Sebagian atau seluruh informasi di halaman ini mungkin tidak berlaku untuk Cloud de Confiance dari S3NS. Lihat Perbedaan dengan Google Cloud untuk mengetahui detail selengkapnya.

Halaman ini diterjemahkan oleh Cloud Translation API.

Tentang enkripsi yang divalidasi FIPS di GKE

Autopilot Standard

Halaman ini menjelaskan cara Cloud de Confiance by S3NS dan Google Kubernetes Engine (GKE) mempertahankan kepatuhan terhadap Federal Information Processing Standards (FIPS) saat Anda memproses dan mengirimkan data melalui cluster GKE yang berjalan di Cloud de Confiance.

Halaman ini ditujukan untuk pengelola keamanan, engineer keamanan, dan petugas kepatuhan yang ingin memenuhi persyaratan ketat terkait keamanan dan privasi data yang terkait dengan FIPS. Anda juga dapat menggunakan halaman ini untuk menunjukkan kepada auditor bahwa GKE di Cloud de Confiance menerapkan perlindungan yang divalidasi FIPS untuk keamanan data secara default.

Poin-poin penting tentang enkripsi yang divalidasi FIPS di GKE

Kontrol keamanan FedRAMP® untuk enkripsi data dalam pengiriman (SC-28) dan dalam penyimpanan (SC-8(1)) mewajibkan data Anda dienkripsi menggunakan modul kriptografi yang divalidasi FIPS 140-2 atau yang lebih baru. Kontrol keamanan ini tidak secara eksplisit mewajibkan pengaktifan "mode FIPS" di tingkat sistem operasi (OS). Selain itu, mode FIPS tingkat OS tidak menjamin kepatuhan.
Data yang disimpan dalam sistem yang diotorisasi FedRAMP dienkripsi dalam penyimpanan secara default menggunakan modul kriptografi yang divalidasi FIPS 140-2 atau yang lebih baru. Cloud de Confiance Selama data Anda disimpan di sistem yang diotorisasi ini, data tersebut memenuhi persyaratan FedRAMP untuk melindungi data dalam keadaan nonaktif (kontrol keamanan SC-28). Untuk mengetahui daftar sistem yang diotorisasi, lihat layanan FedRAMP High yang termasuk dalam cakupan.
Data yang Anda kirimkan di dalam jaringan Virtual Private Cloud (VPC) dienkripsi secara otomatis dan dilindungi oleh mekanisme autentikasi dan otorisasi. Cloud de ConfianceVPC diizinkan di FedRAMP High. Selama data Anda ditransmisikan dalam jaringan Cloud de Confiance VPC, data tersebut memenuhi persyaratan FedRAMP untuk melindungi data dalam pengiriman (kontrol keamanan SC-8(1)).
Anda tidak perlu membangun aplikasi menggunakan proses build yang mematuhi FIPS untuk memenuhi persyaratan FedRAMP terkait perlindungan data saat tidak aktif dan dalam transit. Hal ini karena data yang dikirim dalam Cloud de Confiance jaringan VPC dan disimpan dalam sistem penyimpanan yang diizinkan FedRAMP Cloud de Confiance dilindungi sesuai dengan persyaratan FedRAMP ini untuk perlindungan data secara default.

Tentang FIPS dan FedRAMP

Federal Risk and Authorization Management Program (FedRAMP) adalah program pemerintah AS yang menentukan pendekatan standar untuk penilaian keamanan dan risiko teknologi cloud. GKE disertakan dalam daftar Cloud de Confiance layanan yang memiliki otorisasi sementara untuk beroperasi (P-ATO) FedRAMP High. Untuk mempelajari lebih lanjut Cloud de Confiance P-ATO FedRAMP, lihat Cloud de Confiance ringkasan FedRAMP.

FIPS adalah serangkaian standar yang diumumkan secara publik dan dikeluarkan oleh National Institute of Standards and Technology (NIST). Publikasi FIPS 140-2 mendefinisikan persyaratan untuk menyetujui modul kriptografis. Untuk mengetahui detailnya, lihat FIPS 140-2 di NIST.

P-ATO FedRAMP High mencakup kontrol untuk melindungi data dalam pengiriman (SC-8(1)) dan melindungi data dalam penyimpanan (SC-28(1)) menggunakan modul kriptografi yang divalidasi FIPS.

Perlindungan data yang divalidasi FIPS secara default di GKE

Bagian berikut menjelaskan cara Cloud de Confiance dan GKE menerapkan enkripsi yang divalidasi FIPS untuk melindungi data dalam penyimpanan dan dalam pengiriman. Informasi ini dibahas lebih mendetail dalam rencana keamanan sistem (SSP), yang dapat Anda minta dari tim penjualan, perwakilan, atau dari Kantor Pengelola Program FedRAMP jika Anda adalah pelanggan pemerintah. Cloud de Confiance Cloud de Confiance Cloud de Confiance Cloud de Confiance Untuk mengetahui detailnya, lihat Cloud de Confiance Kepatuhan terhadap FedRAMP.

Perlindungan data dalam penyimpanan yang divalidasi FIPS

Data GKE dienkripsi dalam penyimpanan menggunakan Cloud de Confiance modul enkripsi tervalidasi FIPS 140-2 bernama BoringCrypto. Untuk mengetahui detailnya, lihat Validasi FIPS 140-2 di Cloud de Confiance.

Untuk mengetahui informasi selengkapnya tentang enkripsi dalam penyimpanan, lihat referensi berikut:

Perlindungan data dalam pengiriman yang divalidasi FIPS

VPC Cloud de Confiance memiliki P-ATO FedRAMP High. Data apa pun yang Anda transmisikan dalam jaringan VPC Anda akan dienkripsi secara otomatis. Di GKE, ini berarti semua traffic ke dan dari kontainer, Pod, proses kubelet di setiap node, semua node, instance control plane, dan layanan Cloud de Confiance lainnya dalam VPC dilindungi saat transit. Semua koneksi ke Google API menggunakan keamanan lapisan transport (TLS) 1.2 atau yang lebih tinggi untuk mengenkripsi traffic jaringan. Tidak ada tindakan tambahan yang diperlukan agar sesuai dengan FIPS untuk perlindungan data dalam transit di dalam jaringan VPCCloud de Confiance .

Untuk mengetahui informasi selengkapnya tentang cara data Anda dienkripsi dalam pengiriman, lihat Laporan resmi enkripsi dalam pengiriman.

Rekomendasi untuk melindungi data di luar Cloud de Confiance

Enkripsi data dalam pengiriman secara default untuk GKE danCloud de Confiance hanya berlaku dalam jaringan VPC Cloud de Confiance . Anda harus menggunakan kriptografi yang mematuhi FIPS untuk melindungi data yang berada di luar batas jaringan VPC. Rekomendasi berikut membantu Anda memastikan bahwa semua data masuk dan keluar di luar lingkungan FIPS Anda dalam pengiriman dienkripsi dengan kriptografi yang mematuhi FIPS.Cloud de Confiance

Menyadap dan mengenkripsi traffic masuk dari internet

Untuk traffic masuk ke lingkungan Cloud de Confiance Anda dari internet, gunakan kebijakan SSL di load balancer Cloud de Confiance untuk menentukan serangkaian cipher atau mekanisme kriptografi yang divalidasi FIPS yang diizinkan untuk melindungi data saat memasuki lingkungan Cloud de Confiance . Untuk mengetahui detailnya, lihat referensi berikut:

Menyadap dan mengenkripsi traffic keluar ke internet

Tentukan perimeter yang membatasi koneksi data keluar ke sekumpulan pihak ketiga tepercaya yang diketahui dengan mengonfigurasi firewall. Buat diagram dan dokumentasikan persyaratan jaringan eksternal, seperti menarik data dari sumber seperti GitHub, dan tempat koneksi eksternal tersebut akan terjadi dalam lingkungan Anda. Sebaiknya gunakan reverse proxy untuk mencegat traffic keluar dari VPC Anda.

Jika Anda memiliki traffic HTTP yang keluar dari perimeter lingkunganCloud de Confiance yang mematuhi FedRAMP, pertimbangkan untuk menyiapkan proxy penerusan HTTP untuk mencegat data sebelum keluar dari lingkungan. Enkripsi ulang data menggunakan modul kriptografi yang divalidasi FIPS 140-2 sebelum Anda mengizinkannya keluar dari perimeter Anda. Pendekatan ini lebih mudah dikelola dalam skala besar daripada mencoba memastikan bahwa setiap klien internal menggunakan library enkripsi yang sesuai untuk komunikasi eksternal.

Mengaktifkan node pribadi

GKE memungkinkan Anda menonaktifkan alamat IP eksternal untuk node baru di cluster, sehingga workload yang berjalan di node tidak dapat berkomunikasi dengan internet secara default. Gunakan variabel lingkungan http_proxy atau https_proxy untuk mengirim semua traffic ke proxy HTTP yang dikonfigurasi.

Anda dapat mengonfigurasi pencegatan traffic ini yang lebih transparan dengan aturan pemilihan rute. Namun, karena Anda melakukan proxy traffic TLS, proxy tidak dapat sepenuhnya transparan untuk aplikasi yang Anda jalankan di GKE.

Untuk mengetahui detailnya, lihat referensi berikut:

Menggunakan Cloud VPN untuk koneksi lapisan jaringan ke GKE

Terkadang Anda mungkin memerlukan koneksi lapisan jaringan terenkripsi ke cluster GKE Anda. Misalnya, Anda mungkin perlu menyiapkan jaringan yang sesuai dengan FIPS antara node GKE dan node lokal. Cloud VPN adalah layanan yang diizinkan FedRAMP High yang mengenkripsi data Anda saat transit antara jaringan VPC dan jaringan lokal Anda. Untuk mengetahui detailnya, lihat Ringkasan Cloud VPN.

Menggunakan Cloud KMS untuk operasi kriptografi

Jika Anda perlu melakukan operasi kriptografi di lingkungan Cloud de Confiance Anda, gunakan Cloud Key Management Service. Cloud KMS adalah layanan yang memiliki otorisasi FedRAMP High. Cloud KMS memungkinkan Anda melakukan operasi kriptografis yang mematuhi FIPS 140-2 Level 1 atau Level 3. Untuk mengetahui detailnya, lihat referensi berikut:

Membangun library yang divalidasi FIPS di workload GKE

Untuk menggunakan modul enkripsi BoringCrypto di aplikasi GKE, instal BoringSSL. BoringSSL adalah fork open source dari OpenSSL yang menyertakan library BoringCrypto. Untuk membuat, mengompilasi, dan menautkan modul BoringCrypto secara statis ke BoringSSL, lihat bagian 12.1, "Petunjuk Penginstalan", di PDF Kebijakan Keamanan FIPS 140-2 BoringCrypto

Mempertimbangkan image container yang mematuhi FIPS pihak ketiga

Sebaiknya gunakan proxy di batas lingkungan yang mematuhi FIPSCloud de Confiance untuk menerapkan kepatuhan FIPS secara komprehensif. Anda juga dapat menjalankan workload yang mematuhi FIPS tanpa dibatasi pada mesin host node yang memiliki kernel yang mematuhi FIPS. Beberapa vendor pihak ketiga menyediakan image container yang menggunakan sumber entropi terpisah yang mematuhi FIPS.

Pastikan Anda mengevaluasi penerapan vendor pihak ketiga dengan benar untuk memastikan bahwa vendor tersebut benar-benar mematuhi FIPS.