Sobre a criptografia validada pelo FIPS no GKE

---

Nesta página, descrevemos como o Trusted Cloud by S3NS e o Google Kubernetes Engine (GKE) mantêm a conformidade com os Federal Information Processing Standards (FIPS) ao processar e transmitir dados pelos clusters do GKE que são executados no Trusted Cloud.

Esta página é destinada a gerentes e engenheiros de segurança e agentes de compliance que querem atender a requisitos rigorosos de segurança e privacidade de dados relacionados à FIPS. Esta página também é útil se você precisar mostrar a um auditor que o GKE on Trusted Cloud implementa proteções validadas pelo FIPS para segurança de dados por padrão.

Principais conclusões sobre a criptografia validada pelo FIPS no GKE

• Os controles de segurança do FedRAMP® para criptografia de dados em trânsito (SC-28) e em repouso (SC-8(1)) exigem que seus dados sejam criptografados usando módulos criptográficos validados pelo FIPS 140-2 ou mais recentes. Esses controles de segurança não exigem explicitamente a ativação do "modo FIPS" no nível do sistema operacional (SO). Além disso, o modo FIPS no nível do SO não garante a conformidade.
• Os dados armazenados em sistemas autorizados pelo FedRAMP Trusted Cloud são criptografados em repouso por padrão usando módulos criptográficos validados pelo FIPS 140-2 ou mais recentes. Enquanto seus dados estiverem armazenados nesses sistemas autorizados, eles vão atender aos requisitos do FedRAMP para proteção de dados em repouso (controle de segurança SC-28). Para uma lista de sistemas autorizados, consulte os serviços de FedRAMP High no escopo.
• Os dados transmitidos na rede de nuvem privada virtual (VPC) Trusted Cloudsão criptografados automaticamente e protegidos por mecanismos de autenticação e autorização. A VPC é autorizada no FedRAMP de nível alto. Enquanto os dados forem transmitidos na rede VPC Trusted Cloud , eles vão atender aos requisitos da FedRAMP para proteção de dados em trânsito (controle de segurança SC-8(1)).
• Não é necessário criar aplicativos usando processos de build compatíveis com FIPS para atender aos requisitos do FedRAMP de proteção de dados em repouso e em trânsito. Isso acontece porque os dados transmitidos na rede VPCTrusted Cloud e armazenados em sistemas de armazenamento autorizados pelo FedRAMP Trusted Cloud são protegidos por padrão de acordo com esses requisitos do FedRAMP para proteção de dados.

Sobre o FIPS e o FedRAMP

O Programa Federal de Gerenciamento de Risco e Autorização (FedRAMP) é um programa do governo dos EUA que define uma abordagem padronizada para avaliação de segurança e risco de tecnologias de nuvem. O GKE está incluído na lista de Trusted Cloud serviços que têm autoridade provisória de nível alto do FedRAMP para operar (P-ATO). Para saber mais sobre a Trusted Cloud P-ATO do FedRAMP, consulte a Trusted Cloud visão geral do FedRAMP.

O FIPS é um conjunto de padrões anunciado publicamente e emitido pelo Instituto Nacional de Padrões e Tecnologia (NIST). A publicação FIPS 140-2 define os requisitos para aprovar módulos criptográficos. Para mais detalhes, consulte FIPS 140-2 no NIST.

A P-ATO de alto nível do FedRAMP inclui controles para proteger dados em trânsito (SC-8(1)) e em repouso (SC-28(1)) usando módulos criptográficos validados pelo FIPS.

Proteção de dados padrão validada pelo FIPS no GKE

As seções a seguir explicam como o Trusted Cloud e o GKE implementam a criptografia validada pelo FIPS para proteger dados em repouso e em trânsito. Essas informações são abordadas com mais detalhes no plano de segurança do sistema (SSP, na sigla em inglês), que você pode solicitar à sua equipe de vendas, representante ou ao Escritório de Gerenciamento do Programa FedRAMP se for um cliente governamental. Trusted Cloud Trusted Cloud Trusted Cloud Trusted Cloud Para mais detalhes, consulte Trusted Cloud Conformidade com o FedRAMP.

Proteção de dados em repouso validada pelo FIPS

Os dados do GKE são criptografados em repouso usando um módulo de criptografiaTrusted Cloud validado pelo FIPS 140-2 chamado BoringCrypto. Para mais detalhes, consulte Validação do FIPS 140-2 no Trusted Cloud.

Para mais informações sobre criptografia em repouso, consulte os seguintes recursos:

• Criptografia padrão em repouso
• Serviços do Google Cloud no escopo da P-ATO do FedRAMP
• NIST 800-57: recomendações para gerenciamento de chaves
• Validação do módulo NIST BoringCrypto
• Criptografar dados em trânsito no GKE com chaves de criptografia gerenciadas pelo usuário

Proteção de dados em trânsito validada pelo FIPS

A Trusted Cloud VPC tem uma P-ATO do FedRAMP de nível alto. Todos os dados transmitidos na rede VPC são criptografados automaticamente. No GKE, isso significa que todo o tráfego de e para contêineres, pods, o processo kubelet em cada nó, todos os nós, instâncias do plano de controle e outros serviços Trusted Cloud na VPC é protegido em trânsito. Todas as conexões com as APIs do Google usam o Transport Layer Security (TLS) 1.2 ou mais recente para criptografar o tráfego de rede. Nenhuma ação adicional é necessária para estar em conformidade com o FIPS para proteção de dados em trânsito na rede VPCTrusted Cloud .

Para mais informações sobre como seus dados são criptografados em trânsito, consulte o artigo sobre criptografia em trânsito.

Recomendações para proteger dados fora do Trusted Cloud

A criptografia padrão de dados em trânsito para o GKE e o Trusted Cloud só se aplicam na rede VPC Trusted Cloud . É necessário usar criptografia compatível com FIPS para proteger dados fora do limite da rede VPC. As recomendações a seguir ajudam a garantir que todos os dados de entrada e saída fora do seu ambienteTrusted Cloud FIPS em trânsito sejam criptografados com criptografia compatível com FIPS.

Interceptar e criptografar o tráfego de entrada da Internet

Para o tráfego de entrada da Internet para seu ambiente Trusted Cloud , use políticas SSL em balanceadores de carga Trusted Cloud para definir um conjunto permitido de criptografias ou mecanismos criptográficos validados pelo FIPS com que os dados precisam ser protegidos quando entram no ambiente Trusted Cloud . Para mais detalhes, consulte os seguintes recursos:

• Políticas de SSL para protocolos SSL e TLS
• Criar políticas de SSL com um perfil personalizado
• Criptografia entre balanceadores de carga baseados em proxy e back-ends

Interceptar e criptografar o tráfego de saída para a Internet

Defina um perímetro que limite as conexões de dados de saída a um conjunto de terceiros conhecidos em quem você confia configurando firewalls. Diagrama e documente todos os requisitos de rede externa, como extrair dados de fontes como o GitHub, e onde essas conexões externas vão ocorrer no seu ambiente. Considere usar um proxy reverso para interceptar o tráfego de saída da sua VPC.

Se você tiver tráfego HTTP saindo do perímetro do seu ambienteTrusted Cloud compatível com FedRAMP, considere configurar um proxy de encaminhamento HTTP para interceptar os dados antes que eles saiam do ambiente. Recriptografe os dados usando um módulo criptográfico validado pelo FIPS 140-2 antes de permitir que eles saiam do seu perímetro. Essa abordagem é mais fácil de gerenciar em grande escala do que tentar garantir que todos os clientes internos usem bibliotecas de criptografia compatíveis para comunicação externa.

Ativar nós particulares

O GKE permite desativar o endereço IP externo para novos nós nos clusters, para que as cargas de trabalho executadas nos nós não possam se comunicar com a Internet por padrão. Use as variáveis de ambiente http_proxy ou https_proxy para enviar todo o tráfego ao proxy HTTP configurado.

É possível configurar uma interceptação mais transparente desse tráfego com regras de roteamento. No entanto, como você está fazendo proxy do tráfego TLS, o proxy não pode ser completamente transparente para os aplicativos executados no GKE.

Para saber detalhes, consulte os seguintes recursos:

• Sobre o isolamento de rede
• Restringir o acesso da rede ao plano de controle e aos nós

Usar o Cloud VPN para conexões da camada de rede com o GKE

Às vezes, você precisa de uma conexão de camada de rede criptografada com seus clusters do GKE. Por exemplo, talvez seja necessário configurar uma rede compatível com FIPS entre nós do GKE e nós locais. O Cloud VPN é um serviço autorizado pelo FedRAMP High que criptografa seus dados em trânsito entre a rede VPC e a rede local. Para mais detalhes, consulte a visão geral do Cloud VPN.

Usar o Cloud KMS para operações criptográficas

Se você precisar realizar operações criptográficas no seu ambiente Trusted Cloud, use o Cloud Key Management Service. O Cloud KMS é um serviço autorizado pelo FedRAMP de nível alto. Com o Cloud KMS, é possível realizar operações criptográficas em conformidade com o Nível 1 ou 3 do FIPS 140-2. Para saber detalhes, consulte os seguintes recursos:

• Principais back-ends e níveis de proteção
• Criptografia simétrica bruta

Criar bibliotecas validadas pelo FIPS em cargas de trabalho do GKE

Para usar o módulo de criptografia BoringCrypto nos seus aplicativos do GKE, instale o BoringSSL. O BoringSSL é uma ramificação de código aberto do OpenSSL que inclui a biblioteca BoringCrypto. Para criar, compilar e vincular estaticamente o módulo BoringCrypto ao BoringSSL, consulte a seção 12.1, "Instruções de instalação", no PDF da política de segurança FIPS 140-2 do BoringCrypto.

Considere imagens de contêiner de terceiros compatíveis com FIPS

Recomendamos o uso de proxies no limite do seu ambienteTrusted Cloud compatível com FIPS para aplicar a conformidade com FIPS de maneira abrangente. Também é possível executar cargas de trabalho compatíveis com FIPS sem se limitar a máquinas host de nós com kernels compatíveis com FIPS. Alguns fornecedores terceirizados oferecem imagens de contêiner que usam uma fonte de entropia separada e compatível com FIPS.

Avalie corretamente a implementação do fornecedor terceirizado para garantir que ela esteja em conformidade com o FIPS.

A seguir

• Leia o Trusted Cloud guia de implementação do FedRAMP
• Usar uma restrição da política da organização para restringir o TLS à versão 1.2