Google Cloud 上的 FedRAMP 合规性

使用集合让一切井井有条 根据您的偏好保存内容并对其进行分类。

免责声明

本指南仅供参考。Google 在本指南中提供的信息或建议不构成法律建议。每位客户都有责任独立评估其对该服务的具体使用是适当的,以履行法规遵从义务。

目标受众

对于需要遵守美国联邦政府联邦风险和授权管理计划 (FedRAMP) 要求的客户,Google Cloud 支持 FedRAMP 中等风险级别合规性。本指南适用于负责 FedRAMP 中等风险级别在 Google Cloud 上的实施和合规性的安全人员、合规性人员、IT 管理员和其他员工。阅读本指南后,您将了解 Google 如何支持 FedRAMP 中等风险级别合规性。

概览

请务必注意,云服务的 FedRAMP 授权有两种类型:

  • 通过联合授权委员会 (JAB) 来操作的临时授权 (P-ATO)
  • 代理机构操作授权 (ATO)

P-ATO 过程

FedRAMP P-ATO 是 JAB 对 CSP 授权套餐的初始批准,代理机构可以利用该授权来授予在代理机构内获取和使用云服务的 ATO。JAB 由 DOD、DHS 和 GSA 的首席信息官 (CIO) 组成,并由其各自成员组织的指定技术代表 (TR) 提供支持。P-ATO 表示 JAB 已审核云服务的授权套餐,并为联邦机构提供临时批准,以便在授予云系统 ATO 时使用。要使云服务进入 JAB 流程,必须先通过 FedRAMP Connect 确定其优先级。

代理机构 ATO 过程

作为代理机构授权流程的一部分,CSP 直接与审核云服务的安全软件包的代理机构赞助商合作。完成安全评估后,代理机构的主管(或其指定人员)可以授予 ATO。如需详细了解这两种授权途径,请访问我们的获取授权页面。

美国联邦政府制定了联邦风险和授权管理计划 (FedRAMP),这是一项全政府范围的计划,它为云端产品及服务的安全评估、授权和持续监控提供了一种标准化方法。所有联邦机构云端部署和服务模型(某些本地私有云除外)必须符合 FedRAMP 在适当风险影响级别(低、中或高)的要求。

Google 通过 Assured Workloads 为需要 FedRAMP 中风险级别合规性支持的客户提供服务专用条款。Google Cloud 是在 700 多人的安全工程团队的指导下构建而成,该团队规模超过大多数自有安全团队。如需详细了解我们在安全和数据保护方面采取的做法,包括有关 Google 如何采取各种组织和技术控制措施来保护您的数据的详细信息,请参阅 Google 安全性白皮书Google 基础架构安全设计概览

除了记录我们在安全和隐私保护设计方面采取的方法之外,Google 会定期接受独立的第三方审核,以便为客户提供外部验证。也就是说,我们数据中心、基础设施和运营过程中的控制机制均通过了独立审核机构的检验。Google 可以应要求向签署了保密协议的客户提供我们批准的 FedRAMP 中风险级别系统安全计划 (SSP)。

客户责任

客户的主要责任之一是确定 Google 的 FedRAMP 中风险级别授权是否足以涵盖客户的用途。

虽然 Google 为 FedRAMP 中风险级别监管数据的存储和处理提供了安全且合规的基础架构(如上所述),但客户仍需负责确保根据 FedRAMP 中风险级别要求正确配置和保护他们在 Google Cloud 平台中构建的环境和应用。在云领域中,这通常被称为共享安全模型。

基本最佳实践

  • 接受 Google Cloud FedRAMP 条款。您可以在部署 FedRAMP 中风险级别 Assured Workloads 工作负载时执行此操作。
  • 在处理 FedRAMP 中风险级别监管数据时,停用 Google 的 FedRAMP 中风险级别 P-ATO 未明确涵盖的 Google Cloud 产品(请参阅涵盖的产品),或确保您没有使用这些产品。
  • Google Cloud 能够通过我们的 FedRAMP 客户软件包为客户提供共享安全模型的指导,其中包括:
    • FedRAMP 中风险级别安全控制措施指南
    • FedRAMP SSP 高风险级别基准模板
    • FedRAMP SSP 中风险级别基准模板
    • NIST 信息安全框架指南
  • 此外,Google Cloud 的 FedRAMP 实现指南安全模型架构针对 Google Cloud 上的共享安全性提供了补充建议。

涵盖产品

Google Cloud FedRAMP 中风险级别涵盖 Google Cloud 的整个基础架构(所有区域、所有可用区、所有网络路径、所有入网点)和范围内的 FedRAMP 中风险级别产品

独有的特性

Google Cloud 的安全做法让我们能够获得 FedRAMP 中风险级别 ATO,涵盖 Google Cloud 的整个基础架构,而不是我们云端的某个部分。因此,您将不会受限于特定区域,从而获得规模化、运营和架构方面的优势。您还可以受益于多区域服务冗余以及使用抢占式虚拟机来降低成本的能力。

让我们有能力提供 FedRAMP 中风险级别合规性支持的安全与合规性措施深深地融入我们的基础架构、安全设计和产品当中。因此,我们能以向所有客户提供的同样价格(包括持续使用折扣)向需要遵从 FedRAMP 中风险级别的客户提供相同的产品。

总结

Google Cloud 云基础架构让客户可以安全地存储、分析 FedRAMP 中风险级别监管信息并从中获得数据洞见,而无需担心底层基础架构。

其他资源