Información acerca de la encriptación validada por FIPS en GKE


En esta página, se describe cómo Trusted Cloud by S3NS y Google Kubernetes Engine (GKE) mantienen el cumplimiento de los Estándares Federales de Procesamiento de la Información (FIPS) a medida que procesas y transmites datos a través de tus clústeres de GKE que se ejecutan en Trusted Cloud.

Esta página está dirigida a los administradores de seguridad, los ingenieros de seguridad y los oficiales de cumplimiento que desean cumplir con los estrictos requisitos de seguridad y privacidad de los datos relacionados con el FIPS. Esta página también es útil si necesitas mostrarle a un auditor que GKE en Trusted Cloud implementa protecciones validadas por el FIPS para la seguridad de los datos de forma predeterminada.

Conclusiones clave sobre la encriptación validada por el FIPS en GKE

  • Los controles de seguridad de FedRAMP® para la encriptación de datos en tránsito (SC-28) y en reposo (SC-8(1)) requieren que tus datos se encripten con módulos criptográficos validados por FIPS 140-2 o versiones posteriores. Estos controles de seguridad no exigen explícitamente que se habilite el "modo FIPS" a nivel del sistema operativo (SO). Además, el modo FIPS a nivel del SO no garantiza el cumplimiento.
  • Los datos almacenados en sistemas Trusted Cloud autorizados por FedRAMP se encriptan en reposo de forma predeterminada con módulos criptográficos validados por FIPS 140-2 o versiones posteriores. Mientras tus datos se almacenen en estos sistemas autorizados, cumplirán con los requisitos de FedRAMP para proteger los datos en reposo (control de seguridad SC-28). Para obtener una lista de los sistemas autorizados, consulta los servicios de FedRAMP High incluidos en el alcance.
  • Los datos que transmites dentro de la red de Trusted Cloudnube privada virtual (VPC) se encriptan automáticamente y están protegidos por mecanismos de autenticación y autorización. La VPC está autorizada en el nivel FedRAMP High. Mientras tus datos se transmitan dentro de la Trusted Cloud red de VPC, cumplirán con los requisitos de FedRAMP para proteger los datos en tránsito (control de seguridad SC-8(1)).
  • No es necesario que compiles tus aplicaciones con procesos de compilación que cumplan con FIPS para satisfacer los requisitos de FedRAMP en cuanto a la protección de datos en reposo y en tránsito. Esto se debe a que los datos que se transmiten dentro de la red de la VPC deTrusted Cloud y se almacenan en sistemas de almacenamiento Trusted Cloud autorizados por FedRAMP están protegidos de forma predeterminada en cumplimiento de estos requisitos de FedRAMP para la protección de datos.

Acerca de FIPS y FedRAMP

El Programa Federal de Administración de Autorizaciones y Riesgo (FedRAMP) es un programa del Gobierno de EE.UU. que define un enfoque estandarizado para la evaluación de la seguridad y el riesgo de las tecnologías de la nube. GKE se incluye en la lista deTrusted Cloud servicios que tienen autoridad provisional alta para operar (P-ATO) de FedRAMP. Para obtener más información sobre la Trusted Cloud P-ATO de FedRAMP, consulta la Trusted Cloud descripción general de FedRAMP.

El FIPS es un conjunto de estándares anunciado públicamente y emitido por el Instituto Nacional de Estándares y Tecnología (NIST). La publicación FIPS 140-2 define los requisitos para aprobar módulos criptográficos. Para obtener más detalles, consulta FIPS 140-2 en el NIST.

La P-ATO de FedRAMP High incluye controles para proteger los datos en tránsito (SC-8(1)) y los datos en reposo (SC-28(1)) con módulos criptográficos validados por FIPS.

Protección de datos predeterminada validada por FIPS en GKE

En las siguientes secciones, se explica cómo Trusted Cloud y GKE implementan la encriptación validada por el FIPS para proteger los datos en reposo y en tránsito. Esta información se trata con más detalle en el Trusted Cloud plan de seguridad del sistema (SSP), que puedes solicitar a tu Trusted Cloud equipo de ventas,Trusted Cloud representante o a la Trusted Cloud Oficina de Administración del Programa FedRAMP si eres cliente del sector gubernamental. Para obtener más información, consulta Trusted Cloud Cumplimiento de FedRAMP.

Protección de datos en reposo validada por FIPS

Los datos de GKE se encriptan en reposo con unTrusted Cloud módulo de encriptación validado por FIPS 140-2 llamado BoringCrypto. Para obtener más información, consulta Validación con FIPS 140-2 en Trusted Cloud.

Para obtener más información sobre la encriptación en reposo, consulta los siguientes recursos:

Protección de datos en tránsito validada por el FIPS

La Trusted Cloud VPC tiene una P-ATO de nivel alto del FedRAMP. Todos los datos que transmites dentro de tu red de VPC se encriptan automáticamente. En GKE, esto significa que todo el tráfico hacia y desde los contenedores, los Pods, el proceso de kubelet en cada nodo, todos los nodos, las instancias del plano de control y otros servicios de Trusted Cloud dentro de la VPC está protegido en tránsito. Todas las conexiones a las APIs de Google usan la seguridad de la capa de transporte (TLS) 1.2 o superior para encriptar el tráfico de red. No se requiere ninguna acción adicional para cumplir con los estándares de FIPS en cuanto a la protección de datos en tránsito dentro de la red de VPC deTrusted Cloud .

Para obtener más información sobre cómo se encriptan tus datos en tránsito, consulta el informe sobre la encriptación en tránsito.

Recomendaciones para proteger los datos fuera de Trusted Cloud

La encriptación predeterminada de los datos en tránsito para GKE yTrusted Cloud se aplica solo dentro de la red de VPC Trusted Cloud . Debes usar criptografía que cumpla con el estándar FIPS para proteger los datos que se encuentran fuera del límite de la red de VPC. Las siguientes recomendaciones te ayudan a garantizar que todos los datos entrantes y salientes fuera de tu entornoTrusted Cloud FIPS en tránsito estén encriptados con criptografía que cumpla con FIPS.

Intercepta y encripta el tráfico entrante de Internet

Para el tráfico entrante a tu entorno de Trusted Cloud desde Internet, usa políticas de SSL en los balanceadores de cargas de Trusted Cloud para definir un conjunto permitido de algoritmos de cifrado o mecanismos criptográficos validados por FIPS con los que se deben proteger los datos cuando ingresan al entorno de Trusted Cloud . Para obtener más información, consulta los siguientes recursos:

Intercepta y encripta el tráfico saliente a Internet

Define un perímetro que limite las conexiones de datos salientes a un conjunto de terceros conocidos en los que confías configurando firewalls. Diagrama y documenta todos los requisitos de red externos, como la extracción de datos de fuentes como GitHub, y dónde se producirán esas conexiones externas dentro de tu entorno. Considera usar un proxy inverso para interceptar el tráfico saliente de tu VPC.

Si tienes tráfico HTTP que sale del perímetro de tu entornoTrusted Cloud que cumple con FedRAMP, considera configurar un proxy de reenvío HTTP para interceptar los datos antes de que salgan del entorno. Vuelve a encriptar los datos con un módulo criptográfico validado por FIPS 140-2 antes de permitir que salgan de tu perímetro. Este enfoque es más fácil de administrar a gran escala que intentar garantizar que cada cliente interno use bibliotecas de encriptación que cumplan con los requisitos para la comunicación externa.

Habilitar nodos privados

GKE te permite inhabilitar la dirección IP externa para los nodos nuevos de tus clústeres, de modo que las cargas de trabajo que se ejecutan en los nodos no puedan comunicarse con Internet de forma predeterminada. Usa las variables de entorno http_proxy o https_proxy para enviar todo el tráfico a tu proxy HTTP configurado.

Puedes configurar una intercepción más transparente de este tráfico con reglas de enrutamiento. Sin embargo, debido a que actúas como proxy del tráfico de TLS, el proxy no puede ser completamente transparente para las aplicaciones que ejecutas en GKE.

Para obtener más información, consulta los siguientes recursos:

Usa Cloud VPN para las conexiones de capa de red a GKE

A veces, es posible que necesites una conexión de capa de red encriptada a tus clústeres de GKE. Por ejemplo, es posible que debas configurar redes que cumplan con FIPS entre los nodos de GKE y los nodos locales. Cloud VPN es un servicio autorizado por FedRAMP High que encripta tus datos en tránsito entre tu red de VPC y tu red local. Para obtener más información, consulta la descripción general de Cloud VPN.

Usa Cloud KMS para operaciones criptográficas

Si necesitas realizar operaciones criptográficas en tu entorno de Trusted Cloud, usa Cloud Key Management Service. Cloud KMS es un servicio autorizado por FedRAMP High. Cloud KMS te permite realizar operaciones criptográficas que cumplen con el nivel 1 o el nivel 3 del estándar FIPS 140-2. Para obtener más información, consulta los siguientes recursos:

Compila bibliotecas validadas por el FIPS en cargas de trabajo de GKE

Para usar el módulo de encriptación BoringCrypto en tus aplicaciones de GKE, instala BoringSSL. BoringSSL es una bifurcación de código abierto de OpenSSL que incluye la biblioteca BoringCrypto. Para compilar, compilar y vincular de forma estática el módulo BoringCrypto a BoringSSL, consulta la sección 12.1, "Instrucciones de instalación", en el PDF de la política de seguridad de BoringCrypto FIPS 140-2.

Considera imágenes de contenedor de terceros que cumplan con FIPS

Te recomendamos que uses proxies en el límite de tu entornoTrusted Cloud que cumpla con los FIPS para aplicar el cumplimiento de los FIPS de manera integral. También puedes ejecutar cargas de trabajo que cumplan con los estándares FIPS sin limitarte a las máquinas host de nodos que tengan kernels que cumplan con los estándares FIPS. Algunos proveedores externos proporcionan imágenes de contenedores que usan una fuente de entropía independiente y compatible con FIPS.

Asegúrate de evaluar correctamente la implementación del proveedor externo para garantizar que cumpla con la FIPS.

¿Qué sigue?