FedRAMP
美国联邦政府制定了联邦风险和授权管理计划 (FedRAMP),这是一项全政府范围的计划,它为云端产品及服务的安全评估、授权和持续监控提供了一种标准化方法。美国国会于 2022 年通过法案将 FedRAMP 描述为“一项政府级计划,针对处理各机构所用的未分类信息的云计算产品和服务提供标准化且可重复使用的安全评估和授权方法。”
所有联邦机构云端部署和服务模型(某些本地私有云除外)必须符合 FedRAMP 在适当风险影响级别(低、中或高)的要求。
如果客户有意使用符合 FedRAMP 中等或高级别托管的 Google Cloud 服务,则必须使用 Assured Workloads 和安心支持服务(仅限高级别)。
Google Cloud 的 FedRAMP 合规性
FedRAMP 委员会(以前称为“联合授权委员会”)是 FedRAMP 的主要管理机构,包括美国国防部 (DoD)、国土安全部 (DHS) 和总服务管理部 (GSA),以及由 GSA 管理员和 FedRAMP 总监确定的其他机构。
FedRAMP 委员会已向 Google Cloud 基础设施和特定的 Google Cloud 服务产品 (CSO) 颁发了 FedRAMP 中风险级别和 FedRAMP 中风险级别运营授权 (ATO)。Google Cloud 会定期向董事会提交需要获得 FedRAMP 中风险级别和高风险级别审批的其他服务。
根据保密协议 (NDA) 的规定,Google Cloud 可以为客户提供以下额外的 FedRAMP 合规性文档:
- FedRAMP 客户责任矩阵 (CRM)
- Google Cloud 系统安全计划 (SSP)
- 渗透测试报告和其他文档
我们的销售团队或您的 Google Cloud 代表帮助您访问此文档。政府客户还可以使用其文件包申请表单,通过 FedRAMP 计划管理办公室索取 Google 的 FedRAMP 文件包。
对于通过 Google 合作伙伴进行购买的客户,购买条款及条件由我们的合作伙伴提供。
Google Workspace 的 FedRAMP 合规性
客户可以在遵照各种美国联邦政府和全球的云安全和隐私权标准的情况下使用 Google Workspace。除了持有 FedRAMP 高风险级别授权外,Google Workspace 还通过了 ISO 27017、27018、27001 认证,并根据美国注册会计师协会 (AICPA) 服务组织控制 (SOC) 标准接受审计。
Google Cloud VMware Engine (GCVE) FedRAMP 高风险级别就绪性
2023 年,FedRAMP 项目管理办公室 (PMO) 完成了由第三方评估组织 (3PAO) 提供的对 Google Cloud VMware Engine (GCVE) 高风险级别就绪性评估报告 (RAR) 的审核。审核结果是正面的,且未发现明显的功能缺陷,因此 GCVE 被认可为 FedRAMP 高风险级别就绪产品(FedRAMP 文件包 ID FR2405153785)。
获得 FedRAMP 高风险级别就绪向美国联邦政府表示 GCVE 很有可能获得 FedRAMP 授权。GCVE 还通过了 ISO 27017、27018、27001、PCI- DSS 认证,并根据美国注册会计师协会 (AICPA) 服务组织控制 (SOC) 标准接受审计。
在 Google Cloud 上托管 FedRAMP 中风险级别和高风险级别工作负载
Google Cloud 对于基础设施预设安全的投资可确保内置和预配置安全控制措施,使客户能够实现各种合规级别,而无需传统的隔离式政府云架构。
如果客户希望在自己的 FedRAMP 中风险级别和高风险级别环境中使用 Google Cloud 部署其解决方案,则必须使用 Assured Workloads。借助 Assured Workloads,客户可以使用 Google Cloud 服务放心地保护和配置敏感工作负载,以满足合规性和安全要求。Assured Workloads 不依赖独立于其公有云数据中心的物理基础设施。而是提供一个软件定义的社区云,在费用、速度和创新方面具有优势。
通过 Assured Workloads 提供的 FedRAMP 授权服务实施 FedRAMP 安全控制措施,并允许客户利用 Google Cloud 的功能满足其组织需求。借助 Assured Workloads,您还可以通过 Assured Workloads Monitoring 了解 FedRAMP 工作负载的合规状态。此工具可帮助您发现并解决违规问题,并向合规性状态审核人员提供控制证明。
除了 Google Cloud 基础设施 FedRAMP 高风险级别 ATO 满足的控制措施之外,Assured Workloads 还会默认为处理 FedRAMP 高风险级别政府数据的客户实施以下关键的 FedRAMP 高风险级别控制措施:
- 设定安全措施,将 FedRAMP 高风险级别客户数据位置限制为美国
- 仅限由美国境内经 FedRAMP 认定的人员担任技术支持人员
- 对静态数据和传输中的数据进行符合 FIPS-140-2 要求的加密
- 对需要定期访问客户数据的人员实施人员访问权限控制机制
- 仅允许使用符合 FedRAMP 要求的产品和服务
- 对范围内合规性边界的进行逻辑细分,以支持 FedRAMP 中风险级别和高风险级别要求
在 Google Workspace 上托管 FedRAMP 中风险级别数据和高风险级别数据
Google Workspace 拥有 FedRAMP 高风险级别 ATO,客户可以利用该 ATO 托管 FedRAMP 中风险级别和高风险级别数据。想要在其 FedRAMP 中风险级别和高风险级别环境中部署 Google Workspace 的客户应启用符合相应授权要求的 FedRAMP 授权的服务。了解如何为 Google Workspace 用户启用或停用服务。
此外,Google Workspace 商务版和企业版还具有内置的安全控件和功能集,使客户能够满足 FedRAMP 高风险级别要求并调整自己的 ATO。Google Workspace 用户可以使用数据区域政策来配置自己的环境,以满足 FedRAMP 数据驻留控制措施的要求。
获得 FedRAMP 运营授权 (ATO) 的流程
有意在 Google Cloud 上托管政府数据的客户可能也希望申请自己的运营授权 (ATO)。组织在为 Google Cloud 上的服务申请 ATO 时,应考虑以下里程碑:
- 确定范围内的数据是需要满足 FedRAMP 中风险级别还是 FedRAMP 高风险级别要求
- 为范围内的 Google Cloud 服务选择 Assured Workloads(免费层级包含 FedRAMP 中风险级别,FedRAMP 高风险级别需要付费订阅)
- 在 Google Cloud 中确定您的 FedRAMP 边界
- 根据共担责任模型、客户责任矩阵、范围内的 Google Cloud 服务和 FedRAMP 准则配置工作负载
- 接受第三方评估组织 (3PAO) 的审计
- 将您的文件包提交给 FedRAMP 委员会或联邦机构进行审核和授权
如需详细了解 ATO 流程,请参考 FedRAMP 网站。如需从 Google Cloud 获得其他 FedRAMP ATO 支持,请访问我们的 Google Cloud 咨询页面。