本指南适用于负责联邦风险和授权管理计划 (FedRAMP) 实施以及 Google Cloud 合规性的安全管理人员、合规性管理人员、IT 管理员和其他员工。本指南可帮助您了解 Google 如何支持 FedRAMP 合规性,以及要配置哪些 Google Cloud 工具、产品和服务来帮助您履行 FedRAMP 的职责。
概览
Google Cloud 支持 FedRAMP 合规性,并在 Google 安全白皮书和 Google 基础设施安全设计概览中提供了有关安全性和数据保护方法的特定详细信息。尽管 Google 提供了安全且合规的云基础架构,但由您最终负责评估自己的 FedRAMP 合规性。您还负责确保根据 FedRAMP 要求正确配置和保护在 Google Cloud 之上构建的环境和应用。
本文档概括性地概述了 FedRAMP 授权运营 (ATO) 阶段,解释了 Google Cloud 的分担责任模型,强调了特定于客户的责任,并提出了如何在 Google Cloud 上满足这些要求和准则的建议。
FedRAMP
联邦风险和授权管理计划 (FedRAMP) 是适用于整个政府的程序,规定了如何将联邦信息安全性现代化法案 (FISMA) 应用于云计算。它为基于云的服务的安全性评估、授权和连续监视建立了可重复的方法。
使用 FedRAMP 的标准和准则,您可以在云中保护敏感数据、关键任务和任务关键型数据的安全,以便快速检测信息安全漏洞。
概括来讲,FedRAMP 有以下目标:
- 确保政府机构使用的云服务和系统具有足够的保障。
- 消除重复工作并降低风险管理成本。
- 使政府机构能够快速经济高效地采购信息系统和服务。
为了遵守 FedRAMP,联邦政府机构必须执行以下操作:
- 确保处理、传输和存储政府数据的所有云系统均使用 FedRAMP 安全控制基准。
- 在 FISMA 下授予安全授权时使用安全评估方案。
- 通过与云服务提供商 (CSP) 签订合同来执行 FedRAMP 要求。
授权运营 (ATO)
如果 FedRAMP 认证流程的成功实施和执行过程与“运营”部门的授权运营 (ATO) 相符,则 Cloud 服务会成功终止。FedRAMP ATO 有两个路径:P-ATO 和 Agency ATO。
P-ATO(临时授权运营)由 FedRAMP 联合授权委员会 (JAB) 授予。JAB 由美国国土安全部 (DHS)、美国总务管理局 (GSA) 和美国国防部 (DoD) 的首席信息官组成。委员会定义了 FedRAMP 安全基准控制措施,并为第三方评估组织 (3PAO) 建立了 FedRAMP 认证标准。组织和机构要求由 JAB 处理其信息系统安全软件包,然后 JAB 发出 P-ATO 以使用云服务。
通过机构 ATO,内部组织或机构指定授权官员 (AO) 对信息系统安全软件包进行风险审查。AO 可以聘请 3PAO 或未经认证的独立评估师 (IA) 来审核信息系统安全软件包。然后,AO 以及随后的代理机构或组织会授权信息系统使用云服务。该安全软件包还发送到 FedRAMP 计划管理办公室 (PMO) 进行审查;GSA 是 FedRAMP 的 PMO。经过审查,PMO 发布了安全软件包,供其他机构和组织使用。
安全评估方案
在代理机构和组织中授权官方授权 (AO) 时,必须将 FedRAMP 安全评估方案 (SAP) 纳入其内部授权流程,以确保他们满足云服务的 FedRAMP 要求。SAF 分四个阶段实现:
您或您的 AO 根据 FIPS PUB 199 安全性目标将您的信息系统分类为低、中或高影响系统,以确保机密性、完整性和可用性。
根据系统的 FIPS 分类,选择与 FIPS 199 分类级别(低、中或高)相关的 FedRAMP 安全控制基准。然后,您必须实现在相应控件基准中捕获的安全控件。以及无法实现或无法实现某项控制机制的原因。
在系统安全计划 (SSP) 中捕获安全控制实现的相关详情。我们建议您根据 FedRAMP 合规性级别 (低、中或高) 选择 SSP 模板。
SSP 执行以下操作:
- 描述安全授权边界。
- 说明了系统实现如何处理每个 FedRAMP 安全控制。
- 概述系统角色和责任。
- 定义预期的系统用户行为。
- 展示系统的架构方式和辅助基础架构的外观。
使用 FedRAMP 授权审核模板跟踪您的 ATO 进度。
如需详细了解实现阶段,请参阅 FedRAMP 的代理机构授权流程。
云责任模型
传统的基础架构技术 (IT) 要求组织和代理机构购买物理数据中心或托管空间、物理服务器、网络设备、软件、许可证以及其他用于构建系统和服务的设备。借助云计算,CSP 可以在物理硬件、数据中心和全球网络上进行投资,同时还可以提供虚拟设备、工具和服务供客户使用。
存在三种云计算模型:基础架构即服务 (IaaS)、平台即服务 (PaaS) 和软件即服务 (SaaS):
在 IaaS 模型中,CSP 本质上是在云中提供虚拟数据中心;它们提供了虚拟化的计算基础架构,例如服务器、网络和存储空间。CSP 管理这些资源的物理设备和数据中心时,您负责配置和保护他们在虚拟化基础架构之上运行的任何平台或应用资源。
在 PaaS 模型中,CSP 不仅可以提供和管理基础架构和虚拟化层,还可以为客户提供预先开发的预配置平台来创建软件、应用和 Web 服务。PaaS 使开发人员可以轻松创建应用和中间件,而不必担心底层硬件的安全性和配置。
在 SaaS 模型中,CSP 管理物理和虚拟基础架构以及平台层,同时提供基于云的应用和服务供客户使用。直接从网络浏览器或通过访问网站运行的互联网应用是 SaaS 应用。使用此模型时,组织和代理机构无需操心安装、更新或支持应用,只需管理系统和数据访问政策即可。
下图强调了突出显示了本地和跨云计算模型的 CSP 职责和您的职责:
FedRAMP 的责任
您可以查看相对于四个层级的云 IT 堆栈:物理基础架构层、云基础架构层、云平台层和云软件层。下图展示了这些层级。
图中带编号的层级对应于以下各项:
- 软件即服务。Google Workspace 也被认证为 FedRAMP 中级。为了继承这些 SaaS 安全控制,您可以从 JAB 请求 Google 的 ATO 软件包的副本,并在软件包中包含 Google 的证明信函副本。
- 平台即服务。 除了 Google Cloud 的 FedRAMP 认证物理基础架构之外,FedRAMP 还涵盖其他 PaaS 产品和服务,包括 App Engine、Cloud Storage 和数据库服务。尽可能使用这些预先认证的产品和服务。
- 基础设施即服务。 除了 Google Cloud 的 FedRAMP 认证物理基础架构之外,FedRAMP 还涵盖其他 IaaS 产品和服务,包括 Google Kubernetes Engine (GKE) 和 Compute Engine。尽可能使用这些预先认证的产品和服务。
- 物理基础架构。JAB 已将 Google Cloud 认证为 FedRAMP 中级。为了继承这些物理安全控制措施,您可以请求 Google 的 ATO 软件包副本,并在软件包中包含 Google 的证明信函。
对于 FedRAMP 的 ATO,云 IT 堆栈的每一层都被视为独立的控制边界,并且每个控制边界需要单独的 ATO。这意味着,尽管 Google Cloud Platform 符合 FedRAMP,并且 FedRAMP 涵盖了数十项 Google Cloud 服务,但您仍需要实现 FedRAMP 安全基准控制和 SAF 流程,以使其云系统和工作负载符合 FedRAMP 要求。
低、中、高合规性基准测试中有两种 FedRAMP 安全控制措施:信息系统实现的控制措施和组织实现的控制措施。当您的组织或机构在 Google Cloud 上构建符合 FedRAMP 的系统时,您将继承 Google 在其 FedRAMP 认证下符合的物理基础结构安全控制措施。您还可以继承 Google 的 FedRAMP 兼容产品和服务以及使用 Google Workspace 时所有 SaaS 控制措施中内置的任何物理基础结构、IaaS 和 PaaS 安全控制措施。但是,根据 FedRAMP 安全控制基准的定义,您必须实现 IaaS、PaaS 和 SaaS 级别的所有其他安全控制措施和配置。
FedRAMP 实现建议
如前所述,您从 CSP 继承了一些安全控制。对于其他控件,您必须专门对其进行配置并创建组织定义的政策、规则和法规以满足每个控制措施。
本部分建议通过将组织定义的原则与 Google Cloud 工具、服务和最佳做法结合使用,在云中实施 NIST 800-53 安全控制措施的辅助手段。
访问权限控制
如需在 Google Cloud 中管理访问权限控制,请定义将在云中管理信息系统账号的组织管理员。使用 Cloud Identity、管理控制台或某种其他身份提供商(例如 Active Directory 或 LDAP),确保第三方身份提供商已与 Google Cloud 联合。使用 Identity and Access Management (IAM) 为管理群组分配角色和权限,实现最小权限和职责分离。
为云中的信息系统账号制定组织级层访问权限控制政策。定义您的组织用来创建、启用、修改、停用和移除信息系统账号的参数和过程。
账号管理、职责分离、最小权限
在访问权限控制政策中,定义您的组织将创建、启用、修改、停用和移除信息系统账号的参数和过程。定义应使用信息系统账号的条件。
另外,确定闲置的时间段,要求用户在该时间段(例如,在 *x* 分钟、几小时或几天后)注销。使用 Cloud Identity、管理控制台或应用配置,以强制用户在指定的时间段之后注销和/或重新进行身份验证。
定义当特权角色分配不再适合贵组织中的用户时应该执行的操作。Google 的 *Policy Intelligence 具有 IAM Recommender 功能,可通过使用机器学习提出智能访问控制建议来帮助您消除对 Google Cloud 资源的不必要访问。
定义适合使用组账号的条件。使用 Cloud Identity 或管理控制台创建群组或服务账号。使用 IAM 为共享群组和服务账号分配角色和权限。尽可能使用服务账号。为您的组织指定信息系统账号的非典型用途。当您检测到非典型使用情况时,请使用 Google Cloud Observability或 *Security Command Center 等工具来提醒信息系统管理员。
请遵循以下准则以帮助实施以下安全控制措施:AC-02、AC-02 (04)、AC-02 (05)、AC-02 (07)、AC-02 (09)、AC-02 (11)、AC-02 (12)、AC-05、AC-06 (01)、AC-06 (03)、AC-06 (05)、AU-2、AU-3、AU-6、 AU-12、SI-04、SI-04 (05)、SI-04 (11)、SI-04 (18)、SI-04 (19)、SI-04 (20)、SI-04 (22)、SI-04 (23)。
信息流执行和远程访问
在组织范围的访问权限控制政策中,为您的组织定义信息流控制政策。识别禁止或受限的端口、协议和服务。定义与内部和外部系统互连的要求和限制。 使用 Virtual Private Cloud 等工具创建防火墙、逻辑隔离的网络以及子网。通过实现 Cloud Load Balancing、*Cloud Service Mesh 和 VPC Service Controls,帮助控制信息流。
设置信息流控制政策时,请确定组织的受控网络接入点。使用 Identity-Aware Proxy 等工具为远程用户和现场用户提供云端资源的访问权限。使用 Cloud VPN 或 Cloud Interconnect 提供对 VPC 的安全、直接访问。
设置组织范围内的政策,以执行特权命令并通过远程访问访问安全数据。使用 IAM 和 VPC Service Controls 来限制对敏感数据和工作负载的访问。
请遵循以下准则以帮助实施以下安全控制措施:AC-04、AC-04 (08)、AC-04 (21)、AC-17 (03)、AC-17 (04)、CA-03 (03)、CA-03 (05)、CM-07、CM-07(01)、CM-07(02)。
登录尝试、系统使用通知、会话终止
在访问权限控制政策中,指定在 15 分钟的时间内尝试登录失败 3 次后,用户应延迟多长时间才能访问登录提示。定义将终止或断开连接的用户会话的条件和触发器。
使用 Cloud Identity 专业版或管理控制台来管理连接到您的网络(包括自带设备)的移动设备。创建适用于移动设备的组织范围安全政策。概述了在成功登录失败后,如何清除和擦除移动设备的要求。
制定组织范围内的语言和系统使用通知,为访问信息系统的用户提供隐私权政策、使用条款和安全通知。在授予用户访问权限之前,定义显示组织范围内通知的条件。Pub/Sub 是一个全局消息传递和事件注入系统,可用于将通知推送到应用和最终用户。您也可以将 *Chrome 企业版套件(包括 *Chrome 浏览器和 *Chrome 操作系统)与 *Push API 和 *Notifications API 搭配使用,以将通知和更新发送给用户。
请遵循以下准则以帮助实施以下安全控制措施:AC-07、AC-07 (02)、AC-08、AC-12、AC-12 (01)。
允许的操作、移动设备、信息共享
在访问权限控制政策中,定义可以在信息系统上执行而无需身份识别和身份验证的用户操作。使用 IAM 可以管理用户对于查看、创建、删除和修改特定资源的权限。
制定组织范围内的信息共享政策。确定在什么情况下可以共享信息以及何时需要用户自行决定共享信息。采用流程来协助用户在整个组织内共享信息和进行协作。Google Workspace 具有强大的功能集,可控制团队之间的协作和互动。
请遵循以下准则以帮助实施以下安全控制措施:AC-14、AC-19 (05)、AC-21。
认知度和培训
创建安全政策和相关培训资料,以至少每年一次向组织中的用户和安全组传播。Google 提供了专业服务选项,以向用户提供有关云安全性的教育,包括但不限于 Cloud Discover Security 互动和 Google Workspace 安全评估。
至少每年更新一次安全政策和培训。
遵循这些准则有助于实现安全控制 AT-01。
审计与责任
创建组织范围的审计政策和责任控制,以解决审核与云信息系统相关的人员、事件和操作的程序和实现要求。
在组织范围的审核政策中,概述应在组织的信息系统中进行审核的事件以及审核频率。已记录的事件示例包括:成功和失败的账号登录事件、账号管理事件、对象访问、政策更改、权限函数、进程跟踪以及系统事件。对于 Web 应用,示例包括:管理员活动、身份验证检查、授权检查、数据删除、数据访问、数据更改和权限更改。为您的组织定义其他相关事件。
对于审核政策,我们还建议您为组织指定不适当或异常活动的指示。定期(至少每周一次)监视、记录和标记这些活动。
使用 Google Cloud Observability 管理 Google Cloud、本地或其他云环境的日志记录、监控和提醒。使用 Google Cloud Observability 在您的组织中配置和跟踪安全性事件。您还可以使用 Cloud Monitoring 设置自定义指标,以便在审核记录中监控组织定义的事件。
启用信息系统以提醒管理员审核失败。您可以使用 Pub/Sub 和提醒等工具来实现这些提醒。
设置标准,以在系统或功能故障的情况下(在规定的时间段内,例如15分钟内)向管理员发出提醒,以包括审核记录何时达到设定的阈值或卷容量。确定组织范围内的时间度量粒度,通过该粒度可以对审计记录设置时间戳记并进行日志记录。定义信息系统审核记录中带有时间戳记的记录的容忍度(例如,几乎实时或者在 20 分钟内等)。
设置 VPC 资源配额,为审核记录存储建立容量阈值。配置预算提醒,以便在资源用量达到或超过指定值时通知管理员。
为审核数据和记录定义组织范围的存储要求,以包括审核日志可用性和保留要求。使用 Cloud Storage 存储和归档审核日志,使用 BigQuery 执行进一步的日志分析。
请遵循以下准则以帮助实施以下安全控制措施:AU-01、AU-02、AU-04、AU-05、AU-05 (01)、AU-06、AU-07 (01)、AU-08、AU-08 (01)、AU-09 (04)、AU-09 (04)、AU-12、AU-12 (01)、AU-12 (03)、CA-07。
安全评估和授权
制定组织范围的安全评估和授权政策,用于定义组织安全评估、安全控制和授权控制的流程和实施要求。
在安全评估和授权政策中,定义安全评估团队对云端的信息系统进行公正评估所需的独立性级别。确定需要由独立评估机构评估的信息系统。
安全性评估应至少涵盖以下内容:
- 深度监控
- 漏洞扫描
- 恶意用户检测
- 内部威胁评估
- 性能和负载测试
您的组织应定义附加要求和安全评估形式。
确保您的安全评估和授权政策指定了安全系统分类和要求,包括未分类和非国家安全系统的要求。
在组织的信息流控制政策中概述与内部和外部系统互连的相关要求和限制。设置 VPC 防火墙规则以允许和拒绝信息系统的流量,然后使用 VPC Service Controls 以通过安全参数保护敏感数据。
设置组织范围的审计与责任政策,以实施持续监控要求 (CA-07)。
请遵循以下准则以帮助实施以下安全控制措施:CA-01、CA-02、CA-02 (01)、CA-02 (02)、CA-02 (03)、CA-03 (03)、CA-03 (05)、CA-07、CA-07 (01)、CA-08、CA-09。
配置管理
创建组织级配置管理政策,定义组织范围的配置管理控件、角色、责任、范围和合规性的流程和实现要求。
标准化组织拥有的信息系统和系统组件的配置设置要求。提供用于配置信息系统的操作要求和过程。明确指出系统管理员需要保留多少个先前版本的基准配置才能获得信息系统回滚支持。使用 Google 的配置管理工具套件以代码形式控制 IT 系统配置,并使用 *Policy Intelligence 或 *Security Command Center 监控配置更改。
指定组织中各类信息系统(例如云、本地、混合、未分类、受控制的未分类信息 (CUI) 或已分类等)的配置要求。另外,定义组织拥有和自带设备 (BYOD) 设备的安全防护要求,以包括标识安全和不安全的地理位置。使用 Identity-Aware Proxy 对组织拥有的数据实施基于上下文的访问权限控制,包括按地理位置的访问权限控制。使用 Cloud Identity 专业版或管理控制台在连接到公司网络的移动设备上强制实施安全配置。
在配置管理政策中,定义组织范围的配置更改控制元素,例如变更控制委员会或董事会。记录委员会开会的频率以及会议条件。建立一个正式机构来审查和批准配置更改。
确定您的组织的配置管理批准权限。这些管理员查看对信息系统变更的请求。指定授权方必须批准或拒绝更改请求的时间段。为变更实施者提供指导,以在信息系统变更完成后通知批准机构。
对整个组织使用开放源代码软件设置限制,以包括批准和不批准使用哪种软件的规范。使用 Cloud Identity 或管理控制台为您的单位强制执行已批准的应用和软件。借助 Cloud Identity 专业版,您可以为第三方应用启用单点登录和多重身份验证。
在记录配置更改时,使用提醒之类的工具将通知发送给安全管理员。授予对 *Security Command Center 等工具的管理员访问权限,以近乎实时的方式监控配置更改。使用 *Policy Intelligence,您可以使用机器学习来研究组织定义的配置,从而提高对配置何时偏离基准的意识。
使用信息流控制政策在整个组织中实施最少的功能。
请遵循以下准则以帮助实施以下安全控制措施:CM-01、CM-02 (03)、CM-02 (07)、CM-03、CM-03 (01)、CM-05 (02)、CM-05 (03)、CM-06、CM-06 (01)、CM-06 (02)、CM-07、CM-07 (01)、CM-07 (02)、CM-07 (05)、CM-08、CM-08 (03)、CM-10 (01)、CM-11、CM-11 (01)、SA-10。
应急计划
为您的组织制定应急计划,确立整个组织的高效规划控制措施的步骤和实现要求。确定整个组织要素中的关键应急人员、角色和职责。
突出显示组织中的任务必不可少的信息和业务必不可少的信息系统的操作。概述恢复时间目标 (RTO) 和恢复点目标 (RPO),以在启动应急计划后恢复基本操作。
记录关键信息系统和关联软件。确定任何其他与安全性有关的信息,并提供有关存储关键系统组件和数据的备份副本的指导和要求。部署 Google 的全球、区域和可用区资源以及全球位置以实现高可用性。使用 Cloud Storage 类别进行多区域、区域、备份和归档选项。利用 Cloud Load Balancing 实现全球网络自动扩缩和负载均衡。
请遵循以下准则以帮助实施以下安全控制措施:CP-01、CP-02、CP-02 (03)、CP-07、CP-08、CP-09 (03)。
身份识别和身份验证
为您的组织创建身份和身份验证政策,指定身份和身份验证过程、范围、角色、责任、管理、实体和合规性。指定您组织所需的身份和身份验证控制措施。使用 Cloud Identity 专业版或管理控制台来识别可以连接到组织资源的公司和个人设备。使用 Identity-Aware Proxy 执行对资源的情境感知访问权限。
包括有关组织的身份验证器内容、身份验证重用条件、保护身份验证器的标准以及更改或刷新身份验证器的标准的指南。此外,捕获使用缓存的身份验证器的要求。指定使用缓存的身份验证器的时间限制,并为缓存的身份验证器何时过期创建定义。定义组织中信息系统应强制执行的最小和最大生命周期要求以及刷新时间段。
使用 Cloud Identity 或管理控制台针对敏感度、字符使用率、新密码创建或密码重复使用、密码生存期、存储和传输要求,实施密码政策。
概述组织中用于认证的硬件和/或软件令牌认证要求,包括但不限于 PIV 卡和 PKI 要求。您可以使用 *Titan 安全密钥强制要求管理员和特权人员执行额外的身份验证要求。
在身份识别和身份验证政策中,概述允许在组织中接受第三者身份的联邦身份、凭据和访问管理 (FICAM) 信息系统组件。Google 的身份平台是一个客户身份和访问权限管理 (CIAM) 平台,可帮助组织向外部实体访问的应用添加身份和访问管理功能。
请遵循以下准则以帮助实施以下安全控制措施:IA-01、IA-03、IA-04、IA-05、IA-05 (01)、IA-05 (03)、IA-05 (04) IA-05 (11)、IA-05 (13)、IA-08 (03)。
突发事件响应
为您的组织建立突发事件响应政策,包括促进和实施突发事件响应控制措施的流程。为组织的突发事件响应团队和机构创建安全组。使用 Google Cloud Observability 或 *Security Command Center 等工具共享突发事件、日志和详细信息。
制定突发事件响应测试计划、程序、核对清单、要求和基准测试是否成功。指定您的组织应识别的突发事件类别,并概述应对此类突发事件所需采取的相关操作。定义突发事件发生时授权人员应执行的操作。这些措施可能是管理信息泄露、网络安全漏洞和攻击的步骤。您可以利用 Google Workspace 中的功能来扫描和隔离电子邮件内容,尝试阻止网上诱骗并设置附件限制。使用 Sensitive Data Protection 来检查敏感数据并进行分类和去标识化,以降低数据泄露风险。
指定组织范围内对事件响应培训的要求,包括对一般用户的培训要求以及特权角色和职责。强制接受培训的时间要求(例如,加入后 30 天内、每季度、每年等)。
请遵循以下准则以帮助实施以下安全控制措施:IR-01、IR-02、IR-03、IR-04 (03)、IR-04 (08)、IR-06、IR-08、IR-09、IR-09 (01)、IR-09 (03)、IR-09 (04)。
系统维护
为您的组织创建系统维护政策,记录系统维护控制措施、角色、责任、管理、协调要求和合规性。定义用于受控维护的参数,包括进行异地维护和修理的批准流程,以及组织范围内更换故障设备和零件的周转时间。您的组织将受益于 Google Cloud 上的数据删除数据和设备清理,以及用于现场维护和维修的 Google 数据中心的安全性和创新。
请遵循以下准则以帮助实施以下安全控制措施:MA-01、MA-02、MA-06。
媒体保护
作为 Google Cloud 的 FedRAMP ATO 的一部分,我们满足物理基础架构的媒体保护要求。查看 Google 的基础设施安全设计和安全概览。随后,您负责满足虚拟基础架构安全性要求。
为您的组织制定媒体保护政策,记录媒体控制措施、保护政策和流程、合规性要求、管理角色和责任。记录在整个组织中促进和实施媒体保护的过程。创建安全组,用于识别人员和角色来管理媒体及其保护措施。
为您的组织指定批准的媒体类型和访问权限,包括数字和非数字媒体限制。设置必须在整个组织内实施的媒体标记和媒体处理注意事项,包括受控访问区域内部和外部的安全标记要求。使用 *Data Catalog 来管理云资源元数据,从而简化数据发现。使用 *Service Catalog 控制整个组织的云资源合规性,从而管理云资源的分布和发现。
确定如何清理、处置或重复使用组织管理的媒体。概述对媒体和设备进行清理、处置或重复使用的用例和情形。定义您单位认为可接受的媒体保护措施方法和机制。
借助 Google,您将受益于 Google Cloud 数据和设备清理中的数据删除,以及 Google 的数据中心安全性和创新。此外,Cloud KMS 和 Cloud HSM 提供符合 FIPS 标准的加密保护,您可以使用 *Titan 安全密钥强制要求管理员和特权人员执行额外的物理身份验证要求。
请遵循以下准则以帮助实施以下安全控制措施:MP-01、MP-02、MP-03、MP-04、MP-06、MP-06 (03)、MP-07。
物理和环境保护
作为 Google Cloud 的 FedRAMP ATO 的一部分,我们满足物理基础架构的物理与环境保护要求。查看 Google 的基础设施安全设计和安全概览。随后,您负责满足虚拟基础架构安全性要求。
为您的组织建立物理与环境保护政策,概述了保护控制、保护实体、合规性标准、角色、责任和管理要求。概述了如何在整个组织中实施物理与环境保护。
创建安全群组,以指定用于管理物理与环境保护措施的人员和角色。要求访问敏感计算资源的管理员使用 *Titan 安全密钥或采用其他某种形式的 MFA 来验证访问完整性。
在物理与环境保护政策中,定义组织的物理访问权限控制要求。确定信息系统网站的网点和退出点、此类设施的访问权限控制保护措施以及库存要求。利用 *Google Maps Platform 等工具直观地显示和跟踪设施以及位置映射的入口和出口点。使用 Resource Manager 和 *Service Catalog 控制对云资源的访问,使其井然有序且易于发现。
使用 Cloud Monitoring 配置可记录的事件、访问权限和突发事件。定义应在 Cloud Logging 中记录的组织范围的物理访问事件。
使用物理环境和环境保护政策来应对紧急情况,例如信息系统紧急关闭、紧急电力、火灾抑制和紧急响应。确定紧急响应的联系人,包括您的组织的本地应急响应人员和物理安全人员。概述备用工作网站的要求和位置。为主要和备用工作网站指定安全控制和人员。部署 Google 的全球、区域和可用区资源以及全球位置以实现高可用性。对多区域、区域、备份和归档选项使用 Cloud Storage 类别。利用 Cloud Load Balancing 实现全球网络自动扩缩和负载均衡。创建声明式部署模板,以建立可重复的、由模板驱动的部署流程。
请遵循以下准则以帮助实施以下安全控制措施:PE-01、PE-03、PE-03 (01)、PE-04、PE-06、PE-06 (04)、PE-10、PE-13 (02)、PE-17。
系统安全规划
为您的组织制定安全规划政策,概述安全规划控制、角色、责任、管理、组织的安全规划实体以及合规性要求。概要说明您希望在整个组织中实施安全规划的方式。
创建群组以相应地定义安全规划人员。指定安全组,以便进行安全评估、审核、硬件和软件维护、补丁程序管理和应急规划。使用 Google Cloud Observability 或 *Security Command Center 等工具监控整个组织的安全性、合规性和访问权限控制。
请遵循以下准则以帮助实施以下安全控制措施:PL-01、PL-02、PL-02 (03)。
人员安全
创建人员安全政策,以确定安全人员及其角色和责任,您期望人员安全如何实施,以及在整个组织中强制执行哪些人员安全控制措施。记录要求相关人员进行组织安全筛查、重新筛查和调查的状况。概述您的组织在安全方面的要求。
提供解决员工离职和转移问题的指南。定义在这类面试中应讨论的退出面谈与安全主题的需求和参数。指定您希望组织中的安全和管理实体在发生人员终止、转移或重新分配时收到通知(例如,在 24 小时内)。指定您希望客户和组织完成转移、重新分配或终止的操作。此外,内容还包括强制执行正式员工制裁的要求。说明您希望安全人员和管理员何时收到员工制裁通知,并解释制裁过程。
使用 IAM 为人员分配角色和权限。在 Cloud Identity 或管理控制台中添加、移除、停用和启用人员资料和访问权限。使用*Titan 安全密钥强制执行管理员和特权员工的其他物理身份验证要求。
请遵循以下准则以帮助实施以下安全控制措施:PS-01、PS-03、PS-04、PS-05、PS-07 和 PS-08。
风险评估
实施风险评估政策,识别风险评估人员、您预计会在整个组织中强制执行的风险评估控制措施,以及执行组织中的风险评估的流程。定义风险评估的记录和报告方式。使用 *Security Command Center 等工具自动将安全风险和组织的整体安全状况通知给安全人员。
充分利用 Google 的风险评估工具套件(例如 Web Security Scanner、Artifact Analysis、Google Cloud Armor 和 Google Workspace 防范钓鱼式攻击和恶意软件),扫描和报告组织信息系统中的漏洞。将这些工具提供给风险评估人员和管理员,以帮助识别和消除漏洞。
遵循这些准则将为实施以下安全控制奠定基础:RA-01、RA-03、RA-05。
系统和服务获取
制定系统和服务获取政策,其中概述了关键人员的角色和职责、获取和服务管理,合规性以及实体。概述组织的系统和服务获取过程以及实施准则。为信息系统和信息安全定义组织的系统开发生命周期。概述信息安全角色和职责、人员以及您如何期望组织的风险评估政策来驱动和影响系统开发生命周期活动。
当信息系统文档不可用或未定义时,突出显示您希望在组织内执行的过程。根据需要与组织的信息系统管理员和系统服务人员互动。为在组织内实施或访问信息系统的管理员和用户定义任何必需的培训。
使用 *Security Command Center 等工具跟踪组织的安全合规性、发现结果和安全控制政策。Google 列出所有安全标准、法规和认证,帮助客户了解如何在 Google Cloud 上满足合规性要求和法律。此外,Google 还提供了安全产品套件帮助客户在云端和本地持续监控其信息系统、通信和数据。
为组织的数据、服务和信息处理指定任何位置限制,以及在哪些条件下可以在其他位置存储数据。Google 提供了全球、区域和可用区选项,以便在 Google Cloud 中进行数据存储、处理和服务利用。
利用配置管理政策管理系统和服务获取控制措施的开发者配置管理,以及使用安全评估和授权政策强制执行开发者安全测试和评估要求。
请遵循以下准则以帮助实施以下安全控制措施:SA-01、SA-03、SA-05、SA-09、SA-09 (01)、SA-09 (04)、SA-09 (05) 、SA-10、SA-11、SA-16。
系统和通信保护
创建系统和通信防护政策,概述关键人员的角色和职责、系统通信保护政策的实施要求以及组织所需的保护控制。确定组织可以识别和监视的拒绝服务攻击类型,并概述组织的 DoS 保护要求。
使用 Google Cloud Observability 记录、监控针对您的组织的预定义安全攻击,并发出提醒。实现诸如 Cloud Load Balancing 和 Google Cloud Armor 之类的工具来保护您的云边界,并利用诸如防火墙和网络安全控制之类的 VPC 服务来保护您的内部云网络。
确定贵组织的资源可用性要求;定义您希望在整个组织中分配云资源的方式以及实施哪些限制条件来限制过度使用。使用 Resource Manager 等工具来控制组织、文件夹、项目和个别资源资源的访问权限。设置资源配额以管理 Google Cloud 中的 API 请求和资源利用率。
为您的信息系统和系统通信建立边界保护要求。定义对内部通信流量的要求以及您希望内部流量与外部网络互动的要求。指定对代理服务器和其他网络路由和身份验证组件的要求。
利用 *Cloud Service Mesh 来管理组织的网络流量和通信流。使用 Identity-Aware Proxy,通过身份验证、授权和上下文(包括地理位置或设备指纹)来控制对云端资源的访问权限。实现*专用 Google 访问通道、*Cloud VPN 或 *Cloud Interconnect,以保护内部和外部资源之间的网络流量和通信。使用 VPC 定义和保护您的组织的云网络;建立子网以进一步隔离云资源和网络边界。
Google 提供全球软件定义网络,并提供多区域、区域和可用区选项来保证高可用性和故障切换。请为您的组织定义失败要求,以确保您的信息系统处于已知状态。捕获保留信息系统状态信息的相关要求。使用托管式实例组和 Deployment Manager 模板来重新实例化失败或运行状况不佳的资源。授予对 *Security Command Center 的管理员访问权限,以主动监控组织的机密性、完整性和可用性状况。
在该政策中,简要说明组织的管理加密密钥的要求,包括密钥生成、分发、存储、访问和销毁的要求。使用 Cloud KMS 和 Cloud HSM 在云端管理、生成、使用、轮替、存储和销毁符合 FIPS 标准的安全密钥。
默认情况下,Google 会对静态数据进行加密;但您可以将 Cloud KMS 与 Compute Engine 和 Cloud Storage 搭配使用以通过加密密钥对数据进行进一步加密。您还可以部署安全强化型虚拟机以对 Compute Engine 强制执行内核级完整性控制
请遵循以下准则以帮助实施以下安全控制措施:SC-01、SC-05、SC-06、SC-07 (08)、SC-07 (12)、SC-07 (13)、SC-07 (20)、SC-07 (21)、SC-12、SC-24、SC-28、SC-28 (01)。
系统和信息完整性
实施系统和信息完整性政策,概要了解主要人员的角色和责任、完整性实现过程和要求、合规性标准以及组织的安全控制措施。为您组织中负责系统和信息完整性的人员创建安全群组。概述组织的缺陷补救要求,包括在整个组织及其信息系统中监视、评估、授权、实施、规划、基准测试和补救安全缺陷的准则。
利用 Google 的安全工具套件,包括但不限于以下安全工具:
- Chrome 浏览器
- Web Security Scanner
- Artifact Analysis
- Google Workspace 网络钓鱼和恶意软件保护
- Google Workspace 安全中心
- Google Cloud Armor
使用这些工具执行以下操作:
- 防范恶意代码、网络攻击和常见漏洞。
- 隔离垃圾邮件并设置垃圾邮件和恶意软件政策。
- 向管理员发出有关漏洞的提醒。
- 在整个组织中获得有关中央管理的见解。
使用 Google Cloud Observability 或 *Security Command Center 等工具集中管理、监控您的组织的安全控制和发现结果,并发出提醒。更具体地说,使用 Google Cloud Observability 记录整个组织中的特权用户和人员发起的管理操作、数据访问和系统事件。向管理员通知有关错误消息和信息系统错误处理的问题。
定义与贵组织的软件、固件和信息相关的安全事件(例如,零日漏洞、未经授权的数据删除、安装新硬件、软件或固件)。说明发生此类安全相关更改时要采取的措施。指定监控目标和攻击的攻击指标,使管理员能够特别注意需要监视的信息系统中的基本信息。定义系统和信息监控角色与责任,以及监控和报告频率(例如,实时、每 15 分钟、每小时或每季度)。
捕获分析组织信息系统通信流量的要求。指定发现异常情况的要求,包括用于监控的系统点。*借助 Google 的 Network Intelligence Center 服务,您可以实施深入的网络性能和安全监控。Google 还将密切合作的第三方服务集成到 Google Cloud 中,用于扫描和保护云端点和主机,例如 +Aqua Security 和 +Crowdstrike。安全强化型虚拟机可让您强化设备、验证身份验证并确保安全启动过程。
定义您的组织希望如何检查和防范安全异常和完整性违规行为。使用 *Security Command Center 或 *Policy Intelligence 等工具监控和检测配置更改。使用 +配置管理工具或 Deployment Manager 模板来重新进行实例化或停止对云资源的更改。
在系统信息和完整性政策中,指定要在组织中授权和批准网络服务的要求。概述网络服务的批准和授权流程。VPC 对于使用防火墙来保护网络和子网来保护网络边界至关重要。借助 VPC Service Controls,您可以为云中的敏感数据强制实施额外的网络安全边界。
除此之外,您还可以自动继承 Google 的安全启动堆栈和可信的深度防御基础设施。
请遵循以下准则以帮助实施以下安全控制措施:SI-01、SI-02 (01)、SI-02 (03)、SI-03 (01)、SI-04、SI-04 (05)、SI-04 (11)、SI-04 (18)、SI-04 (19)、SI-04 (20)、SI-04 (22)、SI-04 (23)、SI-05、SI-06、SI-07、SI-07 (01)、SI-07 (05)、SI-07 (07)、SI-08 (01)、SI-10、SI-11、SI-16。
总结
云中的安全性与合规性是您与 CSP 的共同努力。虽然 Google 会确保物理基础架构和相应服务符合数十个第三方标准、法规和认证的要求,但您需要确保都是合规的。
Google Cloud 提供相同的安全产品和功能集,以供 Google 用于保护其基础设施,从而为您的合规工作提供支持。
后续步骤
- 探索有关 Google Cloud 的参考架构、图表和最佳做法。查看我们的 Cloud 架构中心。