Ir para

FedRAMP

O Governo Federal dos EUA estabeleceu o Programa Federal de Gerenciamento de Risco e Autorização (FedRAMP), um programa do âmbito governamental que oferece uma abordagem padronizada à avaliação de segurança, autorização e monitoramento contínuo de produtos e serviços da nuvem. O Congresso codificou o FedRAMP em 2022 como "um programa governamental que oferece uma abordagem padronizada e reutilizável para avaliação e autorização de segurança de produtos e serviços de computação em nuvem que processam informações não classificadas usadas por agências".

Todos os modelos de serviços e implantações em nuvens de agências federais, exceto determinadas nuvens privadas locais, precisam atender aos requisitos do FedRAMP no nível adequado de impacto de risco (baixo, médio ou alto).

Os clientes interessados em hospedar serviços autorizados pelo FedRAMP no Google Cloud precisam usar o Assured Workloads para obedecer aos níveis de impacto moderado ou alto do FedRAMP. Confira mais informações abaixo.

Conformidade do Google Cloud com o FedRAMP

O FedRAMP Board (anteriormente conhecido como Conselho de Autorização Conjunto) é o principal órgão de administração do FedRAMP e inclui o Departamento de Defesa (DoD), o Departamento de Segurança Interna (DHS), a Administração de Serviços Gerais (GSA) e outras agências, conforme determinado pelo administrador da GSA e pelo diretor do FedRAMP.

O Conselho do FedRAMP emitiu a certificação FedRAMP de nível médio e alto de autoridade para operar (ATO) para a infraestrutura do Google Cloud e ofertas de serviços (CSOs) específicas do Google Cloud. O Google Cloud envia periodicamente serviços adicionais para aprovações de nível médio e alto do FedRAMP ao Conselho.

O Google Cloud fornece outras evidências de conformidade com o FedRAMP diretamente aos clientes que têm um contrato de confidencialidade (NDA) conosco. A documentação disponível sob um NDA inclui:

  • Matriz de responsabilidade do cliente (CRM) do FedRAMP
  • Plano de segurança do sistema (SSP) do Google Cloud
  • Relatórios de teste de penetração e outros documentos

Nossa equipe de vendas ou seu representante do Google Cloud pode ajudar a fornecer acesso à essa documentação estendida. Clientes governamentais também podem solicitar o pacote FedRAMP do Google por meio do Escritório de Gerenciamento do Programa FedRAMP usando o formulário de solicitação de pacote. 

Para os clientes que compram com um parceiro do Google, os Termos e Condições de compra são transmitidos dos nossos parceiros.

Conformidade com o FedRAMP do Google Workspace

O Google Workspace obedece a vários padrões globais e do governo federal dos EUA para segurança e privacidade na nuvem. Além de manter uma autorização FedRAMP de nível alto, o Google Workspace também é certificado de acordo com ISO 27017, 27018, 27001, e é auditado de acordo com os padrões de Controle de Organização de Serviço (SOC) do Instituto Americano de Contadores Públicos Certificados (AICPA).

FedRAMP High Data on Google Cloud VMware Engine (GCVE)

No final de 2023, o FedRAMP Escritório de Gerenciamento de Programa (PMO) concluiu a análise do Relatório de avaliação de alta prontidão (GCVE, na sigla em inglês) do Google Cloud VMware Engine (GCVE) fornecido por uma organização de avaliação terceirizada (3PAO, na sigla em inglês). Com base nos resultados positivos da revisão, sem pontos fracos de recursos encontrados, o GCVE foi aceito como uma oferta FedRAMP High Ready (ID do pacote FedRAMP FR2405153785).

Atingir o FedRAMP High Ready indica ao governo federal dos EUA que o GCVE tem alta probabilidade de conseguir uma autorização do FedRAMP. O GCVE também é certificado de acordo com as normas 27017, 27018, 27001, PCI- DSS e é auditado de acordo com os padrões do Controle de Organização de Serviço (SOC, na sigla em inglês) do Instituto Americano de Contadores Públicos Certificados (AICPA).

Como hospedar cargas de trabalho de nível médio e alto do FedRAMP no Google Cloud

O investimento do Google Cloud em segurança por padrão para nossa infraestrutura garante que os controles de segurança sejam integrados e pré-configurados para permitir que os clientes alcancem vários níveis de conformidade sem uma arquitetura de nuvem governamental isolada tradicional. 

Os clientes que querem implantar soluções usando o Google Cloud em ambientes de FedRAMP de nível médio e alto precisam usar Assured Workloads. O Assured Workloads permite que os clientes protejam e configurem cargas de trabalho confidenciais com segurança para atender aos requisitos de conformidade e segurança usando os serviços do Google Cloud. O Assured Workloads não depende de uma infraestrutura física diferente dos data centers de nuvem pública. Em vez disso, ele oferece uma nuvem de comunidade definida por software que oferece vantagens de custo, velocidade e inovação.

Os serviços autorizados pelo FedRAMP, disponibilizados por meio do Assured Workloads, implementam controles de segurança do FedRAMP e permitem que os clientes usem os recursos do Google Cloud para atender às próprias necessidades organizacionais. O Assured Workloads também oferece visibilidade do estado de conformidade das cargas de trabalho do FedRAMP por meio do Assured Workloads Monitoring. Essa ferramenta pode ajudar você a identificar e corrigir violações de conformidade, além de fornecer atestados de controle aos auditores do seu estado de conformidade.

Além dos controles atendidos pela ATO do do FedRAMP de nível alto da infraestrutura do Google Cloud, o Assured Workloads implementa os seguintes controles importantes do FedRAMP de nível alto por padrão para clientes que processam dados governamentais do FedRAMP de nível alto: 

  1. Definir proteções para restringir a localização dos dados do cliente com FedRAMP de nível alto nos EUA
  2. Restringir a equipe de suporte técnico ao pessoal credenciado pelo FedRAMP localizado nos EUA
  3. Aplicar o uso de criptografia compatível com FIPS-140-2 em repouso e em trânsito
  4. Implementar controles de acesso de pessoal exigidos pelo FedRAMP para aqueles com acesso de rotina aos dados do cliente
  5. Restringir os desenvolvedores a usar apenas produtos e serviços em conformidade com o FedRAMP
  6. Segmentação lógica do limite de conformidade no escopo para atender aos requisitos do FedRAMP de nível médio e alto

Como hospedar dados de nível médio e alto do FedRAMP no Google Workspace

O Google Workspace mantém uma ATO do FedRAMP de nível alto, que os clientes podem usar para hospedar dados do FedRAMP de nível médio e alto. Os clientes que querem implantar o Google Workspace nos ambientes de FedRAMP de nível médio e alto precisam ativar os serviços autorizados pelo FedRAMP que atendem à respectiva autorização. Saiba como ativar ou desativar um serviço para o Google Workspace

Além disso, as edições Business e Enterprise do Google Workspace têm controles de segurança e conjuntos de atributos integrados que permitem aos clientes atender ao FedRAMP High e alinhar a própria ATO. Os usuários do Google Workspace podem configurar os ambientes para atender aos controles de residência de dados do FedRAMP usando uma política de região de dados.

Processo para conquistar uma autoridade de operação (ATO) do FedRAMP

Os clientes que tiverem interesse em hospedar dados governamentais no Google Cloud também podem ter interesse em buscar a própria Authority to Operate (ATO). As organizações precisam considerar os seguintes marcos para alcançar uma ATO no Google Cloud:

  • Determinar se os dados no escopo exigem FedRAMP de nível médio ou alto
  • Selecione Assured Workloads (nível médio do FedRAMP é nível gratuito, e o nível alto do FedRAMP exige uma assinatura premium) para os serviços do Google Cloud no escopo
  • Decida os limites do FedRAMP no Google Cloud
  • Configurar suas cargas de trabalho de acordo com o modelo de responsabilidade compartilhada, a matriz de responsabilidade do cliente, os serviços do Google Cloud no escopo e as diretrizes do FedRAMP
  • Realizar uma auditoria com uma organização terceirizada de avaliação (3PAO, na sigla em inglês)
  • Enviar o pacote ao Conselho do FedRAMP ou à Agência Federal para análise e autorização

Para mais informações sobre o processo da ATO, consulte o site do FedRAMP. Para receber mais suporte do Google Cloud para ATO do FedRAMP, acesse nossa página de Consultoria do Google Cloud

Perguntas frequentes

O Escritório de Gerenciamento e Orçamento memorando recente de rascunho do FedRAMP , que recomenda uma abordagem de nuvem moderna com base na separação lógica e baseada em software em vez de separação física, é um passo importante na direção certa. O Google Cloud foi pioneiro nessa abordagem e acredita que ela capacita os clientes a escalonar e inovar com segurança.

O FedRAMP permite níveis variados de herança para os provedores de serviços na nuvem (CSPs, na sigla em inglês) usando a infraestrutura, as plataformas e os serviços autorizados pelo FedRAMP. Essa análise inicial de controle x herança vai, por fim, determinar quanta responsabilidade de conformidade você terá como um CSP.

Por exemplo, se a organização preferir criar a pilha inteira do aplicativo, isso vai gerar mais responsabilidades/obrigações para os clientes durante a avaliação do oficial de autorização. Se você usar os modelos de plataforma como serviço ou software como serviço, o fardo de conformidade provavelmente será mais leve.

Uma vez selecionados os serviços autorizados pelo FedRAMP, o Google ajudará você a configurar a solução por meio de guias de configurações específicos do serviço ou do engajamento direto com os especialistas do FedRAMP na organização de Consultoria do Google Cloud.

O Google é um dos primeiros provedores de nuvem comerciais de hiperescalonamento a conquistar o nível alto do FedRAMP em uma oferta comercial de nuvem pública, além de ser um dos maiores provedores de serviços do FedRAMP disponível no mercado atualmente. No passado, os provedores de hiperescalonamento separaram os "govclouds" das ofertas comerciais de nuvem para atender aos requisitos de nível alto do FedRAMP. Essa abordagem pode oferecer conformidade, mas esses ambientes separados geralmente não oferecem todos os benefícios que a infraestrutura de nuvem do Google pode oferecer.

A autorização do FedRAMP de nível alto do Google Cloud permite que agências governamentais processem cargas de trabalho de alto impacto para adotar tecnologia a uma velocidade muito maior e na mesma escala de clientes comerciais, além de aproveitar a infraestrutura de nuvem pública exclusiva do Google, incluindo tanto os recursos quanto a capacidade. Com o Assured Workloads ou o Assured Controls, os clientes podem proteger e configurar cargas de trabalho confidenciais com segurança para atender aos requisitos de compliance e segurança na nuvem. Escolha suas configurações de segurança e o Google poderá implementar os controles de nuvem necessários. 

Confira abaixo a lista de edições do Google Workspace autorizadas pelo FedRAMP. Consulte o guia de configuração para implantar o Google Workspace e manter a conformidade com os controles de segurança do FedRAMP de nível alto. 

Sim, o Assured Workloads é necessário para alcançar um ATO do FedRAMP de nível médio ou alto. O Assured Workloads oferece ao Google Cloud a capacidade de identificar cargas de trabalho federais dos clientes e aplicar proteções técnicas para atender a qualquer mudança na regulamentação federal. O Google Cloud se compromete a manter os requisitos de conformidade com o FedRAMP, incluindo aqueles introduzidos na Revisão 5 da NIST 800-53 e todas as versões futuras para cargas de trabalho em execução no Assured Workloads

Além disso, o Assured Workloads é a única maneira do Google Cloud atender aos requisitos aprimorados de suporte e residência de dados do FedRAMP de nível alto. O Assured Workloads não se aplica ao Google Workspace, que tem controles próprios.

Um dos benefícios de usar o Google Cloud para cargas de trabalho governamentais é que vários controles obrigatórios já estão em vigor na nossa infraestrutura subjacente e no Assured Workloads. Assim, ao enviar o pacote FedRAMP ao Conselho do FedRAMP para autorização, você também incluirá a SSP do Google, que descreve os controles que o Google Cloud gerencia. Entre em contato com sua equipe de vendas para receber uma cópia da SSP do Google Cloud (requer um NDA).

O StateRAMP é um grupo de organizações sem fins lucrativos que estabeleceu a certificação StateRAMP. Assim como o FedRAMP, ele tem como base o framework NIST 800-53 e é modelado, em parte, de acordo com o FedRAMP. O StateRAMP também conta com 3PAOs autorizados pelo FedRAMP para realizar avaliações. O Google Cloud está pronto para atender aos clientes do governo do StateRAMP com capacidade aprimorada de residência de dados e suporte por meio do Assured Workloads.

O FedRAMP Marketplace mantém uma lista de 3PAOs qualificados.

A SSP do Google Cloud abrange recursos de propriedade do Google para testes de penetração, e os clientes podem herdar esse controle usando o Google Cloud. Também será necessário realizar um teste de penetração no ambiente do FedRAMP do cliente criado com o Google Cloud durante a avaliação 3PAO.

O FedRAMP permite níveis variados de herança para os provedores de serviços na nuvem (CSPs, na sigla em inglês) usando a infraestrutura, as plataformas e os serviços autorizados pelo FedRAMP. Essa análise inicial de controle x herança vai, por fim, determinar quanta responsabilidade de conformidade você terá como um CSP.

Por exemplo, se a organização preferir criar a pilha inteira do aplicativo, isso vai gerar mais responsabilidades/obrigações para os clientes durante a avaliação do oficial de autorização. Se você usar os modelos de plataforma como serviço ou software como serviço, o fardo de conformidade provavelmente será mais leve.

Uma vez selecionados os serviços autorizados pelo FedRAMP, o Google ajudará você a configurar a solução por meio de guias de configurações específicos do serviço ou do engajamento direto com os especialistas do FedRAMP na organização de Consultoria do Google Cloud.

Os Assured Workloads são um recurso do Google Cloud que os clientes podem usar para ativar configurações específicas de projetos para atender aos regimes de compliance. Os clientes também podem definir políticas da organização para atender aos requisitos de compliance por conta própria, sem o uso do Assured Workloads. Os produtos são integrados discretamente ao Assured Workloads e aplicam as políticas da organização.

O console do Google Cloud é uma interface do usuário simples baseada na Web que contém recursos para ajudar os clientes na implantação. Ele é um framework, não um serviço, criado na infraestrutura do Google Cloud que oferece aos clientes uma interface para gerenciar os recursos do Google Cloud. Os clientes do Console do Cloud interagem diretamente com as APIs dos serviços individuais do Google Cloud e usam as APIs dos serviços para renderizar a IU. O Console do Cloud, por si só, não tem uma API para os clientes interagirem. Em vez disso, eles interagem diretamente com as APIs dos serviços individuais do Google Cloud. O Console do Cloud usa essas APIs de serviço para renderizar a IU.

Serviços no escopo

ID do pacote FedRAMP FR1805751477

*Todos os serviços do Google Cloud cobertos pelo nível alto do FedRAMP também são cobertos pelo nível médio do programa.

*Observação: as plataformas do FedRAMP de nível médio e alto implementam controles que restringem as conexões TLS 1.1/1.0 no nível do domínio.

App Engine

Assured Workloads

BigQuery

Cloud Bigtable

Cloud DNS

Cloud HSM

Cloud Identity

Cloud Key Management Service

Cloud Logging

Cloud Spanner

Cloud SQL

Cloud Storage

Compute Engine

Container Registry

Dataflow

Dataproc

Firestore

Google Kubernetes Engine

Admin Console (incluindo SDK Admin, Directory Sync)

Gerenciamento de identidade e acesso (IAM)

Memorystore para Memcache

Memorystore for Redis

Persistent Disk

Pub/Sub

Proteção de Dados Sensíveis (incluindo Cloud Data Loss Prevention)

Nuvem privada virtual

ID do pacote FedRAMP FR1805751477

*Todos os serviços do Google Cloud cobertos pelo nível alto do FedRAMP também são cobertos pelo nível médio do programa.

*Observação: as plataformas do FedRAMP de nível médio e alto implementam controles que restringem as conexões TLS 1.1/1.0 no nível do domínio.

Access Context Manager

Transparência no acesso

Treinamento e predição do AI Platform (anteriormente Cloud Machine Learning Engine)

Anthos Identity Service

Apigee

AutoML Natural Language

AutoML Tables

AutoML Translation

AutoML Video Intelligence

AutoML Vision

Beyondcorp Enterprise

Serviço de transferência de dados do BigQuery

Autorização binária

Care Studio (pesquisa do Cloud Healthcare)

Insights da CCAI

Certificate Authority Service

Chronicle SIEM (antigo Chronicle Security)

API Cloud Billing

Cloud Build

Cloud CDN

Cloud Composer

Cloud Data Fusion

Cloud Deployment Manager

Cloud Endpoints

Cloud Error Reporting

Cloud External Key Manager

Cloud Functions

Cloud Functions para Firebase

API Cloud Healthcare

Cloud IDS

Cloud Interconnect

Cloud Life Sciences (antigo Google Genomics)

Cloud Load Balancing

Cloud Monitoring

Cloud NAT (conversão de endereços de rede)

API Cloud Natural Language

Cloud Profiler

Cloud Router

Cloud Run (totalmente gerenciado)

Cloud Run for Anthos

Cloud Scheduler

SDK do Cloud

Cloud Shell

Cloud Source Repositories

Cloud Storage para Firebase

Cloud Tasks

Cloud Trace (antigo Stackdriver Trace)

Cloud Translation

API Cloud Vision

Cloud VPN

Gerenciamento de configurações

Conectar

Contact Center AI (CCAI)

Data Catalog

Database Migration Service

Datalab

Datastore

O Datastream

Dialogflow

Document AI

Earth Engine

Filestore (níveis de HDD e SSD básicos)

Game Servers

Hub do GKE

App Google Cloud

Google Cloud Armor

Google Cloud CLI

Console do Google Cloud

Google Cloud Marketplace

Google Cloud Identity-Aware Proxy

Identity Platform

IoT Core

Justificativas de acesso às chaves (KAJ, na sigla em inglês)

Looker Studio (incluindo o Pro, antigo Google Data Studio)

Network Connectivity Center

Níveis de serviço de rede

API Resource Manager

Secret Manager

Security Command Center (incluindo o Web Security Scanner, antigo Cloud Security Scanner)

Proteção de Dados Sensíveis (incluindo Cloud Data Loss Prevention)

Diretório de serviços

Service Infrastructure (antigo Service Control, inclui as APIs Service Management e Service Consumer Management)

Malha de serviço

Speech-to-Text

Serviço de transferência do Cloud Storage

Talent Solution

Text-to-Speech

Traffic Director

API Video Intelligence

Vertex AI Workbench User Managed Notebooks (antigos Notebooks do AI Platform)

VPC Service Controls

API Web Risk

Workflows

Federação de identidade de colaboradores

*Observação: as plataformas do FedRAMP de nível médio e alto implementam controles que restringem as conexões TLS 1.1/1.0 no nível do domínio.

Google Workspace Business Plus

Google Workspace Business Standard

Google Workspace Enterprise Plus

Google Workspace Enterprise Standard

ID do pacote FedRAMP F1206081364

*O Admin Console e o Cloud Identity agora fazem parte do pacote de Serviços do Google (FR1805751477).

*Observação: as plataformas do FedRAMP de nível médio e alto implementam controles que restringem as conexões TLS 1.1/1.0 no nível do domínio.

Agenda

Documentos

Drive

Formulários

Gmail

Google Chat

Google Meet

Keep

Novo Google Sites

Planilhas

Apresentações

Vault

Todas as regiões do Google Cloud cobertas pelo nível alto do FedRAMP também são cobertas pelo nível médio do programa.

Oregon (us-west1): FedRAMP de nível alto

Los Angeles (us-west2): FedRAMP de nível alto

Salt Lake City (us-west3): FedRAMP de nível alto

Las Vegas (us-west4): FedRAMP de nível alto

Iowa (us-central1): FedRAMP de nível alto

Oklahoma (us-central2): FedRAMP de nível alto

Carolina do Sul (us-east1): FedRAMP de nível alto

Virgínia do Norte (us-east4): FedRAMP de nível alto

Columbus (us-east5): FedRAMP de nível alto

Dallas (us-south1): FedRAMP de nível alto

Montreal (northamerica-northeast1): FedRAMP de nível médio

São Paulo (southamerica-east1): FedRAMP de nível médio

Bélgica (europe-west1): FedRAMP de nível médio

Londres (europe-west2): FedRAMP de nível médio

Frankfurt (europe-west3): FedRAMP de nível médio

Países Baixos (europe-west4): FedRAMP de nível médio

Finlândia (europe-north1): FedRAMP de nível médio

Mumbai (asia-south1): FedRAMP de nível médio

Singapura (asia-southeast1): FedRAMP de nível médio

Taiwan (asia-east1): FedRAMP de nível médio

Tóquio (asia-northeast1): FedRAMP de nível médio

Sydney (australia-southeast1): FedRAMP de nível médio

Zurique (europe-west6): FedRAMP de nível médio

Varsóvia (europe-central2): FedRAMP de nível médio

Jacarta (asia-southeast2): FedRAMP de nível médio

Osaka (asia-northeast2): FedRAMP de nível médio

Seul (asia-northeast3): FedRAMP de nível médio