Die US-amerikanische Defense Information Systems Agency (DISA) verwaltet die Bewertung und Autorisierung von Cloud-Diensten für das US-Verteidigungsministerium (DoD). Der DISA Cloud-Dienstsupport hat Google Cloud eine vorläufige Autorisierung (PA) gemäß DoD Impact Level 5 (IL5) gewährt. Eine Autorisierung mit IL5 ermöglicht die Verarbeitung und Speicherung von kontrollierten, nicht klassifizierten Informationen und Informationen zum National Security System (NSS) mithilfe von Google Cloud-spezifischen Produkten.
Für die DISA IL2-, IL4- und IL5-PAs von Google Cloud müssen Kunden Assured Workloads und entweder erweiterten oder Premium-Support nutzen. Für die Nutzung der DISA IL4-PA in Google Workspace müssen Kunden Assured Controls und Assured-Support verwenden. Weitere Informationen zum Konfigurationsprozess erhalten Sie von unserem Vertriebsteam.
DISA ist eine Agentur des DoD, die für die Entwicklung und Pflege des Leitfadens für Sicherheitsanforderungen (SRG) an Cloud Computing für DoD verantwortlich ist. Die Cloud Computing SRG definiert die grundlegenden Sicherheitsanforderungen, die vom DoD verwendet werden, um den Sicherheitsstatus eines Cloud-Dienstangebots (CSO) zu bewerten, und unterstützt die Entscheidung, eine DoD-PA zu gewähren, die einem Cloud-Dienstanbieter (CSP) das Hosten von DoD-Missionen erlaubt. Sie enthält, ersetzt und hebt das zuvor veröffentlichte DoD Cloud Security Model (CSM) auf und bildet das DoD Risk Management Framework (RMF) ab.
DISA leitet die DoD-Behörden und -Abteilungen bei der Planung und Autorisierung der Verwendung eines CSO an. Außerdem werden die CSOs auf die Einhaltung der SRG geprüft – ein Genehmigungsverfahren, bei dem CSPs Unterlagen vorlegen können, aus denen hervorgeht, dass sie die DoD-Standards einhalten. Sie gibt bei Bedarf DoD-PAs aus, damit DoD-Behörden und unterstützende Organisationen Cloud-Dienste nutzen können, ohne selbst einen vollständigen Genehmigungsprozess durchlaufen zu müssen. Das spart Zeit und Aufwand.
Im Jahr 2022 erhielt Google Cloud eine vorläufige Befugnis gemäß IL5 und war damit einer der ersten Hyperscaler, die die DISA-Genehmigung für eine softwarebasierte Community-Cloud erhielten. Ein softwarebasierter Isolationsansatz bietet im Vergleich zu herkömmlichen staatlichen Clouds mehr Flexibilität in puncto Bereitstellung, Skalierbarkeit und Kosten in Regionen.
ILx-Paketanfragen (DoD-ILx-Pakete) basieren auf FedRAMP High-Paketen mit zusätzlichen DoD-spezifischen Kontrollen. ILx-Pakete sind nicht für die Freigabe durch Google autorisiert und müssen anderen Parteien von DISA bereitgestellt werden. Wenn eine Behörde Details zum DoD-PA-Paket benötigt, die über das FedRAMP-P-ATO-Paket hinausgehen, kann sie sich unter DISA Ft Meade RE Mailbox Cloud-Team: disa.meade.re.mbx.cloud-team@mail.mil an die Cloud Assessment Division wenden.
IL2-Daten umfassen nicht kontrollierte, nicht klassifizierte Informationen, d. h. alle Daten, die für die Veröffentlichung freigegeben wurden, sowie einige nicht klassifizierte Informationen mit niedriger Vertraulichkeit, die nicht als kontrollierte, nicht klassifizierte Informationen (controlled unclassified information, CUI) gelten. Diese Auswirkungsstufe ermöglicht eine Nicht-CUI-Kategorisierung basierend auf CNSSI 1253 Sicherheitskategorisierung und -steuerungsauswahl für National Security Systems bis zu niedriger Vertraulichkeit und moderater Integrität (L-M-x).
Im Memo des DoD CIO vom 15. Dezember 2014 zu den aktualisierten Richtlinien für die Beschaffung und Nutzung kommerzieller Cloud Computing-Dienste heißt es: „FedRAMP dient als minimale Sicherheitsgrundlage für alle Cloud-Dienste des DoD.“ Die SRG verwendet die FedRAMP Moderate Baseline für alle IL-Informationen und zieht die High Baseline bei einigen in Betracht.
Paragraf 5.1.1, Verwendung der FedRAMP Security Controls durch den DoD der Cloud Computing SRG, beschreibt, dass IL2-Informationen in einem CSO gehostet werden können, der über mindestens eine vorläufige FedRAMP-Autorisierung (Moderate oder High) verfügt. Nur FedRAMP-Kontrollen mit moderatem oder hohem Baseline-Wert werden auf DoD-IL2-PAs geprüft. Bei einer IL2-PA erlaubt das DoD die vollständige Gegenseitigkeit mit einer vom FedRAMP Joint Authorization Board (JAB) ausgestellten vorläufigen Betriebserlaubnis (P-ATO) der Stufen FedRAMP-Moderat oder -Hoch. Weitere Informationen zur FedRAMP-Compliance von Google Cloud finden Sie auf unserer FedRAMP-Seite.
IL4- und IL5-Arbeitslasten können über Assured Workloads bereitgestellt werden. Dies ermöglicht Sicherheitskontrollen, die die erhöhten Anforderungen an Datenstandort und Support erfüllen. Assured Workloads erzwingt außerdem Sicherheitsvorkehrungen für Entwickler, die großen Organisationen dabei helfen, Compliance-Vorgaben einzuhalten.
Nachdem Sie Ihre IL4- oder IL5-autorisierten Dienste ausgewählt haben, kann Google Sie mithilfe dienstspezifischer Konfigurationsanleitungen durch direkten Kontakt mit unserer Professional Services-Organisation bei der Konfiguration Ihrer Lösung unterstützen. Darüber hinaus stellt Google Kunden einen IL4-Springboard-Bereitstellungsleitfaden mit Terraform-Code zur Verfügung.
Kunden, die ihre Lösungen mit Google Cloud in ihren IL4- und IL5-Umgebungen bereitstellen möchten, müssen Assured Workloads verwenden. Mit Assured Workloads können Kunden sensible Arbeitslasten mit Google Cloud-Diensten souverän schützen und konfigurieren, damit sie Compliance- und Sicherheitsanforderungen erfüllen. Assured Workloads stützt sich anders als seine öffentlichen Cloud-Rechenzentren nicht auf eine physische Infrastruktur. Stattdessen wird eine Software Defined Community Cloud bereitgestellt, die Kosten-, Geschwindigkeits- und Innovationsvorteile bietet.
IL4- und IL5-autorisierte Dienste, die über Assured Workloads zur Verfügung gestellt werden, implementieren IL4- und IL5-Sicherheitskontrollen und ermöglichen es Kunden, die Funktionen von Google Cloud zu nutzen, um ihre organisatorischen Anforderungen zu erfüllen. Assured Workloads bietet über das Assured Workloads-Monitoring außerdem Einblick in den Compliancestatus von IL4- und IL5-Arbeitslasten. Mit diesem Tool können Sie Complianceverstöße leichter erkennen und beheben und Auditoren Ihres Compliancestatus Kontroll-Attestierungen zur Verfügung stellen.
Zusätzlich zu den Kontrollen, die durch die vorläufige IL5-Befugnis der Google Cloud-Infrastruktur erfüllt werden, implementiert Assured Workloads standardmäßig die folgenden wichtigen IL4- und IL5-Kontrollen für Kunden, die mit IL4- und IL5-Regierungsdaten arbeiten:
Google Workspace Enterprise Plus hat das Impact Level 4-Framework des US-Verteidigungsministeriums (DOD) erhalten. Kunden, die Google Workspace als Lösung für Produktivität und Zusammenarbeit bereitstellen möchten, sollten das Add-on-Produktfeature Assured Controls, mit denen Organisationen den Zugriff von Cloud-Dienstanbietern präzise steuern können, verwenden.
Google Workspace Enterprise Plus mit Assured Controls enthält integrierte Sicherheitskontrollen und Funktionspakete, mit denen DoD-Kunden IL4-Compliance erreichen und eine eigene Betriebszulassung (ATO, Authority to Operate) erteilen können. Zu den wichtigsten Google Workspace-Funktionen, die die IL4-Compliance unterstützen, gehören:
Kunden des Verteidigungsministeriums können Google Workspace-IL4-Dokumentationen über eMASS oder über ihren DISA-Ansprechpartner anfordern. Hinweis: Google Workspace kann Kunden diese Dokumente nicht direkt zur Verfügung stellen.
Cloud Intrusion Detection System (IDS)
Google Kubernetes Engine (GKE)
Identität und Zugriff verwalten
Sensitive Data Protection (einschließlich Cloud Data Loss Prevention)
Vertex AI Workbench: Nutzerverwaltete Notebooks
Mitarbeiteridentitätsföderation
Eine Liste der Dienste, die unter IL2 fallen, finden Sie auf unserer FedRAMP-Compliance-Seite.
Google Chat (einschließlich Google Drive Bot und Meet Bot)
In den Implementierungsrichtlinien finden Kunden eine Liste der Workspace-Dienste, die für IL4 genehmigt sind.
Einer der Vorteile der Verwendung von Google Cloud für Ihre Behördenarbeitslasten besteht darin, dass eine Reihe erforderlicher Kontrollen bereits von unserer zugrunde liegenden Infrastruktur und von Assured Workloads übernommen werden. Wenn Sie also Ihr IL4- oder IL5-Paket zur Genehmigung einreichen, fügen Sie auch den SSP von Google bei, in dem die Kontrollen beschrieben sind, die Google für Sie übernimmt. Wenden Sie sich an Ihr Vertriebsteam, um eine Kopie des SSP von Google Cloud zu erhalten (Geheimhaltungsvereinbarung erforderlich).
In Google Cloud können Kunden Verschlüsselungsfunktionen, die bereits in autorisierten Produkten vorhanden sind, für ihre zugehörigen Daten (inaktive und verwendete Daten) nutzen. In den meisten Fällen sind kaum oder gar keine Maßnahmen erforderlich. Das Speichersystem und das Netzwerk von Google Cloud sind mit einer IL4- und einem IL5-PA versehen, was die Verantwortung für die Verwaltung von Google Cloud-Kunden verringert.
Inaktive Daten, die in autorisierten Systemen gespeichert sind, werden automatisch mithilfe von FIPS 140-2-zertifizierten Bibliotheken (Zertifikat Nr. 3678, Zertifikat 3383 und 3384) verschlüsselt. Die in diesem System verwendeten Verschlüsselungsschlüssel werden außerdem gemäß NIST 800-57 gespeichert und geschützt. Außerdem werden sie im proprietären KMS-System von Google geschützt. Kunden können dieses System über Cloud KMS steuern.
Die Datenübertragung innerhalb einer Google Cloud-VPC ist ebenfalls unter IL4 und IL5 autorisiert und wird automatisch durch Verschlüsselung, Authentifizierung und Autorisierung geschützt. Für Verbindungen innerhalb einer VPC sind keine weiteren Maßnahmen erforderlich. Bei Verbindungen zu Google APIs wird TLS 1.2 oder höher für die Verschlüsselung des Traffics verwendet. Kunden sind für andere Verbindungen innerhalb und außerhalb der Umgebung (entweder auf Ebene 3 oder 7) verantwortlich, die durch kundengesteuerte Ressourcen erfolgen (z. B. Cloud Load Balancer oder Cloud VPN).
Google ist einer der ersten kommerziellen Hyperscale-Cloud-Anbieter, die IL4 und IL5 über ein kommerzielles öffentliches Cloud-Angebot erreichen, und ist einer der größten Anbieter von IL4- und IL5-Diensten.
Profitieren Sie von einem Guthaben über 300 $, um Google Cloud und mehr als 20 „Immer kostenlos“-Produkte kennenzulernen.