Cette page explique comment Trusted Cloud by S3NS et Google Kubernetes Engine (GKE) assurent la conformité avec les normes fédérales de traitement de l'information (FIPS, Federal Information Processing Standards) lorsque vous traitez et transmettez des données via vos clusters GKE qui s'exécutent sur Trusted Cloud.
Cette page s'adresse aux responsables de la sécurité, aux ingénieurs en sécurité et aux responsables de la conformité qui souhaitent répondre aux exigences strictes en matière de sécurité et de confidentialité des données liées à la norme FIPS. Cette page est également utile si vous devez montrer à un auditeur que GKE sur Trusted Cloud implémente par défaut des protections validées par la norme FIPS pour la sécurité des données.
Points clés concernant le chiffrement validé par la norme FIPS dans GKE
- Les contrôles de sécurité FedRAMP® pour le chiffrement des données en transit (SC-28) et au repos (SC-8(1)) exigent que vos données soient chiffrées à l'aide de modules cryptographiques validés FIPS 140-2 ou plus récents. Ces contrôles de sécurité n'imposent pas explicitement l'activation du "mode FIPS" au niveau du système d'exploitation (OS). De plus, le mode FIPS au niveau de l'OS ne garantit pas la conformité.
- Les données stockées dans des systèmes autorisés FedRAMP Trusted Cloud sont chiffrées au repos par défaut à l'aide de modules cryptographiques validés FIPS 140-2 ou version ultérieure. Tant que vos données sont stockées dans ces systèmes autorisés, elles répondent aux exigences FedRAMP en matière de protection des données au repos (contrôle de sécurité SC-28). Pour obtenir la liste des systèmes autorisés, consultez la page Services FedRAMP au niveau d'impact élevé concernés.
- Les données que vous transmettez dans le réseau Trusted Cloud du cloud privé virtuel (VPC) sont automatiquement chiffrées et protégées par des mécanismes d'authentification et d'autorisation. Le VPC est autorisé au niveau d'impact élevé du FedRAMP. Tant que vos données sont transmises au sein du réseau VPC Trusted Cloud , elles répondent aux exigences FedRAMP concernant la protection des données en transit (contrôle de sécurité SC-8(1)).
- Vous n'avez pas besoin de créer vos applications à l'aide de processus de compilation conformes à la norme FIPS pour répondre aux exigences FedRAMP concernant la protection des données au repos et en transit. En effet, les données transmises au sein du réseau VPCTrusted Cloud et stockées dans des systèmes de stockage Trusted Cloud autorisés par FedRAMP sont protégées par défaut conformément à ces exigences FedRAMP en matière de protection des données.
À propos de FIPS et FedRAMP
Le Federal Risk and Authorization Management Program (FedRAMP) est un programme gouvernemental américain qui définit une approche standardisée de l'évaluation de la sécurité et des risques pour les technologies cloud. GKE figure dans la liste desTrusted Cloud services qui disposent d'un agrément provisoire d'exploitation FedRAMP au niveau d'impact élevé. Pour en savoir plus sur l'ATO provisoire FedRAMP Trusted Cloud , consultez la présentation de FedRAMP.Trusted Cloud
FIPS est un ensemble de normes publiées par le National Institute of Standards and Technology (NIST). La publication FIPS 140-2 définit les exigences pour l'approbation des modules cryptographiques. Pour en savoir plus, consultez FIPS 140-2 sur le site du NIST.
L'ATO provisoire FedRAMP à niveau d'impact élevé inclut des contrôles pour la protection des données en transit (SC-8(1)) et des données au repos (SC-28(1)) à l'aide de modules cryptographiques validés par la norme FIPS.
Protection des données validée par la norme FIPS par défaut dans GKE
Les sections suivantes expliquent comment Trusted Cloud et GKE implémentent le chiffrement validé par la norme FIPS pour protéger les données au repos et en transit. Ces informations sont détaillées dans le plan de sécurité du système Trusted Cloud (SSP), que vous pouvez demander à votre équipe commerciale Trusted Cloud , à votre représentantTrusted Cloud ou au bureau de gestion du programme Trusted Cloud FedRAMP si vous êtes un client du secteur public. Pour en savoir plus, consultez Trusted Cloud Conformité FedRAMP.
Protection des données au repos validée par la norme FIPS
Les données GKE sont chiffrées au repos à l'aide d'un module de chiffrementTrusted Cloud certifié FIPS 140-2 appelé BoringCrypto. Pour en savoir plus, consultez Validation FIPS 140-2 dans Trusted Cloud.
Pour en savoir plus sur le chiffrement au repos, consultez les ressources suivantes :
- Chiffrement au repos par défaut
- Services Google Cloud couverts par l'autorisation provisoire d'exploitation FedRAMP
- NIST 800-57 : recommandations pour la gestion des clés
- Validation du module BoringCrypto du NIST
- Chiffrer vos données en transit dans GKE avec des clés de chiffrement gérées par l'utilisateur
Protection des données en transit validée par la norme FIPS
Le VPC Trusted Cloud dispose d'une P-ATO FedRAMP au niveau d'impact élevé. Toutes les données que vous transmettez dans votre réseau VPC sont automatiquement chiffrées. Dans GKE, cela signifie que tout le trafic vers et depuis les conteneurs, les pods, le processus kubelet sur chaque nœud, tous les nœuds, les instances du plan de contrôle et les autres services Trusted Cloud au sein du VPC est protégé en transit. Toutes les connexions aux API Google utilisent le protocole TLS (Transport Layer Security) 1.2 ou une version ultérieure pour chiffrer le trafic réseau. Aucune autre action n'est requise pour assurer la conformité FIPS en matière de protection des données en transit au sein du réseau VPCTrusted Cloud .
Pour en savoir plus sur le chiffrement de vos données en transit, consultez le livre blanc sur le chiffrement en transit.
Recommandations pour protéger les données en dehors de Trusted Cloud
Le chiffrement par défaut des données en transit pour GKE etTrusted Cloud ne s'applique qu'au sein du réseau VPC Trusted Cloud . Vous devez utiliser un chiffrement conforme à la norme FIPS pour protéger les données qui se trouvent en dehors des limites du réseau VPC. Les recommandations suivantes vous aident à vous assurer que toutes les données entrantes et sortantes en transit en dehors de votre environnementTrusted Cloud FIPS sont chiffrées avec une cryptographie conforme à la norme FIPS.
Intercepter et chiffrer le trafic entrant depuis Internet
Pour le trafic entrant vers votre environnement Trusted Cloud depuis Internet, utilisez des règles SSL dans les équilibreurs de charge Trusted Cloud afin de définir un ensemble autorisé de mécanismes ou d'algorithmes de chiffrement cryptographiques validés par la norme FIPS avec lesquels les données doivent être protégées lorsqu'elles entrent dans l'environnement Trusted Cloud . Pour en savoir plus, consultez les ressources suivantes :
- Règles SSL pour les protocoles SSL et TLS
- Créer des règles SSL avec un profil personnalisé
- Chiffrement entre les équilibreurs de charge basés sur un proxy et les backends
Intercepter et chiffrer le trafic sortant vers Internet
Définissez un périmètre qui limite les connexions de données sortantes à un ensemble de tiers connus auxquels vous faites confiance en configurant des pare-feu. Schématisez et documentez toutes les exigences relatives au réseau externe, comme l'extraction de données à partir de sources telles que GitHub, et indiquez où ces connexions externes se produiront dans votre environnement. Envisagez d'utiliser un proxy inverse pour intercepter le trafic sortant de votre VPC.
Si vous avez du trafic HTTP qui quitte le périmètre de votre environnementTrusted Cloud conforme à FedRAMP, envisagez de configurer un proxy de transfert HTTP pour intercepter les données avant qu'elles ne quittent l'environnement. Rechiffrez les données à l'aide d'un module cryptographique validé FIPS 140-2 avant de les autoriser à quitter votre périmètre. Cette approche est plus facile à gérer à grande échelle que d'essayer de s'assurer que chaque client interne utilise des bibliothèques de chiffrement conformes pour la communication externe.
Activer les nœuds privés
GKE vous permet de désactiver l'adresse IP externe des nouveaux nœuds de vos clusters. Ainsi, les charges de travail qui s'exécutent sur les nœuds ne peuvent pas communiquer avec Internet par défaut. Utilisez les variables d'environnement http_proxy ou https_proxy pour envoyer tout le trafic à votre proxy HTTP configuré.
Vous pouvez configurer une interception plus transparente de ce trafic avec des règles de routage. Toutefois, comme vous transmettez le trafic TLS par proxy, le proxy ne peut pas être totalement transparent pour les applications que vous exécutez sur GKE.
Pour en savoir plus, consultez les ressources suivantes :
Utiliser Cloud VPN pour les connexions au niveau du réseau à GKE
Vous aurez peut-être parfois besoin d'une connexion de couche réseau chiffrée à vos clusters GKE. Par exemple, vous devrez peut-être configurer une mise en réseau conforme à la norme FIPS entre les nœuds GKE et les nœuds sur site. Cloud VPN est un service autorisé FedRAMP High qui chiffre vos données en transit entre votre réseau VPC et votre réseau sur site. Pour en savoir plus, consultez la présentation de Cloud VPN.
Utiliser Cloud KMS pour les opérations de chiffrement
Si vous devez effectuer des opérations de chiffrement dans votre environnement Trusted Cloud, utilisez Cloud Key Management Service. Cloud KMS est un service autorisé FedRAMP (niveau d'impact élevé). Cloud KMS vous permet d'effectuer des opérations de chiffrement conformes au niveau 1 ou 3 de la certification FIPS 140-2. Pour en savoir plus, consultez les ressources suivantes :
Créer des bibliothèques validées FIPS dans les charges de travail GKE
Pour utiliser le module de chiffrement BoringCrypto dans vos applications GKE, installez BoringSSL. BoringSSL est une version Open Source d'OpenSSL qui inclut la bibliothèque BoringCrypto. Pour compiler et lier statiquement le module BoringCrypto à BoringSSL, consultez la section 12.1, "Instructions d'installation", du PDF sur la stratégie de sécurité BoringCrypto FIPS 140-2.
Envisagez d'utiliser des images de conteneurs tierces conformes à la norme FIPS.
Nous vous recommandons d'utiliser des proxys à la limite de votre environnementTrusted Cloud conforme à la norme FIPS pour appliquer la conformité FIPS de manière exhaustive. Vous pouvez également exécuter des charges de travail conformes à la norme FIPS sans être limité aux machines hôtes de nœuds dotées de kernels conformes à la norme FIPS. Certains fournisseurs tiers proposent des images de conteneurs qui utilisent une source d'entropie distincte et conforme à la norme FIPS.
Assurez-vous d'évaluer correctement l'implémentation du fournisseur tiers pour vous assurer qu'elle est réellement conforme à la norme FIPS.