Conformité FedRAMP sur Google Cloud

Clause de non-responsabilité

Le présent guide est fourni à titre informatif uniquement. Les informations ou recommandations qui y sont mentionnées n'ont pas vocation à constituer des conseils juridiques. Il appartient à chaque client d'évaluer indépendamment sa propre utilisation des services de manière appropriée afin de s'acquitter de ses obligations légales en matière de conformité.

Audience visée

Pour les clients soumis aux exigences du Programme FedRAMP (Federal Risk and Authorization Management Program) du gouvernement fédéral des États-Unis, Google Cloud prend en charge le niveau d'impact modéré du programme FedRAMP. Ce guide est destiné aux responsables de la sécurité, aux responsables de la conformité, aux administrateurs informatiques et aux autres employés responsables de la mise en œuvre du niveau d'impact modéré du programme FedRAMP et de la conformité avec celui-ci sur Google Cloud Platform. Après avoir lu ce guide, vous aurez compris comment Google peut garantir la conformité au niveau d'impact modéré du programme FedRAMP.

Aperçu

Il est important de noter qu'il existe deux types d'autorisations FedRAMP pour les services cloud :

  • L'autorisation "Provisional Authority to Operate" (P-ATO) délivrée par le "Joint Authorization Board" (JAB)
  • L'autorisation "'Agency Authority to Operate"

Processus P-ATO

L'autorisation FedRAMP P-ATO est une approbation initiale par le JAB du package d'autorisation CSP. Une agence peut exploiter cette approbation pour accorder une autorisation ATO en vue de l'acquisition et de l'utilisation du service cloud au sein de son agence. Le JAB regroupe les responsables des technologies de l'information (CIO) des agences DOD, DHS et GSA qui sont assistés par des représentants techniques désignés (TR) de leurs organisations membres respectives. Une autorisation P-ATO signifie que le JAB a passé en revue le package d'autorisation du service cloud et fourni une approbation provisoire que les agences fédérales peuvent utiliser afin de délivrer une autorisation ATO pour un système cloud. Pour qu'un service cloud puisse entrer dans le processus du JAB, il doit d'abord être hiérarchisé via FedRAMP Connect.

Processus ATO d'agence

Dans le cadre du processus d'autorisation de l'agence, un fournisseur de services cloud collabore directement avec le sponsor de l'agence qui passe en revue le package de sécurité du service cloud. Après avoir terminé son évaluation de sécurité, le responsable d'une agence (ou son représentant) peut délivrer une autorisation ATO. Pour en savoir plus sur ces deux méthodes d'autorisation, consultez la page Obtenir une autorisation.

Le gouvernement fédéral des États-Unis a mis en place le FedRAMP (Federal Risk and Authorization Management Program), un programme qui fournit une approche standardisée de l'évaluation de la sécurité, des autorisations et de la surveillance continue des produits et services cloud. Tous les déploiements et modèles de service cloud des agences fédérales, à l'exception de certains clouds privés sur site, doivent répondre aux exigences du programme FedRAMP correspondant à leur niveau d'impact (faible, modéré ou élevé).

Google propose des Conditions spécifiques de service via Assured Workloads pour les clients nécessitant une prise en charge du niveau d'impact modéré du programme FedRAMP. Google Cloud a été conçu sous la direction d'une équipe de plus de 700 ingénieurs de sécurité, plus grande que la plupart des équipes de sécurité sur site. Vous trouverez des informations spécifiques sur notre approche de la sécurité et de la protection des données, y compris sur les contrôles organisationnels et techniques pour la protection de vos données mis en place par Google, dans le livre blanc sur la sécurité de Google et la présentation de la sécurité sur l'infrastructure de Google.

Outre le fait de documenter notre approche en matière de sécurité et de confidentialité, Google se soumet régulièrement à des audits tiers indépendants afin de fournir aux clients une validation externe. Ces vérifications garantissent que les dispositifs de contrôle de nos centres de données, de notre infrastructure et de nos opérations ont été inspectés par un professionnel indépendant. Sur demande, Google est en mesure de fournir aux clients ayant signé un accord de non-divulgation (NDA) un plan de sécurité système (SSP) pour le niveau modéré du programme FedRAMP.

Responsabilités du client

L'une des principales responsabilités du client est de déterminer si la prise en charge du niveau d'impact modéré du programme FedRAMP par Google est suffisante pour répondre à ses besoins.

Bien que Google fournisse une infrastructure sécurisée et conforme (décrite ci-dessus) pour le stockage et le traitement de données réglementées conformément au niveau modéré du programme FedRAMP, il est de la responsabilité du client de s'assurer que l'environnement et les applications construits sur Google Cloud sont correctement configurés et sécurisés, conformément aux exigences du niveau d'impact modéré du programme FedRAMP. On parle généralement de modèle de sécurité partagé dans le cloud.

Bonnes pratiques essentielles

  • Acceptez les conditions du programme FedRAMP sur Google Cloud. Vous pouvez le faire de manière inhérente lors du déploiement d'une charge de travail FedRAMP modérée avec Assured Workloads.
  • Désactivez ou assurez-vous de ne pas utiliser de produits Google Cloud qui ne sont pas explicitement couverts par le programme FedRAMP modéré de Google (voir Produits couverts) lorsque vous travaillez avec des données réglementées soumises au niveau d'impact modéré du programme FedRAMP.
  • Google Cloud est en mesure de fournir aux clients des conseils pour le modèle de sécurité partagé via notre package client FedRAMP, qui comprend les éléments suivants :
    • Guide des contrôles de sécurité modérés du programme FedRAMP
    • Modèle de référence pour le niveau élevé du programme FedRAMP SSP
    • Modèle de référence pour le niveau modéré du programme FedRAMP SSP
    • Guide du framework de cybersécurité du NIST
  • De plus, le guide de mise en œuvre du programme FedRAMP et l'architecture des modèles de sécurité de Google Cloud fournissent des recommandations supplémentaires pour la sécurité partagée sur Google Cloud.

Produits couverts

Le niveau d'impact modéré du programme FedRAMP de Google Cloud couvre l'intégralité de l'infrastructure (toutes les régions, toutes les zones, tous les chemins réseau et tous les points de présence) de Google Cloud, ainsi que les produits du niveau modéré du programme FedRAMP.

Fonctionnalités uniques

Les pratiques de sécurité de Google Cloud nous permettent d'obtenir une autorisation ATO (niveau modéré du programme FedRAMP) couvrant l'ensemble de l'infrastructure Google Cloud, et non une partie spécifique de notre cloud. Par conséquent, vous n'êtes pas limité à une région spécifique, ce qui présente des avantages en termes d'évolutivité, d'opération et d'architecture. Vous pouvez également bénéficier d'une redondance multirégionale des services ainsi que de la possibilité d'utiliser des machines virtuelles préemptives pour réduire les coûts.

Les mesures de sécurité et de conformité qui nous permettent de rendre possible la conformité avec le niveau modéré du programme FedRAMP sont profondément enracinées dans notre infrastructure, notre conception de la sécurité et nos produits. Ainsi, nous pouvons offrir aux clients soumis au niveau modéré du programme FedRAMP les mêmes produits aux mêmes prix que ceux proposés à tous les clients, y compris les remises automatiques proportionnelles à une utilisation soutenue.

Conclusion

Google Cloud est l'infrastructure cloud dans laquelle les clients peuvent stocker, analyser et exploiter les données réglementées par le niveau modéré du programme FedRAMP, sans avoir à se soucier de l'infrastructure sous-jacente.

Autres ressources