FedRAMP-Compliance in Google Cloud

Mit Sammlungen den Überblick behalten Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.

Haftungsausschluss

Dieser Leitfaden dient nur zu Informationszwecken. Die von Google darin zur Verfügung gestellten Informationen und Empfehlungen stellen keine Rechtsberatung dar. Jeder Kunde muss seine eigene konkrete Nutzung der Dienste jeweils eigenständig bestimmen, um die Einhaltung der gültigen Rechtsvorschriften zu gewährleisten.

Zielgruppe

Für Kunden, die den Anforderungen des Federal Risk and Authorization Management Program (FedRAMP) der US-Bundesbehörden unterliegen, unterstützt Google Cloud die FedRAMP Moderate-Compliance. Dieser Leitfaden richtet sich an Sicherheitsbeauftragte, Compliance-Beauftragte, IT-Administratoren und andere Mitarbeiter, die für die FedRAMP Moderate-Implementierung und -Compliance in Google Cloud verantwortlich sind. In diesem Leitfaden erfahren Sie, wie Google die FedRAMP Moderate-Compliance unterstützt.

Überblick

Beachten Sie, dass es zwei Arten von FedRAMP-Autorisierungen für Cloud-Dienste gibt:

  • Provisional Authority to Operate (P-ATO) über das Joint Authorization Board (JAB)
  • Agency Authority to Operate (ATO)

P-ATO-Prozess

FedRAMP P-ATO ist eine erste Genehmigung des CSP-Autorisierungspakets durch das JAB, die eine Agentur verwenden kann, um die ATO für den Erwerb und die Nutzung des Cloud-Dienstes innerhalb der Agentur zu gewähren. Das JAB besteht aus den Chief Information Officers (CIOs) von DOD, DHS und GSA, die von designierten technischen Vertretern (TRs) der jeweiligen Mitgliedsorganisationen unterstützt werden. P-ATO bedeutet, dass das JAB das Autorisierungspaket des Cloud-Dienstes geprüft und eine vorläufige Genehmigung für die Bundesbehörden erteilt hat, die diese beim Zuweisen der ATO für ein Cloud-System nutzen können. Damit ein Cloud-Dienst am JAB-Prozess teilnehmen kann, muss er zuerst über FedRAMP Connect priorisiert werden.

ATO-Prozess der Agentur

Im Rahmen des Autorisierungsvorgangs der Agentur arbeitet eine CSP direkt mit dem Sponsor der Agentur zusammen, der das Sicherheitspaket des Cloud-Dienstes prüft. Nach Abschluss einer Sicherheitsprüfung kann der Leiter einer Agentur (oder sein Vertreter) eine ATO erteilen. Weitere Informationen zu diesen beiden Autorisierungspfaden finden Sie auf der Seite Get Authorized.

Die US-Bundesbehörden haben das US-Bundesprogramm zur Risiko- und Autorisierungsverwaltung (Federal Risk and Authorization Management Program, FedRAMP) als regierungsweites Programm ins Leben gerufen, das einen standardisierten Ansatz für die Sicherheitsbewertung, Autorisierung und kontinuierliche Kontrolle von Cloud-Produkten und -Diensten bietet. Mit Ausnahme bestimmter lokaler privater Clouds müssen alle Cloud-Bereitstellungen und -Dienstmodelle der US-Bundesbehörde FedRAMP-Anforderungen auf der entsprechenden Risikostufe (Low, Moderate oder High) erfüllen.

Google bietet dienstspezifische Nutzungsbedingungen über Assured Workloads für Kunden, die Support für die FedRAMP Moderate-Compliance benötigen. Google Cloud wurde unter der Leitung eines mehr als 700 Personen umfassenden Sicherheitstechnikteams entwickelt, das größer als die meisten lokalen Sicherheitsteams ist. Ausführliche Informationen zu unserem Sicherheits- und Datenschutzkonzept finden Sie im Whitepaper zur Sicherheit bei Google und in der Übersicht über das Sicherheitsdesign der Infrastruktur von Google. Dort erhalten Sie auch Informationen zu organisatorischen und technischen Kontrollen in Bezug auf den Schutz Ihrer Daten durch Google.

Neben der Dokumentation unseres Sicherheits- und Datenschutzansatzes unterzieht sich Google regelmäßig unabhängigen externen Prüfungen, um Kunden eine externe Verifizierung zu bieten. Das heißt, dass die Sicherheitsvorkehrungen in unseren Rechenzentren, unserer Infrastruktur und unserem laufenden Betrieb von unabhängiger Stelle geprüft wurden. Google kann Kunden auf Basis einer Vertraulichkeitsvereinbarung (Non-Disclosure Agreement, NDA) auf Anfrage den genehmigten FedRAMP Moderate System Security Plan (SSP) zur Verfügung stellen.

Pflichten der Kunden

Eine der Hauptpflichten des Kunden ist festzustellen, ob die FedRAMP Moderate-Autorisierung von Google für die Zwecke des Kunden geeignet ist.

Obwohl Google, wie oben beschrieben, eine sichere und rechtskonforme Infrastruktur für das Speichern und Verarbeiten von gemäß FedRAMP Moderate regulierten Daten bietet, müssen sich Kunden selbst davon überzeugen, dass die Umgebung und Anwendungen, die sie über Google Cloud erstellen, ordnungsgemäß konfiguriert und gemäß den FedRAMP Moderate-Anforderungen gesichert sind. Dies wird in der Cloud häufig als gemeinsames Sicherheitsmodell bezeichnet.

Wichtigste Best Practices

  • Akzeptieren Sie die FedRAMP-Nutzungsbedingungen von Google Cloud. Sie können dies durch Bereitstellung von FedRAMP Moderate Assured Workloads tun.
  • Deaktivieren Sie Google Cloud-Produkte, die nicht explizit durch die FedRAMP Moderate P-ATO abgedeckt sind (siehe Abgedeckte Produkte), oder stellen Sie anderweitig sicher, dass Sie diese nicht nutzen, wenn Sie mit gemäß FedRAMP Moderate regulierten Daten arbeiten.
  • Google Cloud kann Kunden über das FedRAMP-Kundenpaket einen Leitfaden für das gemeinsame Sicherheitsmodell bieten, das Folgendes umfasst:
    • FedRAMP Moderate Security Controls Guide
    • FedRAMP SSP High Baseline Template
    • FedRAMP SSP Moderate Baseline Template
    • NIST Cybersecurity Framework Guide
  • Darüber hinaus bieten der FedRAMP Implementation Guide und die Security Model Architecture von Google Cloud ergänzende Empfehlungen für gemeinsame Sicherheit in Google Cloud.

Abgedeckte Produkte

Google Cloud FedRAMP Moderate deckt die gesamte Infrastruktur von Google Cloud (alle Regionen, Zonen, Netzwerkpfade und Points of Presence) und die FedRAMP Moderate-Produkte innerhalb des Geltungsbereichs ab.

Besondere Features

Dank der Sicherheitspraktiken von Google Cloud können wir eine FedRAMP Moderate-ATO bieten, die die gesamte Infrastruktur von Google Cloud abdeckt und nicht nur einen bestimmten Teil unserer Cloud. Daher sind Sie nicht auf eine bestimmte Region beschränkt, was Vorteile in Bezug auf die Skalierbarkeit, die Betriebsabläufe und die Architektur hat. Sie können außerdem von einer multiregionalen Dienstredundanz und der Nutzung von VMs auf Abruf zur Reduzierung der Kosten profitieren.

Die Sicherheits- und Compliance-Maßnahmen, mit denen wir die FedRAMP Moderate-Compliance fördern, sind tief in unserer Infrastruktur, unserem Sicherheitsdesign und unseren Produkten verankert. Somit können wir Kunden, die den FedRAMP Moderate-Bestimmungen unterliegen, dieselben Produkte zum selben Preis wie allen anderen Kunden anbieten. Das schließt auch Rabatte für kontinuierliche Nutzung mit ein.

Fazit

Google Cloud ist eine Cloud-Infrastruktur, in der Kunden gemäß FedRAMP Moderate regulierte Daten sicher speichern, analysieren und auswerten können, ohne sich um die zugrunde liegende Infrastruktur kümmern zu müssen.

Zusätzliche Ressourcen