本頁面說明如何 Trusted Cloud by S3NS 和 Google Kubernetes Engine (GKE) 維持符合聯邦資訊處理標準 (FIPS),以便透過在 Trusted Cloud上執行的 GKE 叢集處理及傳輸資料。
本頁內容適用於想要符合與 FIPS 相關嚴格資料安全和隱私權規定的安全管理員、安全工程師和法規遵循主管。如果您需要向稽核人員證明 GKE on Trusted Cloud 預設會實作 FIPS 驗證的資料安全防護措施,本頁面也很有幫助。
GKE 中 FIPS 驗證加密的重點
- FedRAMP® 對於傳輸中資料加密 (SC-28) 和靜態資料加密 (SC-8(1)) 的安全控管措施,要求您使用通過 FIPS 140-2 驗證的加密模組或更新版本加密資料。這些安全控管措施並未明確規定要在作業系統 (OS) 層級啟用「FIPS 模式」。此外,作業系統層級的 FIPS 模式無法保證符合規定。
- 儲存在 FedRAMP 授權 Trusted Cloud 系統中的資料,預設會使用通過 FIPS 140-2 驗證的加密模組 (或更新版本) 進行靜態加密。只要資料儲存在這些授權系統中,資料就會符合 FedRAMP 靜態資料保護規定 (安全控管 SC-28)。如需授權系統清單,請參閱「FedRAMP 高等風險範圍內的服務」。
- 在 Trusted Cloud虛擬私有雲 (VPC) 網路中傳輸的資料會自動加密,並受到驗證和授權機制保護。VPC 已獲得 FedRAMP 高等風險授權。只要資料是在 Trusted Cloud VPC 網路中傳輸,資料就會符合 FedRAMP 傳輸中資料保護規定 (安全控制措施 SC-8(1))。
- 您不必使用符合 FIPS 標準的建構程序建構應用程式,也能符合 FedRAMP 對於靜態和傳輸中資料保護的要求。這是因為在Trusted Cloud VPC 網路中傳輸的資料,以及儲存在 FedRAMP 授權 Trusted Cloud 儲存系統中的資料,預設會受到保護,符合這些 FedRAMP 資料保護規定。
關於 FIPS 和 FedRAMP
聯邦風險與授權管理計畫 (FedRAMP) 是美國政府計畫,針對雲端技術定義安全和風險評估的標準化做法。GKE 屬於Trusted Cloud 具有 FedRAMP 高等風險暫時性執行授權 (P-ATO) 的服務。如要進一步瞭解 Trusted Cloud FedRAMP P-ATO,請參閱 Trusted Cloud FedRAMP 總覽。
FIPS 是美國國家標準暨技術研究院 (NIST) 公布的一組標準。FIPS 140-2 出版品定義了核准加密編譯模組的要求。詳情請參閱 NIST 上的 FIPS 140-2。
FedRAMP 高等風險 P-ATO 包含的控管措施,可使用通過 FIPS 驗證的加密模組,保護傳輸中資料 (SC-8(1)) 和靜態資料 (SC-28(1))。
GKE 中預設的 FIPS 驗證資料保護
下列各節說明如何 Trusted Cloud 和 GKE 實作 FIPS 驗證的加密技術,保護靜態和傳輸中的資料。如要瞭解更多資訊,請參閱 Trusted Cloud 系統安全計畫 (SSP) Trusted Cloud 。如果您是政府機關客戶,可以向銷售團隊、代表或 FedRAMP 計畫管理局索取這份文件。Trusted Cloud Trusted Cloud 詳情請參閱「Trusted Cloud FedRAMP 法規遵循」。
通過 FIPS 驗證的靜態資料保護機制
GKE 靜態資料會使用通過 FIPS 140-2 驗證的 Trusted Cloud 加密模組 (名為 BoringCrypto) 進行加密。詳情請參閱「FIPS 140-2 validation in Trusted Cloud」。
如要進一步瞭解靜態加密,請參閱下列資源:
- 預設靜態資料加密
- 屬於 FedRAMP P-ATO 適用範圍的 Google Cloud 服務
- NIST 800-57:金鑰管理建議
- NIST BoringCrypto 模組驗證
- 使用使用者管理的加密金鑰,在 GKE 中加密傳輸中的資料
通過 FIPS 驗證的傳輸中資料保護機制
Trusted Cloud VPC 具有 FedRAMP 高等風險 P-ATO。您在虛擬私有雲網路中傳輸的任何資料都會自動加密。在 GKE 中,這表示容器、Pod、每個節點上的 kubelet 程序、所有節點、控制層例項,以及 VPC 內其他 Trusted Cloud 服務的所有來回流量,都會受到傳輸中保護。所有連至 Google API 的連線都會使用傳輸層安全標準 (TLS) 1.2 以上版本,加密網路流量。如要在Trusted Cloud VPC 網路中傳輸資料時受到保護,不必採取任何額外行動,即可符合 FIPS 規範。
如要進一步瞭解資料在傳輸過程中如何加密,請參閱傳輸中資料加密白皮書。
保護 Trusted Cloud外部資料的建議
GKE 預設會加密傳輸中的資料,且Trusted Cloud 僅適用於 VPC Trusted Cloud 網路。您必須使用符合 FIPS 規範的加密技術,保護 VPC 網路邊界外的資料。下列建議有助於確保所有傳輸中的資料 (包括進出 FIPS 環境的資料) 都經過 FIPS 相容的加密技術加密。Trusted Cloud
攔截並加密來自網際網路的連入流量
如要確保從網際網路傳入 Trusted Cloud 環境的流量安全無虞,請在 Trusted Cloud 負載平衡器中使用 SSL 政策,定義一組允許使用的 FIPS 驗證加密密碼或機制,確保資料進入 Trusted Cloud 環境時受到保護。詳情請參閱下列資源:
攔截並加密傳輸至網際網路的輸出流量
設定防火牆,定義周邊範圍,將輸出資料連線限制為一組您信任的已知第三方。繪製並記錄所有外部網路需求,例如從 GitHub 等來源提取資料,以及這些外部連線在環境中的發生位置。建議使用反向 Proxy 攔截虛擬私有雲的輸出流量。
如果 HTTP 流量要離開 FedRAMP 規範的Trusted Cloud 環境,請考慮設定 HTTP 轉送 Proxy,在資料離開環境前攔截資料。在資料離開安全範圍前,請先使用通過 FIPS 140-2 驗證的加密模組重新加密資料。相較於確保每個內部用戶端都使用相容的加密程式庫進行外部通訊,這種做法更易於大規模管理。
啟用私人節點
GKE 可讓您為叢集中的新節點停用外部 IP 位址,這樣一來,在節點上執行的工作負載預設就無法與網際網路通訊。使用 http_proxy 或 https_proxy 環境變數,將所有流量傳送至已設定的 HTTP Proxy。
您可以透過轉送規則,更清楚地設定這類流量的攔截方式。不過,由於您是 TLS 流量的 Proxy,Proxy 無法對 GKE 上執行的應用程式完全透明。
詳情請參閱下列資源:
使用 Cloud VPN 建立與 GKE 的網路層連線
有時您可能需要與 GKE 叢集建立加密網路層連線。舉例來說,您可能需要在 GKE 節點和內部部署節點之間,設定符合 FIPS 標準的網路。Cloud VPN 是 FedRAMP High 授權服務,可將虛擬私有雲網路與地端部署網路之間傳輸的資料加密。詳情請參閱 Cloud VPN 總覽。
使用 Cloud KMS 執行密碼編譯作業
如要在環境中執行加密作業,請使用 Cloud Key Management Service。 Trusted CloudCloud KMS 是 FedRAMP 高影響等級授權服務。Cloud KMS 可讓您執行符合 FIPS 140-2 第 1 級或第 3 級的加密編譯作業。詳情請參閱下列資源:
在 GKE 工作負載中建構 FIPS 驗證程式庫
如要在 GKE 應用程式中使用 BoringCrypto 加密模組,請安裝 BoringSSL。BoringSSL 是 OpenSSL 的開放原始碼分支版本,內含 BoringCrypto 程式庫。如要建構、編譯 BoringCrypto 模組,並將其靜態連結至 BoringSSL,請參閱 BoringCrypto FIPS 140-2 安全性政策 PDF 的 12.1 節「安裝說明」。
考慮使用符合 FIPS 規範的第三方容器映像檔
建議您在符合 FIPS 規範的環境邊界使用 Proxy,全面強制執行 FIPS 規範。Trusted Cloud 您也可以執行符合 FIPS 規範的工作負載,不必受限於具有符合 FIPS 規範核心的節點主機。部分第三方供應商提供的容器映像檔會使用符合 FIPS 規範的獨立熵來源。
請務必正確評估第三方供應商的導入作業,確保符合 FIPS 規範。