Tentang enkripsi yang divalidasi FIPS di GKE


Halaman ini menjelaskan cara Trusted Cloud by S3NS dan Google Kubernetes Engine (GKE) mempertahankan kepatuhan terhadap Federal Information Processing Standards (FIPS) saat Anda memproses dan mengirimkan data melalui cluster GKE yang berjalan di Trusted Cloud.

Halaman ini ditujukan untuk Pengelola keamanan, Engineer keamanan, dan Petugas kepatuhan yang ingin memenuhi persyaratan ketat terkait keamanan dan privasi data yang terkait dengan FIPS. Halaman ini juga berguna jika Anda perlu menunjukkan kepada auditor bahwa GKE di Trusted Cloud menerapkan perlindungan yang divalidasi FIPS untuk keamanan data secara default.

Poin-poin penting tentang enkripsi yang divalidasi FIPS di GKE

  • Kontrol keamanan FedRAMP® untuk enkripsi data dalam pengiriman (SC-28) dan dalam penyimpanan (SC-8(1)) mewajibkan data Anda dienkripsi menggunakan modul kriptografi yang divalidasi FIPS 140-2 atau yang lebih baru. Kontrol keamanan ini tidak secara eksplisit mewajibkan pengaktifan "mode FIPS" di tingkat sistem operasi (OS). Selain itu, mode FIPS tingkat OS tidak menjamin kepatuhan.
  • Data yang disimpan dalam sistem yang diotorisasi FedRAMP dienkripsi dalam penyimpanan secara default menggunakan modul kriptografi yang divalidasi FIPS 140-2 atau yang lebih baru. Trusted Cloud Selama data Anda disimpan di sistem yang diotorisasi ini, data tersebut memenuhi persyaratan FedRAMP untuk melindungi data dalam keadaan nonaktif (kontrol keamanan SC-28). Untuk mengetahui daftar sistem yang diotorisasi, lihat layanan FedRAMP High yang termasuk dalam cakupan.
  • Data yang Anda kirimkan di dalam jaringan Virtual Private Cloud (VPC) dienkripsi secara otomatis dan dilindungi oleh mekanisme autentikasi dan otorisasi. Trusted CloudVPC diizinkan di FedRAMP High. Selama data Anda ditransmisikan dalam jaringan VPC Trusted Cloud , data tersebut memenuhi persyaratan FedRAMP untuk melindungi data dalam pengiriman (kontrol keamanan SC-8(1)).
  • Anda tidak perlu membuat aplikasi menggunakan proses build yang mematuhi FIPS untuk memenuhi persyaratan FedRAMP terkait perlindungan data saat tidak digunakan dan dalam transit. Hal ini karena data yang dikirim dalam Trusted Cloud jaringan VPC dan disimpan dalam sistem penyimpanan yang diizinkan FedRAMP Trusted Cloud dilindungi sesuai dengan persyaratan FedRAMP ini untuk perlindungan data secara default.

Tentang FIPS dan FedRAMP

Federal Risk and Authorization Management Program (FedRAMP) adalah program pemerintah AS yang menentukan pendekatan standar untuk penilaian keamanan dan risiko teknologi cloud. GKE disertakan dalam daftar layananTrusted Cloud yang memiliki otorisasi sementara untuk beroperasi (P-ATO) FedRAMP High. Untuk mempelajari lebih lanjut Trusted Cloud P-ATO FedRAMP, lihat Trusted Cloud ringkasan FedRAMP.

FIPS adalah serangkaian standar yang diumumkan secara publik dan dikeluarkan oleh National Institute of Standards and Technology (NIST). Publikasi FIPS 140-2 menentukan persyaratan untuk menyetujui modul kriptografis. Untuk mengetahui detailnya, lihat FIPS 140-2 di NIST.

P-ATO FedRAMP High mencakup kontrol untuk melindungi data dalam pengiriman (SC-8(1)) dan melindungi data dalam penyimpanan (SC-28(1)) menggunakan modul kriptografi yang divalidasi FIPS.

Perlindungan data yang divalidasi FIPS secara default di GKE

Bagian berikut menjelaskan cara Trusted Cloud dan GKE menerapkan enkripsi yang divalidasi FIPS untuk melindungi data dalam penyimpanan dan dalam pengiriman. Informasi ini dibahas lebih mendetail dalam rencana keamanan sistem (SSP), yang dapat Anda minta dari tim penjualan, perwakilan, atau FedRAMP Program Management Office jika Anda adalah pelanggan pemerintah. Trusted Cloud Trusted Cloud Trusted Cloud Trusted Cloud Untuk mengetahui detailnya, lihat Trusted Cloud Kepatuhan terhadap FedRAMP.

Perlindungan data dalam penyimpanan yang divalidasi FIPS

Data GKE dienkripsi dalam penyimpanan menggunakan Trusted Cloud modul enkripsi tervalidasi FIPS 140-2 bernama BoringCrypto. Untuk mengetahui detailnya, lihat Validasi FIPS 140-2 di Trusted Cloud.

Untuk mengetahui informasi selengkapnya tentang enkripsi dalam penyimpanan, lihat referensi berikut:

Perlindungan data dalam pengiriman yang divalidasi FIPS

Trusted Cloud VPC memiliki P-ATO FedRAMP High. Data apa pun yang Anda transmisikan dalam jaringan VPC Anda akan dienkripsi secara otomatis. Di GKE, ini berarti semua traffic ke dan dari kontainer, Pod, proses kubelet di setiap node, semua node, instance bidang kontrol, dan layanan Trusted Cloud lainnya dalam VPC dilindungi saat transit. Semua koneksi ke Google API menggunakan keamanan lapisan transport (TLS) 1.2 atau yang lebih tinggi untuk mengenkripsi traffic jaringan. Tidak ada tindakan tambahan yang diperlukan agar sesuai dengan FIPS untuk perlindungan data dalam transit di dalam Trusted Cloud jaringan VPC.

Untuk mengetahui informasi selengkapnya tentang cara data Anda dienkripsi dalam pengiriman, lihat Laporan resmi enkripsi dalam pengiriman.

Rekomendasi untuk melindungi data di luar Trusted Cloud

Enkripsi data dalam pengiriman secara default untuk GKE danTrusted Cloud hanya berlaku dalam jaringan VPC Trusted Cloud . Anda harus menggunakan kriptografi yang mematuhi FIPS untuk melindungi data yang berada di luar batas jaringan VPC. Rekomendasi berikut membantu Anda memastikan bahwa semua data masuk dan keluar di luar lingkungan FIPS dalam pengiriman dienkripsi dengan kriptografi yang mematuhi FIPS.Trusted Cloud

Menyadap dan mengenkripsi traffic masuk dari internet

Untuk traffic masuk ke lingkungan Trusted Cloud Anda dari internet, gunakan kebijakan SSL di load balancer Trusted Cloud untuk menentukan serangkaian cipher atau mekanisme kriptografi yang divalidasi FIPS yang diizinkan untuk melindungi data saat memasuki lingkungan Trusted Cloud . Untuk mengetahui detailnya, lihat referensi berikut:

Menyadap dan mengenkripsi traffic keluar ke internet

Tentukan perimeter yang membatasi koneksi data keluar ke sekumpulan pihak ketiga tepercaya yang diketahui dengan mengonfigurasi firewall. Buat diagram dan dokumentasikan persyaratan jaringan eksternal, seperti menarik data dari sumber seperti GitHub, dan tempat koneksi eksternal tersebut akan terjadi dalam lingkungan Anda. Sebaiknya gunakan reverse proxy untuk mencegat traffic keluar dari VPC Anda.

Jika Anda memiliki traffic HTTP yang keluar dari perimeter lingkunganTrusted Cloud yang mematuhi FedRAMP, pertimbangkan untuk menyiapkan proxy penerusan HTTP untuk mencegat data sebelum keluar dari lingkungan. Enkripsi ulang data menggunakan modul kriptografi yang divalidasi FIPS 140-2 sebelum Anda mengizinkannya keluar dari perimeter Anda. Pendekatan ini lebih mudah dikelola dalam skala besar daripada mencoba memastikan bahwa setiap klien internal menggunakan library enkripsi yang sesuai untuk komunikasi eksternal.

Mengaktifkan node pribadi

GKE memungkinkan Anda menonaktifkan alamat IP eksternal untuk node baru di cluster, sehingga workload yang berjalan di node tidak dapat berkomunikasi dengan internet secara default. Gunakan variabel lingkungan http_proxy atau https_proxy untuk mengirim semua traffic ke proxy HTTP yang dikonfigurasi.

Anda dapat mengonfigurasi pencegatan traffic ini yang lebih transparan dengan aturan pemilihan rute. Namun, karena Anda melakukan proxy traffic TLS, proxy tidak dapat sepenuhnya transparan terhadap aplikasi yang Anda jalankan di GKE.

Untuk mengetahui detailnya, lihat referensi berikut:

Menggunakan Cloud VPN untuk koneksi lapisan jaringan ke GKE

Terkadang Anda mungkin memerlukan koneksi lapisan jaringan terenkripsi ke cluster GKE Anda. Misalnya, Anda mungkin perlu menyiapkan jaringan yang mematuhi FIPS antara node GKE dan node lokal. Cloud VPN adalah layanan yang diizinkan FedRAMP High yang mengenkripsi data Anda saat transit antara jaringan VPC dan jaringan lokal Anda. Untuk mengetahui detailnya, lihat Ringkasan Cloud VPN.

Menggunakan Cloud KMS untuk operasi kriptografi

Jika Anda perlu melakukan operasi kriptografi di lingkungan Trusted Cloud Anda, gunakan Cloud Key Management Service. Cloud KMS adalah layanan yang memiliki otorisasi FedRAMP High. Cloud KMS memungkinkan Anda melakukan operasi kriptografis yang mematuhi FIPS 140-2 Level 1 atau Level 3. Untuk mengetahui detailnya, lihat referensi berikut:

Membangun library yang divalidasi FIPS di workload GKE

Untuk menggunakan modul enkripsi BoringCrypto di aplikasi GKE, instal BoringSSL. BoringSSL adalah fork open source dari OpenSSL yang mencakup library BoringCrypto. Untuk membuat, mengompilasi, dan menautkan modul BoringCrypto secara statis ke BoringSSL, lihat bagian 12.1, "Petunjuk Penginstalan", di PDF Kebijakan Keamanan FIPS 140-2 BoringCrypto

Mempertimbangkan image container pihak ketiga yang mematuhi FIPS

Sebaiknya gunakan proxy di batas lingkungan yang mematuhi FIPSTrusted Cloud untuk menerapkan kepatuhan FIPS secara komprehensif. Anda juga dapat menjalankan workload yang mematuhi FIPS tanpa dibatasi pada mesin host node yang memiliki kernel yang mematuhi FIPS. Beberapa vendor pihak ketiga menyediakan image container yang menggunakan sumber entropi terpisah yang mematuhi FIPS.

Pastikan Anda mengevaluasi penerapan vendor pihak ketiga dengan benar untuk memastikan bahwa vendor tersebut benar-benar mematuhi FIPS.

Langkah berikutnya