズを構成する必要があります。
Cloud NAT
Cloud NAT は、リージョン マネージド NAT プロダクトです。これを使用すると、外部 IP アドレスを持たないプライベート リソースでインターネットへのアウトバウンド アクセスが可能になります。Cloud NAT ゲートウェイは、関連する Cloud Router コンポーネントが存在する米国リージョンにのみ構成する必要があります。
Cloud VPN
米国内の Cloud VPN エンドポイントを使用する必要があります。リージョン アライメントの説明に沿って、VPN ゲートウェイが正しい米国リージョンでのみ使用されるように構成する必要があります。Cloud VPN には HA VPN タイプを使用することをおすすめします。暗号化では、証明書の作成と IP アドレスのセキュリティの構成に FIPS 140-2 準拠の暗号のみを使用する必要があります。Cloud VPN でサポートされている暗号の詳細については、サポートされている IKE の暗号をご覧ください。FIPS 140-2 標準に準拠する暗号を選択する方法については、FIPS 140-2 認証取得済みをご覧ください。構成を作成した後に、Google Cloud の既存の暗号を変更することはできません。Cloud VPN で使用するサードパーティ アプライアンスでも同じ暗号が構成されている必要があります。
Google Cloud Armor
Google Cloud Armor は、DDoS を回避してアプリケーションを保護するためのサービスです。インターネットに公開されているワークロードを使用する Google Cloud のユーザーに対する DDoS 攻撃を阻止するのに役立ちます。リージョン外部アプリケーション ロードバランサ用の Google Cloud Armor は、リージョン ロード バランシング ワークロードに対して同じ保護機能と機能を提供するように設計されています。Google Cloud Armor ウェブ アプリケーション ファイアウォール(WAF)はリージョン スコープを使用するため、構成とトラフィックはリソースが作成されたリージョンに存在します。リージョン バックエンド セキュリティ ポリシーを作成して、リージョン スコープのバックエンド サービスに接続する必要があります。新しいリージョン セキュリティ ポリシーは、同じリージョン内のリージョン スコープのバックエンド サービスにのみ適用でき、リージョン内で保存、評価、適用されます。ネットワーク ロードバランサと VM 用の Google Cloud Armor は、ネットワーク ロードバランサ(またはプロトコル転送)転送ルール、またはパブリック IP で直接公開されている VM を介してインターネットに公開されているワークロードに Google Cloud Armor の DDoS 対策を拡張します。この保護を有効にするには、高度なネットワーク DDoS 対策を構成する必要があります。
Dedicated Interconnect
Dedicated Interconnect を使用するには、サポートされているコロケーション施設でネットワークを Google のネットワークに物理的に接続する必要があります。施設プロバイダは、お客様のネットワークと Google Edge のポイント オブ プレゼンスの間に 10G または 100G 回線を提供します。Cloud Interconnect は、Google Cloud 米国リージョンにサービスを提供する米国内のコロケーション施設でのみ使用する必要があります。
Partner Cloud Interconnect を使用する場合は、サービス プロバイダに問い合わせて、ロケーションが米国内にあり、このセクションで後述する米国の Google Cloud ロケーションのいずれかに接続されていることを確認する必要があります。
デフォルトでは、Cloud Interconnect 経由で送信されるトラフィックは暗号化されません。Cloud Interconnect 経由で送信されるトラフィックを暗号化する場合は、Cloud Interconnect を介した VPN または MACsec を構成できます。
サポートされているリージョンと共同ロケーションの完全なリストについては、次の表をご覧ください。
| リージョン | ロケーション | 施設名 | 施設 |
|---|---|---|---|
| us-east4(バージニア) | アッシュバーン | iad-zone1-1 |
Equinix Ashburn(DC1-DC11) |
| アッシュバーン | iad-zone2-1 |
Equinix Ashburn(DC1-DC11) | |
| アッシュバーン | iad-zone1-5467 |
CoreSite - Reston(VA3) | |
| アッシュバーン | iad-zone2-5467 |
CoreSite - Reston(VA3) | |
| us-east5(コロンバス) | コロンバス | cmh-zone1-2377 |
Cologix COL1 |
| コロンバス | cmh-zone2-2377 |
Cologix COL1 | |
| us-central1(アイオワ) | カウンシルブラフス | cbf-zone1-575 |
Nebraska Data Centers(1623 Farnam) |
| カウンシルブラフス | cbf-zone2-575 |
Nebraska Data Centers(1623 Farnam) | |
| us-south1(ダラス) | ダラス | dfw-zone1-4 |
Equinix Dallas(DA1) |
| ダラス | dfw-zone2-4 |
Equinix Dallas(DA1) | |
| us-west1(オレゴン) | ポートランド | pdx-zone1-1922 |
EdgeConneX Portland(EDCPOR01) |
| ポートランド | pdx-zone2-1922 |
EdgeConneX Portland(EDCPOR01) | |
| us-west2(ロサンゼルス) | ロサンゼルス | lax-zone1-8 |
Equinix Los Angeles(LA1) |
| ロサンゼルス | lax-zone2-8 |
Equinix Los Angeles(LA1) | |
| ロサンゼルス | lax-zone1-19 |
CoreSite - LA1 - One Wilshire | |
| ロサンゼルス | lax-zone2-19 |
CoreSite - LA1 - One Wilshire | |
| ロサンゼルス | lax-zone1-403 |
Digital Realty LAX(600 West 7th) | |
| ロサンゼルス | lax-zone2-403 |
Digital Realty LAX(600 West 7th) | |
| ロサンゼルス | lax-zone1-333 |
Equinix LA3/LA4 - Los Angeles, El Segundo | |
| ロサンゼルス | lax-zone2-333 |
Equinix LA3/LA4 - Los Angeles, El Segundo | |
| us-west3(ソルトレイクシティ) | ソルトレイクシティ | slc-zone1-99001 |
Aligned Salt Lake(SLC-01) |
| ソルトレイクシティ | slc-zone2-99001 |
Aligned Salt Lake(SLC-01) | |
| us-west4(ラスベガス) | ラスベガス | las-zone1-770 |
Switch Las Vegas |
| ラスベガス | las-zone2-770 |
Switch Las Vegas |
次のステップ
- この設計ガイドで使用する Google Cloud プロダクトの詳細を確認する。
- Cloud Architecture Center で、リファレンス アーキテクチャ、図、ベスト プラクティスを確認する。
寄稿者
作成者:
- Haider Witwit | カスタマー エンジニア
- Bhavin Desai | プロダクト マネージャー
その他の関係者:
- Ashwin Gururaghavendran | ソフトウェア エンジニア
- Percy Wadia | グループ プロダクト マネージャー
- Daniel Lees | クラウド セキュリティ アーキテクト
- Marquis Carroll | コンサルタント
- Michele Chubirka | クラウド セキュリティ アドボケイト