美国国防信息系统局临时授权
美国国防信息系统局 (DISA) 为美国国防部 (DoD) 管理云服务的评估和授权。DISA 云服务支持已向 Google Cloud 授予 DoD 影响级别 5 (IL5) 临时授权 (PA)。IL5 的授权支持使用 Google Cloud 特定产品处理和存储受控非密信息和国家安全系统 (NSS) 信息。
Google Cloud 的 DISA IL2、IL4 和 IL5 PA 要求客户使用 Assured Workloads 和高级支持服务。Google Workspace 的 DISA IL4 PA 要求客户使用安全管控和安心支持服务。如需详细了解配置流程,请与我们的销售团队联系。
快捷链接
Google Cloud 的 DISA IL 合规性
DISA 是 DoD 的一个机构,负责开发和维护 DoD 云计算安全要求指南 (SRG)。云计算 SRG 定义了 DoD 用于评估云服务产品 (CSO) 的安全状况的基准安全要求,支持授予 DoD PA 的决定,允许云服务提供商 (CSP) 托管 DoD 任务。它合并、取代和废除了之前发布的 DoD 云安全模型 (CSM),并映射到 DoD 风险管理框架 (RMF)。
DISA 指导 DoD 机构和部门规划和授权 CSO 的使用。它还评估 CSO 是否符合 SRG,SRG 是一个授权流程,在该流程中,CSP 可提供文档来说明其对 DoD 标准的遵守情况。它会为合规的 CSP 颁发 DoD PA,这样 DoD 机构和支持组织就可以直接使用合规的云服务,而无需自行进行完整审核,从而节省时间和精力。
2022 年,Google Cloud 被评为 IL5 临时授权机构,成为首批获得 DISA 认证的软件定义社区云之一。 软件定义的隔离方法在区域部署、可伸缩性和费用方面比传统政府云更具灵活性。
ILx 包请求 DoD ILx 包基于 FedRAMP High 包,并包含额外的 DoD 专属控制措施。Google 无权共享 ILx 包,必须由 DISA 提供给另一方。如果政府实体想要详细了解 DoD PA 包中被 FedRAMP P-ATO 包涵盖的内容,可以通过以下方式联系云评估部门:DISA Ft Meade RE Mailbox Cloud Team: disa.meade.re.mbx.cloud-team@mail.mil
Google Cloud 和 IL2
IL2 数据包括非受控的未分类信息(即所有已获准公开发布的数据)以及一些未指定为受控的未分类信息 (CUI) 且机密性较低的未分类信息。 此影响级别适用于基于 CNSSI 1253 国家安全系统的安全分类和控制选择的非 CUI 分类,最高可达低机密性和中等完整性 (L-M-x)。
在 2014 年 12 月 15 日美国国防部首席信息官备忘录中,有关获取和使用商业云计算服务的更新指南指出,“FedRAMP 将充当所有 DoD 云服务的最低安全基准。”SRG 使用 FedRAMP 中等基准作为所有信息 IL,并在一定程度上考虑高基准。
云计算 SRG 第 5.1.1 节“DoD 对 FedRAMP 安全控制措施的使用”说明了 IL2 信息可以托管在至少持有 FedRAMP Moderate 或 High 临时授权的 CSO 中。对于 DoD IL2 PA,只会评估 FedRAMP Moderate 或 High 基准控制措施。对于 IL2 PA,DoD 允许与 FedRAMP 联合授权委员会 (JAB) 颁发的 FedRAMP Moderate 或 High 临时运营授权 (P-ATO) 完全互惠。如需详细了解 Google Cloud 的 FedRAMP 合规性,请参阅我们的 FedRAMP 页面。
在 Google Cloud 上托管 IL4 或 IL5 工作负载
IL4 和 IL5 工作负载可通过 Assured Workloads 进行部署,此产品可实现满足更严格的数据驻留和支持要求的安全控制措施。Assured Workloads 还会强制执行开发者控制措施,以帮助大型组织保持合规。
选择 IL4 或 IL5 授权服务后,Google 可以通过特定服务的配置指南或直接与我们专业服务组织中的 IL4 和 IL5 专家交流,帮助您配置解决方案。此外,Google 还为客户提供包含 Terraform 代码的 IL4 Springboard 部署指南。
如果客户希望在其 IL4 和 IL5 环境中使用 Google Cloud 部署其解决方案,则必须使用 Assured Workloads。借助 Assured Workloads,客户可以使用 Google Cloud 服务放心地保护和配置敏感工作负载,以满足合规性和安全要求。Assured Workloads 不依赖独立于其公有云数据中心的物理基础设施。而是提供一个软件定义的社区云,在费用、速度和创新方面具有优势。
通过 Assured Workloads 提供的 IL4 和 IL5 授权服务可实现 IL4 和 IL5 安全控制措施,并使客户可以利用 Google Cloud 的功能满足其组织的需求。借助 Assured Workloads,您还可以通过 Assured Workloads Monitoring 了解 IL4 和 IL5 工作负载的合规状态。此工具可帮助您发现并解决违规问题,并向合规性状态审核人员提供控制证明。
除了 Google Cloud 基础设施 IL5 临时授权满足的控制措施之外,Assured Workloads 还会为处理 IL4 和 IL5 政府数据的客户默认实施以下关键的 IL4 和 IL5 控制措施:
- 设置控制措施使 IL4 和 IL5 客户数据位置限制在美国
- 将技术支持人员限制为位于美国的 IL4 和 IL5 裁定人员。
- 强制使用符合 FIPS-140-2 标准的静态加密和传输加密方法。
- 针对需要定期访问客户数据的人员实施 IL4 和 IL5 要求的人员访问权限控制机制。
- 限制开发者只能使用符合 IL4 和 IL5 要求的产品和服务。
- 对范围内合规性边界进行逻辑细分,以支持 IL4 和 IL5 要求。
Google Workspace 和 IL4
Google Workspace 企业 Plus 版已获得美国国防部 (DOD) 的影响等级 4 授权。希望部署 Google Workspace 来改善生产力和协作解决方案的客户应使用附加产品功能(安全管控),该功能将允许组织精确控制云服务提供商的访问权限。
具有安全管控的 Google Workspace 企业 Plus 版包含内置安全控制措施和功能集,使 DoD 客户能够达到 IL4 合规性,并颁发自己的运营授权 (ATO)。支持 IL4 合规性的关键 Google Workspace 功能包括:
- 能够使用数据区域将数据限制在美国区域
- 能够使用安全管控访问管理功能,仅允许美国人执行 Google 员工支持操作
- 执行高级的数据静态加密和传输中加密,以满足对敏感数据的加密需求。如需了解详情,请参阅我们的 Google Workspace 加密白皮书。
- Google Workspace 安全中心,提供详尽的安全信息和分析结果,以调查影响您网域的安全问题。
国防部客户可通过 eMASS 或他们的 DISA 联络人索取 Google Workspace IL4 文档。请注意,Google Workspace 无法直接向客户提供此文档。
相关资源
- Assured Workloads 概览
- 部署 IL4 Assured Workloads 环境的指南和 Terraform
- NIST Cybersecurity Framework 和 Google Cloud
- Google Cloud 部署指南
- Google Cloud 安全模型
- DoD 说明 8510.01 适用于 DoD 信息技术 (IT) 的 DoD 风险管理框架 (RMF)
- NIST SP 800-37 适用于信息系统和组织的风险管理框架:保障安全和隐私的系统生命周期方法
- NIST SP 800-53 适用于信息系统和组织的安全和隐私控制
- NIST SP 800-59 将信息系统标识为国家安全系统的准则
- NIST SP 800-171 保护非联邦系统和组织中的受控未分类信息
- CNSSI 1253 国家安全系统的安全分类和控制选择