Defense Information Systems Agency (DISA) Amerika Serikat mengelola evaluasi dan otorisasi layanan cloud untuk Departemen Pertahanan (DoD) Amerika Serikat. Dukungan Layanan Cloud DISA telah memberikan otorisasi sementara (PA) Impact Level 5 (IL5) dari Departemen Pertahanan pada Google Cloud. Otorisasi untuk IL5 memungkinkan pemrosesan dan penyimpanan informasi yang terkontrol dan bersifat tidak rahasia serta informasi sistem keamanan nasional (NSS) menggunakan produk Google Cloud tertentu.
PA DISA IL2, IL4, dan IL5 untuk Google Cloud mengharuskan pelanggan untuk menggunakan Assured Workloads dan DukunganEnhanced atau Premium. PA DISA IL4 untuk Google Workspace mengharuskan pelanggan untuk menggunakan Assured Controls dan Dukungan Terjamin. Untuk mengetahui informasi proses konfigurasi selengkapnya, hubungi tim penjualan kami.
DISA adalah lembaga pemerintah di bawah naungan Departemen Pertahanan AS (DoD) yang bertanggung jawab untuk mengembangkan dan mempertahankan DoD Cloud Computing Security Requirements Guide (SRG). Cloud Computing SRG menentukan persyaratan dasar pengukuran keamanan yang digunakan oleh DoD untuk menilai postur keamanan dari penawaran layanan cloud (CSO), yang mendukung keputusan untuk memberikan otorisasi sementara DoD yang memungkinkan penyedia layanan cloud (CSP) menghosting misi DoD. Pedoman ini menggabungkan, menggantikan, dan membatalkan Model Keamanan Cloud (CSM) DoD yang telah dipublikasikan sebelumnya, dan memetakan DoD Risk Management Framework (RMF).
DISA memandu departemen dan lembaga pemerintah di bawah naungan DoD dalam merencanakan dan melakukan otorisasi penggunaan CSO. DISA juga mengevaluasi kepatuhan CSO terhadap SRG — proses otorisasi yang memungkinkan CSP untuk memberikan dokumentasi yang menjelaskan kepatuhan mereka terhadap standar DoD. DISA menerbitkan otorisasi sementara DoD jika diperlukan, jadi lembaga pemerintah di bawah naungan DoD dan organisasi pendukungnya dapat menggunakan layanan cloud tanpa perlu melewati proses persetujuan penuh sendiri, sehingga menghemat waktu dan tenaga.
Pada tahun 2022, Google Cloud mendapatkan otorisasi sementara IL5, sehingga menjadikannya salah satu layanan penyedia hyperscale pertama yang menerima persetujuan DISA untuk cloud komunitas yang software-defined. Pendekatan isolasi software-defined memberikan fleksibilitas yang lebih baik daripada cloud pemerintah tradisional dalam hal deployment region, skalabilitas, dan biaya.
Permintaan Paket ILx Paket ILx DoD didasarkan pada paket FedRAMP High dengan kontrol khusus DoD tambahan. Paket ILx tidak diizinkan untuk dibagikan oleh Google, dan harus disediakan oleh DISA kepada pihak lain. Jika suatu entitas pemerintah mencari informasi tentang paket PA DoD di luar yang tercakup dalam paket P-ATO FedRAMP, mereka dapat menghubungi Cloud Assessment Division di: DISA Ft Meade RE Mailbox Cloud Team: disa.meade.re.mbx.cloud-team@mail.mil
Data IL2 termasuk informasi yang tidak terkontrol dan bersifat tidak rahasia, yaitu semua data yang telah dibuka untuk rilis publik dan beberapa informasi yang bersifat tidak rahasia dengan tingkat kerahasiaan rendah yang tidak ditetapkan sebagai informasi yang terkontrol dan bersifat tidak rahasia (CUI). Tingkat dampak ini mengakomodasi kategorisasi non-CUI berdasarkan CNSSI 1253 Security Categorization and Control Selection for National Security Systems hingga tingkat kerahasiaan rendah dan integritas sedang (L-M-x).
Memo tanggal 15 Desember 2014 dari CIO DoD mengenai Updated Guidance on the Acquisition and Use of Commercial Cloud Computing Services menyatakan bahwa, “FedRAMP akan berfungsi sebagai dasar pengukuran keamanan minimum untuk semua layanan cloud DoD”. SRG menggunakan dasar pengukuran FedRAMP Moderate sebagai IL semua informasi dan mempertimbangkan dasar pengukuran FedRAMP High pada beberapa kasus.
Pasal 5.1.1, DoD use of FedRAMP Security Controls, pada Cloud Computing SRG menguraikan bahwa informasi IL2 dapat dihosting oleh CSO yang minimal memiliki otorisasi sementara FedRAMP Moderate atau High. Hanya kontrol dasar pengukuran FedRAMP Moderate atau High yang akan dinilai untuk otorisasi sementara IL2 DoD. Untuk otorisasi sementara IL2, DoD mengizinkan timbal balik penuh dengan otorisasi untuk beroperasi sementara (P-ATO) FedRAMP Moderate atau High yang diterbitkan oleh Dewan Otorisasi Bersama (JAB) FedRAMP. Untuk mempelajari lebih lanjut Kepatuhan Google Cloud terhadap FedRAMP, lihat halaman FedRAMP kami.
Workload IL4 dan IL5 dapat di-deploy melalui Assured Workloads, yang mengaktifkan kontrol keamanan yang memenuhi persyaratan residensi data dan dukungan yang ditingkatkan. Assured Workloads juga menerapkan batasan developer yang membantu organisasi besar untuk menjaga kepatuhan.
Setelah Anda memilih layanan yang diotorisasi IL4 atau IL5, Google akan membantu mengonfigurasi solusi Anda melalui panduan konfigurasi khusus layanan saat berinteraksi langsung dengan organisasi Layanan Profesional kami. Selain itu, Google juga menyediakan IL4 Springboard Deployment guide dengan kode Terraform untuk pelanggan.
Pelanggan yang ingin men-deploy solusi mereka menggunakan Google Cloud di lingkungan IL4 dan IL5 harus menggunakan Assured Workloads. Dengan Assured Workloads, pelanggan dapat dengan yakin mengamankan dan mengonfigurasi workload yang sensitif guna mendukung persyaratan kepatuhan dan keamanan untuk menggunakan layanan Google Cloud. Assured Workloads tidak mengandalkan infrastruktur fisik yang berbeda dari pusat data cloud publiknya. Sebagai gantinya, produk ini menghadirkan Cloud Komunitas yang Software-Defined yang menawarkan keuntungan dari segi biaya, kecepatan, dan inovasi.
Layanan dengan otorisasi IL4 dan IL5 tersedia melalui Assured Workloads yang menerapkan kontrol keamanan IL4 dan IL5 dan memungkinkan pelanggan menggunakan kemampuan Google Cloud untuk memenuhi kebutuhan organisasi mereka. Assured Workloads juga menyediakan visibilitas terhadap status kepatuhan workload IL4 dan IL5 melalui Assured Workloads Monitoring. Alat ini dapat membantu Anda menemukan dan memperbaiki pelanggaran terhadap kepatuhan, serta menyediakan pengesahan kontrol kepada auditor atas status kepatuhan Anda.
Selain kontrol yang dipenuhi oleh infrastruktur Google Cloud dengan otorisasi sementara IL5, Assured Workloads juga menerapkan kontrol kunci IL4 dan IL5 berikut secara default untuk pelanggan yang menangani data pemerintah dengan IL4 dan IL5:
Edisi Google Workspace Enterprise Plus telah memperoleh otorisasi Impact Level 4 dari Departemen Pertahanan Amerika Serikat. Pelanggan yang ingin men-deploy Google Workspace untuk solusi produktivitas dan kolaborasi mereka sebaiknya menggunakan fitur produk add-on Assured Controls, yang akan memungkinkan organisasi untuk mengontrol secara akurat akses penyedia layanan cloud.
Google Workspace Enterprise Plus dengan Assured Controls mencakup kontrol keamanan bawaan dan set fitur yang memungkinkan pelanggan DoD mencapai kepatuhan IL4 dan menerbitkan Authority to Operate (ATO) mereka sendiri. Fitur utama Google Workspace yang mendukung kepatuhan IL4 meliputi:
Pelanggan Departemen Pertahanan dapat meminta dokumentasi IL4 Google Workspace melalui eMASS atau relasi DISA mereka. Perlu diperhatikan bahwa Google Workspace tidak dapat menyediakan dokumentasi ini langsung kepada pelanggan.
Cloud Intrusion Detection System (IDS)
Google Kubernetes Engine (GKE)
Sensitive Data Protection (termasuk Cloud Data Loss Prevention)
Vertex AI Workbench User Managed Notebooks
Lihat halaman kepatuhan FedRAMP kami guna mengetahui daftar layanan yang termasuk dalam cakupan untuk IL2.
Google Chat (termasuk Bot Google Drive, dan Bot Meet)
Pelanggan dapat membaca pedoman penerapan guna melihat daftar layanan Workspace yang disetujui untuk IL4.
Salah satu manfaat menggunakan Google Cloud untuk workload di sektor pemerintah adalah bahwa sejumlah kontrol yang diperlukan telah ditangani oleh infrastruktur dasar dan Assured Workloads kami. Jadi, saat Anda mengirimkan paket IL4 atau IL5 untuk diotorisasi, Anda juga akan menyertakan SSP Google, yang menjelaskan kontrol yang ditangani Google untuk Anda. Harap hubungi tim penjualan Anda untuk mendapatkan salinan SSP Google Cloud (NDA diperlukan).
Di Google Cloud, pelanggan dapat memanfaatkan kemampuan enkripsi yang sudah ada pada produk yang diotorisasi untuk data terkait, baik untuk enkripsi dalam penyimpanan dan enkripsi dalam penggunaan, dengan melakukan sedikit tindakan atau tanpa tindakan sama sekali pada kebanyakan kasus. Baik sistem dan jaringan penyimpanan Google Cloud memiliki Otorisasi Sementara IL4 dan IL5, yang mengurangi tanggung jawab yang harus dikelola oleh pelanggan Google Cloud.
Data yang tersimpan dalam keadaan nonaktif di sistem yang diotorisasi telah dienkripsi secara otomatis menggunakan library yang tersertifikasi FIPS 140-2 (misalnya, sertifikat #3678, #3383, #3384). Kunci enkripsi yang digunakan dalam sistem ini juga disimpan dan dilindungi berdasarkan NIST 800-57 dan diamankan dalam sistem KMS eksklusif milik Google. Pelanggan dapat mengontrol sistem ini melalui Cloud KMS.
Transmisi data dalam VPC Google Cloud juga diotorisasi pada IL4 dan IL5 serta otomatis dilindungi dengan enkripsi, autentikasi, dan otorisasi. Anda tidak perlu melakukan tindakan lebih lanjut untuk koneksi di dalam VPC. Koneksi ke Google API menggunakan TLS 1.2 atau yang lebih baru untuk enkripsi traffic. Pelanggan bertanggung jawab untuk koneksi lain di dalam dan di luar lingkungan (baik pada Lapisan 3 atau 7) yang melewati resource yang dikontrol pelanggan (seperti, Cloud Load Balancer atau Cloud VPN).
Google adalah salah satu penyedia cloud komersial hyperscale pertama yang memperoleh IL4 dan IL5 pada penawaran cloud publik komersial, dan merupakan salah satu penyedia layanan IL4 dan IL5 terbesar.
Mulailah membangun solusi di Google Cloud dengan kredit gratis senilai $300 dan lebih dari 20 produk yang selalu gratis.