FedRAMP
O Governo Federal dos EUA estabeleceu o Programa Federal de Gerenciamento de Risco e Autorização (FedRAMP), um programa do âmbito governamental que oferece uma abordagem padronizada à avaliação de segurança, autorização e monitoramento contínuo de produtos e serviços da nuvem. O Congresso codificou o FedRAMP em 2022 como "um programa governamental que oferece uma abordagem padronizada e reutilizável para avaliação e autorização de segurança de produtos e serviços de computação em nuvem que processam informações não classificadas usadas por agências".
Todos os modelos de serviços e implantações em nuvens de agências federais, exceto determinadas nuvens privadas locais, precisam atender aos requisitos do FedRAMP no nível adequado de impacto de risco (baixo, médio ou alto).
Os clientes interessados em usar os serviços do Google Cloud em alinhamento com a hospedagem de níveis moderado ou alto do FedRAMP precisam usar Assured Workloads e Suporte Assured (apenas alto).
Conformidade do Google Cloud com o FedRAMP
O FedRAMP Board (anteriormente conhecido como Conselho de Autorização Conjunto) é o principal órgão de administração do FedRAMP e inclui o Departamento de Defesa (DoD), o Departamento de Segurança Interna (DHS), a Administração de Serviços Gerais (GSA) e outras agências, conforme determinado pelo administrador da GSA e pelo diretor do FedRAMP.
O Conselho do FedRAMP emitiu a certificação FedRAMP de nível médio e alto de autoridade para operar (ATO) para a infraestrutura do Google Cloud e ofertas de serviços (CSOs) específicas do Google Cloud. O Google Cloud envia periodicamente serviços adicionais para aprovações de nível médio e alto do FedRAMP ao Conselho.
O Google Cloud pode fornecer a seguinte documentação de conformidade adicional do FedRAMP aos clientes sob contrato de confidencialidade (NDA):
- Matriz de responsabilidade do cliente (CRM) do FedRAMP
- Plano de segurança do sistema (SSP) do Google Cloud
- Relatórios de teste de penetração e outros documentos
Nossa equipe de vendas ou seu representante do Google Cloud pode ajudar a fornecer acesso à essa documentação. Clientes governamentais também podem solicitar o pacote FedRAMP do Google por meio do Escritório de Gerenciamento do Programa FedRAMP usando o formulário de solicitação de pacote.
Para os clientes que compram com um parceiro do Google, os Termos e Condições de compra são transmitidos dos nossos parceiros.
Conformidade com o FedRAMP do Google Workspace
Os clientes podem usar o Google Workspace em conformidade com vários padrões globais e do governo federal dos EUA para segurança e privacidade na nuvem. Além de manter uma autorização FedRAMP de nível alto, o Google Workspace também é certificado de acordo com ISO 27017, 27018, 27001, e é auditado de acordo com os padrões de Controle de Organização de Serviço (SOC) do Instituto Americano de Contadores Públicos Certificados (AICPA).
Alta prontidão do FedRAMP do Google Cloud VMware Engine (GCVE)
Em 2023, o Escritório de Gerenciamento de Programa (PMO) do FedRAMP concluiu a análise do Relatório de avaliação de alta prontidão (RAR, na sigla em inglês) do Google Cloud VMware Engine (GCVE) fornecido por uma organização de avaliação terceirizada (3PAO). Com base nos resultados positivos da revisão, sem pontos fracos de recursos encontrados, o GCVE foi aceito como uma oferta FedRAMP High Ready (ID do pacote FedRAMP FR2405153785).
Atingir o FedRAMP High Ready indica ao governo federal dos EUA que o GCVE tem alta probabilidade de conseguir uma autorização do FedRAMP. O GCVE também é certificado de acordo com as normas 27017, 27018, 27001, PCI- DSS e é auditado de acordo com os padrões do Controle de Organização de Serviço (SOC, na sigla em inglês) do Instituto Americano de Contadores Públicos Certificados (AICPA).
Como hospedar cargas de trabalho de nível médio e alto do FedRAMP no Google Cloud
O investimento do Google Cloud em segurança por padrão para nossa infraestrutura garante que os controles de segurança sejam integrados e pré-configurados para permitir que os clientes alcancem vários níveis de conformidade sem uma arquitetura de nuvem governamental isolada tradicional.
Os clientes que querem implantar soluções usando o Google Cloud em ambientes de FedRAMP de nível médio e alto precisam usar Assured Workloads. O Assured Workloads permite que os clientes protejam e configurem cargas de trabalho confidenciais com segurança para atender aos requisitos de conformidade e segurança usando os serviços do Google Cloud. O Assured Workloads não depende de uma infraestrutura física diferente dos data centers de nuvem pública. Em vez disso, ele oferece uma nuvem de comunidade definida por software que oferece vantagens de custo, velocidade e inovação.
Os serviços autorizados pelo FedRAMP, disponibilizados por meio do Assured Workloads, implementam controles de segurança do FedRAMP e permitem que os clientes usem os recursos do Google Cloud para atender às próprias necessidades organizacionais. O Assured Workloads também oferece visibilidade do estado de conformidade das cargas de trabalho do FedRAMP por meio do Assured Workloads Monitoring. Essa ferramenta pode ajudar você a identificar e corrigir violações de conformidade, além de fornecer atestados de controle aos auditores do seu estado de conformidade.
Além dos controles atendidos pela ATO do do FedRAMP de nível alto da infraestrutura do Google Cloud, o Assured Workloads implementa os seguintes controles importantes do FedRAMP de nível alto por padrão para clientes que processam dados governamentais do FedRAMP de nível alto:
- Proteções para restringir a localização dos dados do cliente com FedRAMP de nível alto nos EUA
- Equipe de suporte técnico limitada ao pessoal autorizado pelo FedRAMP localizado nos EUA
- Criptografia em conformidade com o FIPS-140-2 em repouso e em trânsito
- Controles de acesso de pessoal para aqueles com acesso de rotina aos dados do cliente
- Somente produtos e serviços compatíveis com FedRAMP são permitidos
- Segmentação lógica do limite de conformidade no escopo para atender aos requisitos do FedRAMP de nível médio e alto
Como hospedar dados de nível médio e alto do FedRAMP no Google Workspace
O Google Workspace mantém uma ATO do FedRAMP de nível alto, que os clientes podem usar para hospedar dados do FedRAMP de nível médio e alto. Os clientes que querem implantar o Google Workspace nos ambientes de FedRAMP de nível médio e alto precisam ativar os serviços autorizados pelo FedRAMP que atendem à respectiva autorização. Saiba como ativar ou desativar um serviço para o Google Workspace.
Além disso, as edições Business e Enterprise do Google Workspace têm controles de segurança e conjuntos de atributos integrados que permitem aos clientes atender ao FedRAMP High e alinhar a própria ATO. Os usuários do Google Workspace podem configurar os ambientes para atender aos controles de residência de dados do FedRAMP usando uma política de região de dados.
Processo para conquistar uma autoridade de operação (ATO) do FedRAMP
Os clientes que tiverem interesse em hospedar dados governamentais no Google Cloud também podem ter interesse em buscar a própria Authority to Operate (ATO). As organizações precisam considerar os seguintes marcos para alcançar uma ATO no Google Cloud:
- Determinar se os dados no escopo exigem FedRAMP de nível médio ou alto
- Selecionar Assured Workloads (FedRAMP moderado está incluído no nível gratuito, e FedRAMP High exige uma assinatura premium) para os serviços do Google Cloud no escopo
- Decida os limites do FedRAMP no Google Cloud
- Configurar suas cargas de trabalho de acordo com o modelo de responsabilidade compartilhada, a matriz de responsabilidade do cliente, os serviços do Google Cloud no escopo e as diretrizes do FedRAMP
- Realizar uma auditoria com uma organização terceirizada de avaliação (3PAO, na sigla em inglês)
- Enviar o pacote ao Conselho do FedRAMP ou à Agência Federal para análise e autorização
Para mais informações sobre o processo da ATO, consulte o site do FedRAMP. Para receber mais suporte do Google Cloud para ATO do FedRAMP, acesse nossa página de Consultoria do Google Cloud.