美国国防联邦采购条例补充 (DFARS) 是与美国国防部 (DoD) 签订合同的公司所需遵循的一套法规。
美国国防部承包商和美国国防工业基础 (DIB) 客户必须遵守适用的 DFARS 条款要求,以确保充分的安全性。这些客户可以使用 Google Cloud 和 Google Workspace 以及我们定义的 FedRAMP 中等和 FedRAMP 高级服务来遵守云服务提供商 (CSP) 适用的 DFARS 252.239-7010 和 252.204-7012 条款。
当代表美国国防部使用云解决方案处理数据,或者美国国防部与 CSP 签订合同以在云端托管或处理数据时,国防承包商必须遵守 DFARS 252.239-7010 云计算服务。DFARS 252.239-7010 要求云服务提供商遵循 DoD 云计算安全要求指南。
通过 IL2、IL4 和 IL5 级别授权的 Google Cloud 服务、IL2 和 IL4 级别授权的 Google Workspace 服务,以及正在审核中的 IL5 级别授权的服务,Google Cloud 和 Google Workspace 可以协助客户遵守 DoD 云计算安全要求指南。如需详细了解支持哪些服务,请访问我们的 DISA 合规性页面。
其信息系统处理、存储或传输涵盖防御信息 (CDI) 的国防承包商必须遵守 DFARS 条款 252.204-7012,该条款规定了根据 NIST SP 800-171 保护受控非机密信息 (CUI) 的要求、网络突发事件报告义务以及云服务提供商的其他注意事项。
客户可以使用 Google Cloud 和 Google Workspace 以及我们定义的 FedRAMP 中等和 FedRAMP 高级控制措施来遵守 CSP 适用的 DFARS 252.239-7010 和 252.204-7012 条款。
Google Cloud 和 Google Workspace 为定义的服务维护 FedRAMP 中等风险级别和 FedRAMP 高风险级别运营授权 (ATO)。所有 FedRAMP 中等风险级别和 FedRAMP 高风险级别服务均符合 NIST 800-171。 在配置系统以支持 FedRAMP 合规性时,客户必须使用 FedRAMP 客户责任矩阵 (CRM),它属于 Google FedRAMP 系统安全计划的一部分。 我们的销售团队或您的 Google Cloud 代表可以帮助您访问适用的文档。
对于所有 FedRAMP 服务,Google 均依赖其 FedRAMP 突发事件响应计划 (IRP),该计划是 Google FedRAMP 系统安全计划 (SSP) 的一部分,已作为 FedRAMP ATO 的一部分授权。根据突发事件响应标准程序,Google 会保留并保护在调查过程中完成的任何适用的恶意软件、媒体、取证分析和损害评估。
如果客户只想将其数据存储在美国境内,则必须使用 FedRAMP 高级服务(配置了 Assured Workloads 或安全管控)和 FedRAMP CRM。这样可以确保他们的数据存储在美国境内的 Google 数据中心区域中。客户也可以针对 IL2、IL4 或 IL5 选择使用 Google 解决方案,以确保客户数据的数据驻留。
DoD 承包商和 DIB 客户可以使用 Google Cloud 和 Google Workspace 来满足 DFARS 252.204-7012 的要求。通过启用 Assured Workloads 或安全管控,这些组织可以促进在其 Google Cloud 环境中创建合规边界或系统 Enclave。如下文所述,Google 承诺接受 DFARS 252.204-7012 流下要求,这些要求适用于我们的 FedRAMP 中等和 FedRAMP 高级服务的 CSP。
客户必须选择 FedRAMP 中等或 FedRAMP 高级监管控制包,以便在软件定义的边界内进行部署。如上所述,客户在配置系统以支持 FedRAMP 合规制度时,应使用 FedRAMP CRM(Google 的 FedRAMP SSP 的一部分)。
Google Workspace 客户必须确保仅在符合 DFARS 252.204-7012 规定范围内使用 FedRAMP 中等或 FedRAMP 高级服务。如果需要,客户可以关闭尚未获得 FedRAMP 授权的服务。Google 建议客户遵循 Google Workspace FedRAMP 配置指南,以确保符合 DFARS 252.204-7012 要求。请注意,虽然并未明确要求使用数据位置和安全管控来满足 DFARS 252.204-7012 要求,但对于要求更严格的客户,可将其视为可选插件。
DFARS 7012 条款要求 | Google Cloud 和 Google Workspace 承诺 |
(b) 与提供足够的安全性相关的要求 | 对于涵盖的服务,Google Cloud 和 Google Workspace 均维持 FedRAMP 中等和 FedRAMP 高级 ATO。所有 FedRAMP 中等和 FedRAMP 高级服务均符合 NIST 800-171。 客户在配置系统以支持 FedRAMP 合规制度时,必须使用 FedRAMP CRM(Google 的 FedRAMP SSP 的一部分)。客户可以向 Google Cloud 销售专员申请 FedRAMP SSP 和 CRM。 |
c) 网络突发事件报告要求 | Google 会根据其 FedRAMP 职责和合同义务报告数据突发事件。 Google 的云端数据处理条款包含关于数据安全的章节(第 7 条“数据安全”)(包括数据突发事件通知),其中规定 Google 在发现数据突发事件后会立即通知客户,且不得无故拖延(第 7.2.1 条)。Google 的通知会说明:突发事件的性质,包括受影响的客户资源;Google 为解决突发事件并降低其潜在风险而采取的措施或计划;Google 建议客户为解决突发事件而采取的措施(如果有);可获取更多信息的联系人的详细信息(第 7.2.2 条)。 Google 不会为了调查和发现数据突发事件而评估客户数据。不过,如果客户要求,Google 可提供额外的合理合作和协助,以协助客户确保履行适用法律规定的与安全和个人数据泄露有关的义务。 Google 承诺在 72 小时内立即通知 DFARS 范围内的受影响客户,并正确配置数据突发事件的 Assured Workloads 和安全管控。 如需详细了解 Google 的突发事件响应流程,请参阅我们的数据突发事件响应流程。 |
(d) 恶意软件 | 如果 Google 或客户发现连接到 Google Cloud 或 Google Workspace 客户的恶意软件在 DFARS 的范围内,Google 将视情况与客户合作,将恶意软件提交给美国国防部网络犯罪中心 (DC3)。 Google 的基础设施设计了适当的安全措施,有助于防止部署恶意代码,避免个人单方面影响环境,并在 Google 的所有服务中实施一致的控制措施。 |
(e) 媒体保存和保护 | 发生数据突发事件时,突发事件管理团队会遵循 Google FedRAMP IRP 协议,在标准突发事件调查流程中保证数据收集和保留。在此过程中,Google 会根据突发事件响应的需要,保护和维护物理/虚拟系统或物理介质。客户负责收集和存储所有监控数据或数据包捕获数据。 我们还建议 Google Cloud 和 Google Workspace 客户使用 Cloud Logging 将客户审核日志数据保留至少 6 个月(或至少 90 天,以履行 DFARS 252.204-7012 义务)。客户可以向 Google Cloud 销售专员申请 FedRAMP SSP 和 CRM(包括 IRP)。 |
(f) 对取证分析所需的额外信息或设备的访问权限 | 如果客户提出要求,Google 可提供额外的合理合作和协助,以协助客户确保履行适用法律所规定的与安全和个人数据泄露有关的义务。 |
(g) 网络突发事件损害情况评估活动 | 作为 FedRAMP IRP 的一部分,Google 会评估已知突发事件造成的任何损害程度。在美国国防部受损情况评估过程中,可以在请求时提供这些信息。 |
DFARS 7012 条款要求
Google Cloud 和 Google Workspace 承诺
(b) 与提供足够的安全性相关的要求
对于涵盖的服务,Google Cloud 和 Google Workspace 均维持 FedRAMP 中等和 FedRAMP 高级 ATO。所有 FedRAMP 中等和 FedRAMP 高级服务均符合 NIST 800-171。
客户在配置系统以支持 FedRAMP 合规制度时,必须使用 FedRAMP CRM(Google 的 FedRAMP SSP 的一部分)。客户可以向 Google Cloud 销售专员申请 FedRAMP SSP 和 CRM。
c) 网络突发事件报告要求
Google 会根据其 FedRAMP 职责和合同义务报告数据突发事件。
Google 的云端数据处理条款包含关于数据安全的章节(第 7 条“数据安全”)(包括数据突发事件通知),其中规定 Google 在发现数据突发事件后会立即通知客户,且不得无故拖延(第 7.2.1 条)。Google 的通知会说明:突发事件的性质,包括受影响的客户资源;Google 为解决突发事件并降低其潜在风险而采取的措施或计划;Google 建议客户为解决突发事件而采取的措施(如果有);可获取更多信息的联系人的详细信息(第 7.2.2 条)。
Google 不会为了调查和发现数据突发事件而评估客户数据。不过,如果客户要求,Google 可提供额外的合理合作和协助,以协助客户确保履行适用法律规定的与安全和个人数据泄露有关的义务。
Google 承诺在 72 小时内立即通知 DFARS 范围内的受影响客户,并正确配置数据突发事件的 Assured Workloads 和安全管控。
如需详细了解 Google 的突发事件响应流程,请参阅我们的数据突发事件响应流程。
(d) 恶意软件
如果 Google 或客户发现连接到 Google Cloud 或 Google Workspace 客户的恶意软件在 DFARS 的范围内,Google 将视情况与客户合作,将恶意软件提交给美国国防部网络犯罪中心 (DC3)。
Google 的基础设施设计了适当的安全措施,有助于防止部署恶意代码,避免个人单方面影响环境,并在 Google 的所有服务中实施一致的控制措施。
(e) 媒体保存和保护
发生数据突发事件时,突发事件管理团队会遵循 Google FedRAMP IRP 协议,在标准突发事件调查流程中保证数据收集和保留。在此过程中,Google 会根据突发事件响应的需要,保护和维护物理/虚拟系统或物理介质。客户负责收集和存储所有监控数据或数据包捕获数据。
我们还建议 Google Cloud 和 Google Workspace 客户使用 Cloud Logging 将客户审核日志数据保留至少 6 个月(或至少 90 天,以履行 DFARS 252.204-7012 义务)。客户可以向 Google Cloud 销售专员申请 FedRAMP SSP 和 CRM(包括 IRP)。
(f) 对取证分析所需的额外信息或设备的访问权限
如果客户提出要求,Google 可提供额外的合理合作和协助,以协助客户确保履行适用法律所规定的与安全和个人数据泄露有关的义务。
(g) 网络突发事件损害情况评估活动
作为 FedRAMP IRP 的一部分,Google 会评估已知突发事件造成的任何损害程度。在美国国防部受损情况评估过程中,可以在请求时提供这些信息。
如上所述,FedRAMP 授权涵盖的 Google 产品符合适用于 CSP 的 DFARS 252.204-7012 要求,使美国国防承包商能够履行 DFARS 252.204-7012 规定的义务。