Auf dieser Seite wird beschrieben, wie Trusted Cloud by S3NS und Google Kubernetes Engine (GKE) die Federal Information Processing Standards (FIPS) einhalten, wenn Sie Daten über Ihre GKE-Cluster verarbeiten und übertragen, die auf Trusted Cloudausgeführt werden.
Diese Seite richtet sich an Sicherheitsmanager, Sicherheitstechniker und Compliancebeauftragte, die strenge Anforderungen an Datensicherheit und Datenschutz im Zusammenhang mit FIPS erfüllen möchten. Diese Seite ist auch nützlich, wenn Sie einem Auditor zeigen müssen, dass GKE On Trusted Cloud standardmäßig FIPS-validierte Schutzmaßnahmen für die Datensicherheit implementiert.
Wichtige Informationen zur FIPS-validierten Verschlüsselung in GKE
- Die FedRAMP®-Sicherheitskontrollen für die Datenverschlüsselung bei der Übertragung (SC-28) und im Ruhezustand (SC-8(1)) erfordern, dass Ihre Daten mit gemäß FIPS 140-2 oder neuer validierten Verschlüsselungsmodulen verschlüsselt werden. Diese Sicherheitskontrollen schreiben nicht explizit vor, dass der „FIPS-Modus“ auf Betriebssystemebene aktiviert werden muss. Außerdem ist der FIPS-Modus auf Betriebssystemebene keine Garantie für die Einhaltung von Vorschriften.
- Daten, die in FedRAMP-autorisierten Trusted Cloud Systemen gespeichert sind, werden standardmäßig mit FIPS 140-2-validierten oder neueren kryptografischen Modulen inaktiv verschlüsselt. Solange Ihre Daten in diesen autorisierten Systemen gespeichert sind, entsprechen sie den FedRAMP-Anforderungen für den Schutz inaktiver Daten (Sicherheitskontrolle SC-28). Eine Liste der autorisierten Systeme finden Sie unter FedRAMP High-Dienste.
- Daten, die Sie innerhalb des Trusted CloudVPC-Netzwerks (Virtual Private Cloud) übertragen, werden automatisch verschlüsselt und durch Authentifizierungs- und Autorisierungsmechanismen geschützt. VPC ist für FedRAMP High autorisiert. Solange Ihre Daten innerhalb des Trusted Cloud VPC-Netzwerks übertragen werden, entsprechen sie den FedRAMP-Anforderungen für den Schutz von Daten bei der Übertragung (Sicherheitskontrolle SC-8(1)).
- Sie müssen Ihre Anwendungen nicht mit FIPS-konformen Build-Prozessen erstellen, um die FedRAMP-Anforderungen für den Schutz ruhender und übertragener Daten zu erfüllen. Das liegt daran, dass Daten, die imTrusted Cloud VPC-Netzwerk übertragen und in FedRAMP-autorisierten Trusted Cloud Speichersystemen gespeichert werden, standardmäßig gemäß diesen FedRAMP-Anforderungen für den Datenschutz geschützt werden.
FIPS und FedRAMP
Das Federal Risk and Authorization Management Program (FedRAMP) ist ein Programm der US-Regierung, das einen standardisierten Ansatz für die Sicherheits- und Risikobewertung von Cloud-Technologien definiert. GKE ist in der Liste derTrusted Cloud Dienste mit vorläufiger FedRAMP High-Betriebszulassung (P-ATO) enthalten. Weitere Informationen zur Trusted Cloud FedRAMP P-ATO finden Sie in der Trusted Cloud FedRAMP-Übersicht.
FIPS ist eine öffentlich bekannt gegebene Reihe von Standards, die vom National Institute of Standards and Technology (NIST) herausgegeben werden. In der FIPS-Veröffentlichung 140-2 werden die Anforderungen für die Genehmigung von Verschlüsselungsmodulen definiert. Weitere Informationen finden Sie unter FIPS 140-2 auf NIST.
Die FedRAMP High P-ATO umfasst Kontrollen zum Schutz von Daten während der Übertragung (SC-8(1)) und zum Schutz von ruhenden Daten (SC-28(1)) mithilfe von FIPS-validierten kryptografischen Modulen.
Standardmäßiger FIPS-validierter Datenschutz in GKE
In den folgenden Abschnitten wird erläutert, wie Trusted Cloud und GKE FIPS-validierte Verschlüsselung zum Schutz von Daten am Speicherort und bei der Übertragung implementieren. Diese Informationen werden im Trusted Cloud System Security Plan (SSP) ausführlicher beschrieben. Sie können ihn bei Ihrem Trusted Cloud Vertriebsteam,Trusted Cloud Ansprechpartner oder beim Trusted Cloud FedRAMP Program Management Office anfordern, wenn Sie ein Regierungskunde sind. Weitere Informationen finden Sie unter Trusted Cloud FedRAMP-Compliance.
FIPS-validierter Schutz ruhender Daten
GKE-Daten werden im Ruhezustand mit einem gemäß FIPS 140-2 validiertenTrusted Cloud -Verschlüsselungsmodul namens BoringCrypto verschlüsselt. Weitere Informationen finden Sie unter FIPS 140-2-Validierung in Trusted Cloud.
Weitere Informationen zur Verschlüsselung inaktiver Daten finden Sie in den folgenden Ressourcen:
- Standardverschlüsselung inaktiver Daten
- Google Cloud-Dienste im Anwendungsbereich von FedRAMP P-ATO
- NIST 800-57: Recommendations for Key Management
- NIST-Validierung des BoringCrypto-Moduls
- Daten während der Übertragung in GKE mit nutzerverwalteten Verschlüsselungsschlüsseln verschlüsseln
FIPS-validierter Schutz von Daten bei der Übertragung
Die Trusted Cloud VPC hat eine FedRAMP High P-ATO. Alle Daten, die Sie in Ihrem VPC-Netzwerk übertragen, werden automatisch verschlüsselt. In GKE bedeutet das, dass der gesamte Traffic zu und von Containern, Pods, dem kubelet-Prozess auf jedem Knoten, allen Knoten, Steuerungsebeneninstanzen und anderen Trusted Cloud -Diensten innerhalb der VPC bei der Übertragung geschützt ist. Bei allen Verbindungen zu Google-APIs wird Transport Layer Security (TLS) 1.2 oder höher verwendet, um den Netzwerkverkehr zu verschlüsseln. Es sind keine zusätzlichen Maßnahmen erforderlich, um die FIPS-Konformität für den Schutz von Daten bei der Übertragung innerhalb desTrusted Cloud VPC-Netzwerks zu erreichen.
Weitere Informationen zur Verschlüsselung Ihrer Daten bei der Übertragung finden Sie im Whitepaper zur Verschlüsselung während der Übertragung.
Empfehlungen zum Schutz von Daten außerhalb von Trusted Cloud
Die Standardverschlüsselung von Daten bei der Übertragung für GKE undTrusted Cloud gilt nur im Trusted Cloud VPC-Netzwerk. Sie müssen FIPS-konforme Kryptografie verwenden, um Daten zu schützen, die sich außerhalb der VPC-Netzwerkgrenze befinden. Die folgenden Empfehlungen helfen Ihnen, dafür zu sorgen, dass alle ein- und ausgehenden Daten außerhalb IhrerTrusted Cloud FIPS-Umgebung während der Übertragung mit FIPS-konformer Kryptografie verschlüsselt werden.
Eingehenden Traffic aus dem Internet abfangen und verschlüsseln
Verwenden Sie für eingehenden Traffic aus dem Internet an Ihre Trusted Cloud -Umgebung SSL-Richtlinien in Trusted Cloud Load Balancern, um eine zulässige Gruppe von FIPS-validierten kryptografischen Chiffren oder Mechanismen zu definieren, mit denen die Daten geschützt werden müssen, wenn sie in die Trusted Cloud -Umgebung gelangen. Weitere Informationen finden Sie in den folgenden Ressourcen:
- SSL-Richtlinien für SSL- und TLS-Protokolle
- SSL-Richtlinien mit einem benutzerdefinierten Profil erstellen
- Verschlüsselung zwischen Proxy-Load-Balancern und Back-Ends
Ausgehenden Traffic ins Internet abfangen und verschlüsseln
Definieren Sie einen Perimeter, der ausgehende Datenverbindungen auf eine Reihe bekannter Drittanbieter beschränkt, denen Sie vertrauen, indem Sie Firewalls konfigurieren. Stellen Sie alle externen Netzwerkanforderungen in einem Diagramm dar und dokumentieren Sie sie, z. B. das Abrufen von Daten aus Quellen wie GitHub, und geben Sie an, wo diese externen Verbindungen in Ihrer Umgebung stattfinden. Erwägen Sie, einen Reverse-Proxy zu verwenden, um ausgehenden Traffic aus Ihrer VPC abzufangen.
Wenn Sie HTTP-Traffic haben, der den Perimeter Ihrer FedRAMP-konformenTrusted Cloud -Umgebung verlässt, sollten Sie einen HTTP-Weiterleitungsproxy einrichten, um die Daten abzufangen, bevor sie die Umgebung verlassen. Verschlüsseln Sie die Daten mit einem gemäß FIPS 140-2 validierten kryptografischen Modul neu, bevor Sie sie aus Ihrem Perimeter übertragen. Dieser Ansatz ist in großem Maßstab besser zu handhaben, als zu versuchen, sicherzustellen, dass jeder interne Client konforme Verschlüsselungsbibliotheken für die externe Kommunikation verwendet.
Private Knoten aktivieren
In GKE können Sie die externe IP-Adresse für neue Knoten in Ihren Clustern deaktivieren, sodass Arbeitslasten, die auf den Knoten ausgeführt werden, standardmäßig nicht mit dem Internet kommunizieren können. Verwenden Sie die Umgebungsvariablen http_proxy
oder https_proxy
, um den gesamten Traffic an Ihren konfigurierten HTTP-Proxy zu senden.
Sie können das Abfangen dieses Traffics mit Routingregeln transparenter konfigurieren. Da Sie jedoch TLS-Traffic über den Proxy leiten, kann der Proxy für die Anwendungen, die Sie in GKE ausführen, nicht vollständig transparent sein.
Weitere Informationen finden Sie in den folgenden Ressourcen:
Cloud VPN für Verbindungen zur Netzwerkschicht zu GKE verwenden
Manchmal benötigen Sie eine verschlüsselte Netzwerkebenenverbindung zu Ihren GKE-Clustern. Möglicherweise müssen Sie beispielsweise FIPS-konforme Netzwerke zwischen GKE-Knoten und lokalen Knoten einrichten. Cloud VPN ist ein FedRAMP High-autorisierter Dienst, der Ihre Daten bei der Übertragung zwischen Ihrem VPC-Netzwerk und Ihrem lokalen Netzwerk verschlüsselt. Weitere Informationen finden Sie in der Cloud VPN-Übersicht.
Cloud KMS für kryptografische Vorgänge verwenden
Wenn Sie in Ihrer Trusted Cloud-Umgebung kryptografische Vorgänge ausführen müssen, verwenden Sie Cloud Key Management Service. Cloud KMS ist ein FedRAMP High-autorisierter Dienst. Mit Cloud KMS können Sie kryptografische Vorgänge ausführen, die entweder FIPS 140-2 Level 1 oder Level 3 entsprechen. Weitere Informationen finden Sie in den folgenden Ressourcen:
FIPS-validierte Bibliotheken in GKE-Arbeitslasten erstellen
Wenn Sie das BoringCrypto-Verschlüsselungsmodul in Ihren GKE-Anwendungen verwenden möchten, installieren Sie BoringSSL. BoringSSL ist ein Open-Source-Fork von OpenSSL, der die BoringCrypto-Bibliothek enthält. Informationen zum Erstellen, Kompilieren und statischen Verknüpfen des BoringCrypto-Moduls mit BoringSSL finden Sie im Abschnitt 12.1 „Installation Instructions“ (Installationsanleitung) im BoringCrypto FIPS 140‑2 Security Policy PDF.
FIPS-konforme Container-Images von Drittanbietern in Betracht ziehen
Wir empfehlen, Proxys an der Grenze Ihrer FIPS-konformenTrusted Cloud -Umgebung zu verwenden, um die FIPS-Konformität umfassend zu erzwingen. Sie können auch FIPS-konforme Arbeitslasten ausführen, ohne auf Knotenhostmaschinen mit FIPS-konformen Kernels beschränkt zu sein. Einige Drittanbieter stellen Container-Images bereit, die eine separate, FIPS-konforme Entropiequelle verwenden.
Prüfen Sie die Implementierung des Drittanbieters sorgfältig, um sicherzustellen, dass sie tatsächlich FIPS-konform ist.