FedRAMP
Pemerintah Federal Amerika Serikat telah memberlakukan Federal Risk and Authorization Management Program (FedRAMP), sebuah program tingkat pemerintah yang menyediakan pendekatan standar terkait penilaian keamanan, otorisasi, dan pemantauan berkelanjutan pada produk dan layanan cloud. Kongres menyusun FedRAMP pada tahun 2022, sebagai “program tingkat Pemerintah yang menyediakan pendekatan standar dan dapat digunakan kembali terkait penilaian keamanan dan otorisasi untuk produk dan layanan cloud computing yang memproses informasi terkontrol yang tidak rahasia yang digunakan oleh lembaga pemerintah.”
Semua model layanan dan deployment cloud yang digunakan oleh lembaga pemerintah federal, selain cloud pribadi lokal tertentu, harus memenuhi semua persyaratan FedRAMP sesuai dengan tingkat dampak risiko (Low, Moderate, atau High).
Pelanggan yang tertarik menggunakan layanan Google Cloud yang selaras dengan hosting FedRAMP Moderate atau High harus menggunakan Assured Workloads dan Dukungan Terjamin (hanya High).
Kepatuhan Google Cloud terhadap FedRAMP
Dewan FedRAMP (sebelumnya disebut sebagai Dewan Otorisasi Bersama) adalah lembaga pemerintah utama untuk FedRAMP, dan meliputi Departemen Pertahanan (DoD), Departemen Keamanan Dalam Negeri (DHS), Administrasi Layanan Umum (GSA), dan lembaga pemerintah lain yang ditentukan oleh GSA Administrator dan direktur FedRAMP.
Dewan FedRAMP telah menerbitkan Authority to Operate (ATO) FedRAMP Moderate dan FedRAMP High untuk infrastruktur Google Cloud dan Penawaran Layanan Google Cloud (CSO) khusus. Google Cloud secara rutin mengirimkan layanan tambahan kepada Dewan untuk mendapatkan persetujuan FedRAMP Moderate dan FedRAMP High.
Google Cloud dapat memberikan dokumentasi kepatuhan FedRAMP tambahan berikut kepada pelanggan berdasarkan perjanjian kerahasiaan (NDA):
- Customer Responsibility Matrix (CRM) FedRAMP
- Rencana Keamanan Sistem (SSP) Google Cloud
- Laporan uji penetrasi dan dokumen lainnya
Tim penjualan kami atau perwakilan Google Cloud Anda dapat membantu memberikan akses ke dokumentasi ini. Pelanggan pemerintah juga dapat meminta paket FedRAMP Google melalui FedRAMP Program Management Office menggunakan formulir permintaan paket tersebut.
Untuk pelanggan yang membeli melalui partner Google, persyaratan dan ketentuan pembelian ditentukan oleh partner kami.
Kepatuhan Google Workspace terhadap FedRAMP
Pelanggan dapat menggunakan Google Workspace dengan mematuhi berbagai standar pemerintah federal AS dan global untuk keamanan dan privasi cloud. Selain mempertahankan otorisasi FedRAMP High, Google Workspace juga telah mendapatkan sertifikasi ISO 27017, 27018, 27001, serta diaudit sesuai standar American Institute of Certified Public Accountants (AICPA) dan Service Organization Control (SOC).
Kesiapan tinggi Google Cloud VMware Engine (GCVE) terhadap FedRAMP
Pada tahun 2023, Program Management Office (PMO) FedRAMP menyelesaikan peninjauan High Readiness Assessment Report (RAR) Google Cloud VMware Engine (GCVE) yang disediakan oleh organisasi penilai pihak ketiga (3PAO). Berdasarkan hasil positif peninjauan tersebut, tanpa adanya kelemahan kemampuan yang signifikan, GCVE telah diterima sebagai penawaran berstatus FedRAMP High Ready (ID Paket FedRAMP FR2405153785).
Perolehan status FedRAMP High Ready ini menunjukkan kepada Pemerintah Federal Amerika Serikat bahwa GCVE memiliki kemungkinan besar untuk memperoleh Otorisasi FedRAMP. GCVE juga telah mendapatkan sertifikasi ISO 27017, 27018, 27001, PCI-DSS serta diaudit sesuai standar American Institute of Certified Public Accountants (AICPA) dan Service Organization Control (SOC).
Menghosting Workload FedRAMP Moderate dan High di Google Cloud
Investasi Google Cloud di infrastruktur kami yang sangat mengutamakan keamanan memastikan bahwa kontrol keamanan sudah terintegrasi dan dikonfigurasikan sebelumnya untuk memungkinkan pelanggan mencapai berbagai tingkat kepatuhan tanpa arsitektur cloud pemerintah tradisional yang terisolasi.
Pelanggan yang ingin men-deploy solusi mereka menggunakan Google Cloud pada lingkungan FedRAMP Moderate dan High harus menggunakan Assured Workloads. Dengan Assured Workloads, pelanggan dapat dengan yakin mengamankan dan mengonfigurasi workload yang sensitif guna mendukung persyaratan kepatuhan dan keamanan untuk menggunakan layanan Google Cloud. Assured Workloads tidak mengandalkan infrastruktur fisik yang berbeda dari pusat data cloud publiknya. Sebagai gantinya, produk ini menghadirkan Cloud Komunitas yang Software-Defined yang menawarkan keuntungan dari segi biaya, kecepatan, dan inovasi.
Layanan yang diotorisasi FedRAMP tersedia melalui Assured Workloads yang menerapkan kontrol keamanan FedRAMP dan memungkinkan pelanggan menggunakan kemampuan Google Cloud untuk memenuhi kebutuhan organisasi mereka. Assured Workloads juga menyediakan visibilitas terhadap status kepatuhan workload FedRAMP melalui Assured Workloads Monitoring. Alat ini dapat membantu Anda menemukan dan memperbaiki pelanggaran terhadap kepatuhan, serta menyediakan pengesahan kontrol kepada auditor atas status kepatuhan Anda.
Selain kontrol yang dipenuhi oleh infrastruktur Google Cloud dengan ATO FedRAMP High, Assured Workloads juga menerapkan kontrol kunci FedRAMP High secara default untuk pelanggan yang menangani data pemerintah dengan FedRAMP High :
- Pembatasan lokasi data pelanggan FedRAMP High hanya di Amerika Serikat.
- Staf dukungan teknis terbatas pada personel yang ditunjuk oleh FedRAMP dan berlokasi di AS.
- Enkripsi dalam penyimpanan dan enkripsi dalam pengiriman yang sesuai dengan FIPS-140-2.
- Kontrol akses personel bagi mereka yang memiliki akses rutin ke data pelanggan
- Hanya produk dan layanan yang mematuhi FedRAMP yang diperbolehkan
- Segmentasi logis dalam cakupan batasan kepatuhan untuk mendukung persyaratan FedRAMP Moderate dan High
Menghosting Data FedRAMP Moderate dan High di Google Workspace
Google Workspace mempertahankan ATO FedRAMP High, yang dapat dimanfaatkan pelanggan untuk menghosting data FedRAMP Moderate dan High. Pelanggan yang ingin men-deploy Google Workspace di lingkungan FedRAMP Moderate dan High harus mengaktifkan layanan yang diotorisasi FedRAMP serta sesuai dengan otorisasi yang terkait. Pelajari cara mengaktifkan atau menonaktifkan layanan Google Workspace.
Selain itu, edisi Google Workspace Business dan Enterprise memiliki kontrol keamanan bawaan dan set fitur yang memungkinkan pelanggan memenuhi FedRAMP High dan menyelaraskan ATO mereka sendiri. Pengguna Google Workspace dapat mengonfigurasi lingkungan mereka untuk mematuhi kontrol residensi data FedRAMP dengan menggunakan kebijakan Region Data.
Proses untuk Mendapatkan Authority to Operate (ATO) FedRAMP
Pelanggan yang perlu menghosting data pemerintah di Google Cloud mungkin juga perlu mendapatkan Authority to Operate (ATO) mereka sendiri. Organisasi perlu mempertimbangkan tonggak pencapaian berikut untuk mendapatkan ATO di Google Cloud:
- Menentukan apakah data dalam cakupan memerlukan FedRAMP Moderate atau FedRAMP High
- Memilih Assured Workloads (FedRAMP Moderate termasuk dalam Paket Gratis, FedRAMP High memerlukan langganan premium) untuk layanan Google Cloud yang termasuk dalam cakupan
- Menentukan batasan FedRAMP Anda dalam Google Cloud
- Mengonfigurasikan workload Anda sesuai dengan model tanggung jawab bersama, Customer Responsibility Matrix, layanan Google Cloud yang termasuk dalam cakupan, dan pedoman FedRAMP
- Menjalani audit dengan organisasi penilaian pihak ketiga (3PAO)
- Mengirimkan paket Anda kepada Dewan FedRAMP atau Lembaga Pemerintah Federal untuk ditinjau dan diotorisasi
Untuk mengetahui informasi selengkapnya tentang proses ATO, buka situs FedRAMP. Untuk mendapatkan dukungan tambahan mengenai ATO FedRAMP dari Google Cloud, kunjungi halaman Google Cloud Consulting kami.