Autorização provisória do Departamento de Defesa dos EUA (DoD)

A Agência de Sistemas de Proteção de Informações dos EUA (DISA, na sigla em inglês) gerencia a avaliação e a autorização dos serviços de nuvem para o Departamento de Defesa dos EUA (DoD, na sigla em inglês). A DISA concedeu ao Google Cloud uma autorização provisória (AP) do DoD nos níveis de impacto 2 (IL2), 4 (IL4) e 5 (IL5). Essas autorizações permitem que o Google Cloud trate e armazene informações não classificadas controladas (CUI).

Os clientes do Google Cloud precisam usar o Data Boundary via Assured Workloads e o Suporte Aprimorado ou Premium para ambientes que oferecem suporte a APs IL2, IL4 ou IL5 do DoD. Os clientes do Google Workspace precisam usar o Assured Controls Plus em ambientes que exigem uma AP IL4 do DoD. Para saber mais sobre o processo de configuração, entre em contato com nossa equipe de vendas.

Google Cloud e conformidade com a DoD IL

A DISA é responsável por desenvolver e manter o Guia de requisitos de segurança (SRG) do provedor de serviços de nuvem (CSP) do Departamento de Defesa dos EUA (DoD) (todas as siglas em inglês). O SRG define os requisitos básicos usados pelo DoD para avaliar a postura de segurança de uma oferta de serviços de nuvem (CSO, sigla em inglês), apoiando a decisão de conceder um AP do DoD que permita a um CSP hospedar missões do DoD. Ele é mapeado para o Framework de gerenciamento de risco (RMF) do DoD e incorpora, substitui e rescinde o Modelo de segurança na nuvem (CSM) do DoD publicado anteriormente.

Os níveis IL2, IL4, IL5 e IL6 do DoD acomodam várias categorizações de dados com base no CNSSI 1253 Security Categorization and Control Selection for National Security Systems. O CNSSI 1253 define explicitamente a associação de três níveis de impacto possíveis (baixo, moderado ou alto) com três objetivos de segurança (confidencialidade, integridade e disponibilidade). O CNSSI 1253 fornece as linhas de base de segurança apropriadas para cada uma das possíveis categorizações de sistemas usando controles do NIST SP 800-53. O proprietário da missão do DoD precisa abordar a disponibilidade no contrato.

Em 2022, o Google Cloud recebeu uma AP IL5 do DoD, sendo o primeiro hiperescalador a receber uma AP IL5 do DoD para uma nuvem de comunidade definida por software. Uma abordagem de isolamento definido por software oferece aos clientes mais flexibilidade do que as arquiteturas de nuvem tradicionais fisicamente separadas (comumente chamadas de nuvens governamentais) em termos de implantação de região, disponibilidade de serviço, escalonabilidade e custo.

Solicitações de pacote ILx do DoD: os pacotes de autorização ILx do DoD são baseados em pacotes FedRAMP High com outros controles específicos do DoD. O Google não está autorizado a compartilhar pacotes ILx do DoD. Eles precisam ser compartilhados diretamente pela DISA com outras partes. Se você é uma entidade governamental que busca detalhes sobre o pacote de AP do DoD além do que está coberto pelo pacote P-ATO do FedRAMP, entre em contato com a Divisão de Avaliação de Nuvem da DISA.

Para acessar o pacote IL dos Serviços do Google, envie uma solicitação pelo repositório de informações de autorização e cibersegurança do Serviço de suporte de garantia de missão empresarial do DoD (eMASS).

Google Cloud e DoD IL2

Os dados de IL2 do DoD incluem todos os dados liberados para divulgação pública e algumas informações não classificadas de baixa confidencialidade que não são designadas como CUI (informações controladas não classificadas, na sigla em inglês). Esse nível de impacto comporta a categorização não CUI com base no CNSSI 1253 até o nível baixo de confidencialidade, integridade moderada e disponibilidade definida pelo cliente (L-M-x).

Para IL2, o DoD permite reciprocidade total com autorização provisória de operação de nível moderado ou alto (P-ATO) do FedRAMP. Para saber mais sobre a conformidade do Google Cloud com o FedRAMP, consulte nossa página do FedRAMP.

De acordo com a DISA, os dados categorizados no IL2 só são permitidos em data centers dos EUA autorizados para o CSO. Os locais fora dos EUA das regiões autorizadas do FedRAMP do Google Cloud não estão incluídos na reciprocidade e precisam ser explicitamente autorizados pelo funcionário de autorização da DISA. As cargas de trabalho IL2 do DoD devem ser implantadas no Google Cloud usando o limite de dados com o Assured Workloads.

Google Cloud, DoD IL4 e IL5

O IL4 e o IL5 acomodam categorizações de CUI até confidencialidade moderada, integridade moderada e disponibilidade definida pelo cliente (M-M-x) com base na CNSSI 1253. Depois de selecionar os serviços autorizados para IL4 ou IL5, você precisa implantá-los usando o Data Boundary via Assured Workloads.

O Assured Workloads também oferece visibilidade sobre o estado de conformidade das cargas de trabalho IL4 e IL5 do DoD com o Assured Workloads Monitoring. Essa ferramenta pode ajudar a identificar e corrigir violações de conformidade, além de fornecer atestados aos auditores sobre sua conformidade com os requisitos de segurança IL4 e IL5.

O Data Boundary com Assured Workloads também implementa os seguintes controles principais de IL4 e IL5 do DoD por padrão para clientes que lidam com dados governamentais de nível IL4 ou IL5 do DoD:

  1. Define proteções para restringir a localização dos dados de IL4 e IL5 do DoD aos EUA.
  2. Restringe a equipe de suporte técnico a pessoal autorizado a lidar com informações de IL4 e IL5 do DoD com residência nos EUA.
  3. Impõe o uso de criptografia com validação FIPS 140 em repouso e em trânsito.
  4. Implementa controles de acesso exigidos pelos níveis IL4 e IL5 do DoD para funcionários com possível acesso a dados do cliente.
  5. Limita o uso dos desenvolvedores aos produtos e serviços em conformidade com os níveis IL4 e IL5 do DoD.
  6. Segmenta o limite de conformidade de forma lógica no escopo para oferecer suporte aos requisitos dos níveis IL4 e IL5 do DoD.

Google Cloud e U-NNPI

O Programa de Propulsão Nuclear Naval, criado pela Ordem Executiva 12344, é uma organização conjunta do Departamento de Energia e do Departamento da Marinha que supervisiona todos os aspectos da propulsão nuclear naval. O programa é composto por militares e civis, que projetam, constroem, operam, mantêm e gerenciam os navios de propulsão nuclear da Marinha dos EUA e as várias instalações de apoio da frota naval de propulsão nuclear.

O Naval Reactors Program Cloud Authorization Framework (Modelo de autorização de serviços de nuvem para o programa de propulsão nuclear naval) publicado em maio de 2019 (NR Framework) apresenta diretrizes para organizações de sistemas baseados em nuvem que buscam autorização para armazenar ou tratar Informações de Propulsão Nuclear Naval (NNPI, na sigla em inglês). A Tabela 7-2 do NR Framework descreve 17 controles de segurança adicionais de NNPI não sigilosas (U-NNPI, na sigla em inglês) que não fazem parte do padrão de controle do IL5 do DoD. Esses controles precisam ser avaliados para sistemas baseados na nuvem que tratam as U-NNPI.

Uma Organização de Avaliação Terceirizada Credenciada (3PAO, na sigla em inglês) analisou as evidências de controle do Google Cloud para todos os 17 controles de segurança das U-NNPI e verificou, com uma carta de atestação, que o Google Cloud atende a todos os requisitos de controle de segurança das U-NNPI.

O Google Cloud pode ajudar você a atender aos requisitos de conformidade com as U-NNPI nas seguintes condições:

  • Você precisa entrar em contato com o Naval Reactors (Programa de Propulsão Nuclear Naval) para receber autorização antes de armazenar ou tratar as U-NNPI no Google Cloud.
  • Você precisa usar o Assured Workloads Data Boundary para o IL5 do DoD para restringir possíveis acessos às U-NNPI em cenários de suporte iniciados pelo cliente a funcionários do Google que sejam residentes dos EUA localizados nos Estados Unidos e tenham passado por investigações aprofundadas de histórico para contratação.

As NNPI são categorizadas como Informações Não Sigilosas Controladas (CUI, na sigla em inglês). Além disso, a Tabela 1 e o Anexo 1 da OPNAVINST N9210.3, Safeguarding of Naval Nuclear Propulsion Information (NNPI) (Proteção de informações de propulsão nuclear naval) de 7 de junho de 2010, fornecem os diferentes níveis de sigilo e controles de tratamento para as NNPI, incluindo os requisitos de acesso para as U-NNPI.

As U-NNPI, marcadas e tratadas como Informações Não Divulgáveis a Estrangeiros (NOFORN, na sigla em inglês), têm as seguintes restrições de acesso:

  • Cidadania dos EUA
  • Necessidade de saber (NTK, na sigla em inglês)

É sua responsabilidade garantir que apenas cidadãos dos EUA com necessidade de saber tenham acesso às U-NNPI armazenadas ou tratadas nos seus serviços do Google Cloud. Os funcionários do Google não acessam os dados dos clientes de IL5, e as chaves de criptografia ficam sob seu controle exclusivo.

Google Distributed Cloud com isolamento físico e dispositivo e DoD IL6

A designação IL6 se aplica ao armazenamento e tratamento de informações classificadas até o nível SECRETO do governo dos EUA.

Para atender aos requisitos do nível IL6 do DoD, o Google oferece o Google Distributed Cloud com isolamento físico e o dispositivo com isolamento físico do Google Distributed Cloud, que permitem hospedar, controlar e gerenciar infraestrutura e serviços diretamente no local. Nenhuma das opções exige conectividade com o Google Cloud. Além disso, ambas são entregues com segurança nas suas instalações. O Google Distributed Cloud com isolamento físico é uma solução com base em rack, enquanto o dispositivo com isolamento físico do Google Distributed Cloud é um dispositivo portátil e independente.

O Google Distributed Cloud com isolamento físico e o dispositivo com isolamento físico do Google Distributed Cloud mantêm uma PA DoD IL6 na categorização de informações de alta confidencialidade, alta integridade e disponibilidade definida pelo cliente (H-H-x) de acordo com a CNSSI 1253. Ambos permitem conectividade direta com a Rede de roteadores de protocolo de Internet secreta do DoD (SIPRNet, da sigla em inglês). Qualquer conectividade além das conexões com a SIPRNet precisa ser aprovada pelo funcionário de autorização de nuvem do DoD. Entre em contato com a DISA para saber mais sobre a PA DoD IL6 do Google Distributed Cloud com isolamento físico e do dispositivo com isolamento físico do Google Distributed Cloud, incluindo serviços de nuvem no escopo de auditoria DoD IL6.

Google Workspace, DoD IL2 e DoD IL4

A edição Google Workspace Enterprise Plus é compatível com cargas de trabalho IL2 do DoD e alcançou uma autorização provisória para o nível IL4 do DoD. Você precisa usar o Assured Controls Plus se quiser implantar o Google Workspace para uma solução de produtividade e colaboração que exige conformidade com o nível IL4 do DoD.

O Google Workspace Enterprise Plus com Assured Controls Plus tem controles de segurança e conjuntos de recursos integrados para ajudar você a atender aos requisitos de compliance do nível IL4 do DoD e obter sua própria Autorização para Operar (ATO, na sigla em inglês). Os principais recursos do Google Workspace compatíveis com a conformidade com o nível IL4 do DoD incluem:

  • Capacidade de restringir dados às regiões dos EUA usando apenas regiões de dados.
  • Capacidade de limitar as ações de suporte da equipe do Google a residentes dos EUA usando apenas o Gerenciamento de acesso do Assured Controls.
  • Criptografia avançada de dados em repouso e em trânsito para atender às necessidades de criptografia de dados sensíveis. Saiba mais no documento de criptografia do Google Workspace.
  • Central de segurança do Google Workspace que fornece informações e análises avançadas sobre os problemas de segurança que afetam seu domínio.

Se você é cliente do DoD, pode acessar a documentação do Google Workspace sobre o nível IL4 do DoD pelo eMASS ou falar com o seu contato da DISA para solicitá-la. O Google não pode fornecer essa documentação diretamente aos clientes.

Perguntas frequentes

Um dos benefícios de usar o Google Cloud para cargas de trabalho governamentais é que vários controles obrigatórios já são processados pela nossa infraestrutura e pelo Assured Workloads. Por isso, ao enviar seu pacote IL4 ou IL5 para autorização, você também inclui a SSP do Google, que descreve os controles herdados do Google. Entre em contato com a equipe de vendas do Google para mais informações.

O Google Cloud permite que você aproveite os recursos de criptografia já presentes nos produtos autorizados para os respectivos dados, tanto em repouso quanto em trânsito, com pouca ou nenhuma ação necessária para implementar na maioria dos casos. A rede e o sistema de armazenamento do Google Cloud têm PAs IL4 e IL5, reduzindo a quantidade de responsabilidades que você precisa gerenciar.

Os dados armazenados em repouso em sistemas autorizados são criptografados automaticamente usando criptografia com validação FIPS 140. As chaves de criptografia usadas nesse sistema são armazenadas e protegidas de acordo com a publicação NIST 800-57 e são mantidas em segurança dentro do sistema reservado de KMS do Google. Você pode controlar esse sistema pelo Cloud KMS.

A transmissão de dados dentro de uma VPC do Google Cloud também está autorizada nos níveis IL4 e IL5 e é automaticamente criptografada. Nenhuma outra ação é necessária para conexões dentro de uma VPC.

Na camada do aplicativo, você pode selecionar o protocolo Transport Layer Security (TLS) 1.2 ou superior para criptografia de dados em trânsito. Os endpoints de serviço aceitam TLS para criar uma conexão HTTPS segura ao fazer chamadas de API.

O Google foi o primeiro provedor de nuvem em hiperescala a receber autorizações provisórias de IL4 e IL5 para uma solução de serviço de nuvem pública e é um dos maiores provedores de serviços IL4 e IL5. O Google Workspace mantém uma PA IL4, enquanto o Google Cloud mantém PAs IL4 e IL5 para as soluções de serviços de nuvem pública.

O Google usa uma nuvem comunitária definida por software, uma abordagem usada para isolar cargas de trabalho sensíveis a segurança e compliance com o Assured Workloads. A nuvem comunitária definida por software permite aproveitar a eficiente infraestrutura em nuvem que o Google Cloud oferece para ajudar você a atender a requisitos rigorosos de conformidade de segurança. Ao usar uma nuvem comunitária definida por software implantada na infraestrutura de nuvem pública do Google, você não precisa gerenciar e manter instâncias separadas de infraestrutura em nuvem.

Ao usar as soluções de serviços de nuvem pública em hiperescala do Google, como o Google Cloud e o Google Workspace, o DoD se beneficia das inovações mais recentes da nuvem, como inteligência artificial, machine learning e outras. Além disso, uma nuvem pública em hiperescala oferece capacidade para redundância de failover e flexibilidade com planejamento de resiliência global.

Serviços no escopo

Os serviços do Google Cloud e do Google Workspace no escopo dos níveis IL4/5 estão listados no Escopo de conformidade do FedRAMP e do DoD.

Vá além

Comece a criar no Google Cloud com US$ 300 em créditos e mais de 20 produtos, tudo isso sem custo financeiro.

Google Cloud
DocumentosSuporte
Console
Fazer login
Security
Inteligência contra ameaçasSecOpsSegurança na nuvemConsultoriaRecursos de segurança
  • Acelere sua transformação digital
  • Seja no início da jornada ou já a caminho da transformação digital, o Google Cloud pode ajudar a superar os desafios mais difíceis.
  • Produtos do Google Cloud
  • Acesse mais de 100 produtos. Clientes novos ganham US$ 300,00 em créditos para executar, testar e implantar cargas de trabalho. Todos os clientes podem usar mais de 25 produtos gratuitamente até alcançarem os limites de uso mensais.
  • Economize com nossa abordagem de preços transparente
  • Os preços de pagamento por utilização do Google Cloud oferecem economia automática com base no uso mensal e preços com desconto para recursos pré-pagos. Entre em contato hoje mesmo para receber uma cotação.
Google Cloud