Vorläufige Zulassung der U.S. Defense Information Systems Agency
Die US-amerikanische Defense Information Systems Agency (DISA) verwaltet die Bewertung und Autorisierung von Cloud-Diensten für das US-Verteidigungsministerium (DoD). Der DISA Cloud-Dienstsupport hat Google Cloud eine vorläufige Autorisierung (PA) gemäß DoD Impact Level 5 (IL5) gewährt. Eine Autorisierung mit IL5 ermöglicht die Verarbeitung und Speicherung von kontrollierten, nicht klassifizierten Informationen und Informationen zum National Security System (NSS) mithilfe von Google Cloud-spezifischen Produkten.
Für die DISA IL2-, IL4- und IL5-PAs von Google Cloud müssen Kunden Assured Workloads und entweder Enhanced Support oder Premium Support verwenden. Für die Nutzung der DISA IL4-PA in Google Workspace müssen Kunden Assured Controls und Assured-Support verwenden. Weitere Informationen zum Konfigurationsprozess erhalten Sie von unserem Vertriebsteam.
DISA IL-Compliance von Google Cloud
DISA ist eine Agentur des DoD, die für die Entwicklung und Pflege des Leitfadens für Sicherheitsanforderungen (SRG) an Cloud Computing für DoD verantwortlich ist. Die Cloud Computing SRG definiert die grundlegenden Sicherheitsanforderungen, die vom DoD verwendet werden, um den Sicherheitsstatus eines Cloud-Dienstangebots (CSO) zu bewerten, und unterstützt die Entscheidung, eine DoD-PA zu gewähren, die einem Cloud-Dienstanbieter (CSP) das Hosten von DoD-Missionen erlaubt. Sie enthält, ersetzt und hebt das zuvor veröffentlichte DoD Cloud Security Model (CSM) auf und bildet das DoD Risk Management Framework (RMF) ab.
DISA leitet die DoD-Behörden und -Abteilungen bei der Planung und Autorisierung der Verwendung eines CSO an. Außerdem werden die CSOs auf die Einhaltung der SRG geprüft – ein Genehmigungsverfahren, bei dem CSPs Unterlagen vorlegen können, aus denen hervorgeht, dass sie die DoD-Standards einhalten. Sie gibt bei Bedarf DoD-PAs aus, damit DoD-Behörden und unterstützende Organisationen Cloud-Dienste nutzen können, ohne selbst einen vollständigen Genehmigungsprozess durchlaufen zu müssen. Das spart Zeit und Aufwand.
Im Jahr 2022 erhielt Google Cloud eine vorläufige Befugnis gemäß IL5 und war damit einer der ersten Hyperscaler, die die DISA-Genehmigung für eine softwarebasierte Community-Cloud erhielten. Ein softwarebasierter Isolationsansatz bietet im Vergleich zu herkömmlichen staatlichen Clouds mehr Flexibilität in puncto Bereitstellung, Skalierbarkeit und Kosten in Regionen.
ILx-Paketanfragen (DoD-ILx-Pakete) basieren auf FedRAMP High-Paketen mit zusätzlichen DoD-spezifischen Kontrollen. ILx-Pakete sind nicht für die Freigabe durch Google autorisiert und müssen anderen Parteien von DISA bereitgestellt werden. Wenn eine Behörde Details zum DoD-PA-Paket benötigt, die über das FedRAMP-P-ATO-Paket hinausgehen, kann sie sich unter DISA Ft Meade RE Mailbox Cloud-Team: disa.meade.re.mbx.cloud-team@mail.mil an die Cloud Assessment Division wenden.
Google Cloud und IL2
IL2-Daten umfassen nicht kontrollierte, nicht klassifizierte Informationen, d. h. alle Daten, die für die Veröffentlichung freigegeben wurden, sowie einige nicht klassifizierte Informationen mit niedriger Vertraulichkeit, die nicht als kontrollierte, nicht klassifizierte Informationen (controlled unclassified information, CUI) gelten. Diese Auswirkungsstufe ermöglicht eine Nicht-CUI-Kategorisierung basierend auf CNSSI 1253 Sicherheitskategorisierung und -steuerungsauswahl für National Security Systems bis zu niedriger Vertraulichkeit und moderater Integrität (L-M-x).
Im Memo des DoD CIO vom 15. Dezember 2014 zu den aktualisierten Richtlinien für die Beschaffung und Nutzung kommerzieller Cloud Computing-Dienste heißt es: „FedRAMP dient als minimale Sicherheitsgrundlage für alle Cloud-Dienste des DoD.“ Die SRG verwendet die FedRAMP Moderate Baseline für alle IL-Informationen und zieht die High Baseline bei einigen in Betracht.
Paragraf 5.1.1, Verwendung der FedRAMP Security Controls durch den DoD der Cloud Computing SRG, beschreibt, dass IL2-Informationen in einem CSO gehostet werden können, der über mindestens eine vorläufige FedRAMP-Autorisierung (Moderate oder High) verfügt. Nur FedRAMP-Kontrollen mit moderatem oder hohem Baseline-Wert werden auf DoD-IL2-PAs geprüft. Bei einer IL2-PA erlaubt das DoD die vollständige Gegenseitigkeit mit einer vom FedRAMP Joint Authorization Board (JAB) ausgestellten vorläufigen Betriebserlaubnis (P-ATO) der Stufen FedRAMP-Moderat oder -Hoch. Weitere Informationen zur FedRAMP-Compliance von Google Cloud finden Sie auf unserer FedRAMP-Seite.
IL4- oder IL5-Arbeitslasten in Google Cloud hosten
IL4- und IL5-Arbeitslasten können über Assured Workloads bereitgestellt werden. Dies ermöglicht Sicherheitskontrollen, die die erhöhten Anforderungen an Datenstandort und Support erfüllen. Assured Workloads erzwingt außerdem Sicherheitsvorkehrungen für Entwickler, die großen Organisationen dabei helfen, Compliance-Vorgaben einzuhalten.
Sobald Sie Ihre für IL4 oder IL5 autorisierten Dienste ausgewählt haben, kann Google Sie mithilfe von dienstspezifischen Konfigurationsanleitungen bei der Konfiguration Ihrer Lösung unterstützen, wenn Sie sich direkt mit unserer Professionellen Dienstleistungen in Verbindung setzen. Darüber hinaus stellt Google Kunden einen IL4-Springboard-Bereitstellungsleitfaden mit Terraform-Code zur Verfügung.
Kunden, die ihre Lösungen mit Google Cloud in ihren IL4- und IL5-Umgebungen bereitstellen möchten, müssen Assured Workloads verwenden. Mit Assured Workloads können Kunden sensible Arbeitslasten mit Google Cloud-Diensten souverän schützen und konfigurieren, damit sie Compliance- und Sicherheitsanforderungen erfüllen. Assured Workloads stützt sich anders als seine öffentlichen Cloud-Rechenzentren nicht auf eine physische Infrastruktur. Stattdessen wird eine Software Defined Community Cloud bereitgestellt, die Kosten-, Geschwindigkeits- und Innovationsvorteile bietet.
IL4- und IL5-autorisierte Dienste, die über Assured Workloads zur Verfügung gestellt werden, implementieren IL4- und IL5-Sicherheitskontrollen und ermöglichen es Kunden, die Funktionen von Google Cloud zu nutzen, um ihre organisatorischen Anforderungen zu erfüllen. Assured Workloads bietet über das Assured Workloads-Monitoring außerdem Einblick in den Compliancestatus von IL4- und IL5-Arbeitslasten. Mit diesem Tool können Sie Complianceverstöße leichter erkennen und beheben und Auditoren Ihres Compliancestatus Kontroll-Attestierungen zur Verfügung stellen.
Zusätzlich zu den Kontrollen, die durch die vorläufige IL5-Befugnis der Google Cloud-Infrastruktur erfüllt werden, implementiert Assured Workloads standardmäßig die folgenden wichtigen IL4- und IL5-Kontrollen für Kunden, die mit IL4- und IL5-Regierungsdaten arbeiten:
- Leitlinien festlegen, um den Speicherort von IL4- und IL5-Kundendaten auf die USA zu beschränken
- Beschränkung der Mitarbeiter des technischen Supports auf Mitarbeiter, die für IL4 und IL5 zugelassen sind und sich in den USA befinden.
- Verwendung einer FIPS-140-2-kompatiblen Verschlüsselung für ruhende Daten und Daten bei der Übertragung erzwingen.
- Implementierung von für IL4 und IL5 erforderlichen Mitarbeiterzugriffskontrollen für diejenigen, die routinemäßig Zugriff auf Kundendaten haben.
- Entwickler dürfen nur IL4- und IL5-konforme Produkte und Dienste verwenden.
- Logische Segmentierung der Grenzen des Geltungsbereichs zur Unterstützung der IL4- und IL5-Anforderungen.
Google Workspace und IL4
Google Workspace Enterprise Plus hat das Impact Level 4-Framework des US-Verteidigungsministeriums (DOD) erhalten. Kunden, die Google Workspace als Lösung für Produktivität und Zusammenarbeit bereitstellen möchten, sollten das Add-on-Produktfeature Assured Controls, mit denen Organisationen den Zugriff von Cloud-Dienstanbietern präzise steuern können, verwenden.
Google Workspace Enterprise Plus mit Assured Controls enthält integrierte Sicherheitskontrollen und Funktionspakete, mit denen DoD-Kunden IL4-Compliance erreichen und eine eigene Betriebszulassung (ATO, Authority to Operate) erteilen können. Zu den wichtigsten Google Workspace-Funktionen, die die IL4-Compliance unterstützen, gehören:
- Die Möglichkeit, Daten mithilfe von Speicherorten für Daten auf US-Regionen zu beschränken
- Die Möglichkeit, Supportaktionen von Google-Mitarbeitern auf Personen in den USA zu beschränken, die Assured Controls Access Management verwenden
- Erweiterte Verschlüsselung von ruhenden Daten und Daten bei der Übertragung, um die Anforderungen an die Verschlüsselung sensibler Daten zu erfüllen. Weitere Informationen finden Sie in unserem Whitepaper zur Verschlüsselung von Google Workspace.
- Das Google Workspace-Sicherheitscenter bietet erweiterte Sicherheitsinformationen und -analysen für Sicherheitsprobleme in Ihrer Domain.
Kunden des Verteidigungsministeriums können Google Workspace-IL4-Dokumentationen über eMASS oder über ihren DISA-Ansprechpartner anfordern. Hinweis: Google Workspace kann Kunden diese Dokumente nicht direkt zur Verfügung stellen.
Betroffene Dienste
Google Cloud-Dienste im Geltungsbereich für IL5 PA
Google Cloud-Dienste unterliegen DISA-Überprüfung für IL5
Google Cloud-Dienste im Geltungsbereich für IL4 PA
Google Cloud
Google Workspace-Dienste im Geltungsbereich für IL4 PA
Google Chat (einschließlich Google Drive Bot und Meet Bot)
In den Implementierungsrichtlinien finden Kunden eine Liste der Workspace-Dienste, die für IL4 genehmigt sind.
Google Workspace-Dienste unterliegen DISA-Überprüfung für IL4
Google Workspace-Dienste unterliegen DISA-Überprüfung für IL5
Google Cloud-Dienste im Geltungsbereich für IL2 PA
Cloud Intrusion Detection System (IDS)
Google Kubernetes Engine (GKE)
Identität und Zugriff verwalten
Sensitive Data Protection (einschließlich Cloud Data Loss Prevention)
Vertex AI Workbench: Nutzerverwaltete Notebooks
Mitarbeiteridentitätsföderation
Eine Liste der Dienste, die unter IL2 fallen, finden Sie auf unserer FedRAMP-Compliance-Seite.
Google Cloud-Dienste unterliegen DISA-Überprüfung für IL4
FAQ
Welche Steuerelemente kann ich von Google Cloud übernehmen?
Einer der Vorteile der Verwendung von Google Cloud für Ihre Behördenarbeitslasten besteht darin, dass eine Reihe erforderlicher Kontrollen bereits von unserer zugrunde liegenden Infrastruktur und von Assured Workloads übernommen werden. Wenn Sie also Ihr IL4- oder IL5-Paket zur Genehmigung einreichen, fügen Sie auch den SSP von Google bei, in dem die Kontrollen beschrieben sind, die Google für Sie übernimmt. Wenden Sie sich an Ihr Vertriebsteam, um eine Kopie des SSP von Google Cloud zu erhalten (Geheimhaltungsvereinbarung erforderlich).
Muss ich eine zusätzliche Verschlüsselung innerhalb der VPC-Grenze einer Assured Workloads-Arbeitslast erzwingen?
In Google Cloud können Kunden Verschlüsselungsfunktionen, die bereits in autorisierten Produkten vorhanden sind, für ihre zugehörigen Daten (inaktive und verwendete Daten) nutzen. In den meisten Fällen sind kaum oder gar keine Maßnahmen erforderlich. Das Speichersystem und das Netzwerk von Google Cloud sind mit einer IL4- und einem IL5-PA versehen, was die Verantwortung für die Verwaltung von Google Cloud-Kunden verringert.
Inaktive Daten, die in autorisierten Systemen gespeichert sind, werden automatisch mithilfe von FIPS 140-2-zertifizierten Bibliotheken (Zertifikat Nr. 3678, Zertifikat 3383 und 3384) verschlüsselt. Die in diesem System verwendeten Verschlüsselungsschlüssel werden außerdem gemäß NIST 800-57 gespeichert und geschützt. Außerdem werden sie im proprietären KMS-System von Google geschützt. Kunden können dieses System über Cloud KMS steuern.
Die Datenübertragung innerhalb einer Google Cloud-VPC ist ebenfalls unter IL4 und IL5 autorisiert und wird automatisch durch Verschlüsselung, Authentifizierung und Autorisierung geschützt. Für Verbindungen innerhalb einer VPC sind keine weiteren Maßnahmen erforderlich. Bei Verbindungen zu Google APIs wird TLS 1.2 oder höher für die Verschlüsselung des Traffics verwendet. Kunden sind für andere Verbindungen innerhalb und außerhalb der Umgebung (entweder auf Ebene 3 oder 7) verantwortlich, die durch kundengesteuerte Ressourcen erfolgen (z. B. Cloud Load Balancer oder Cloud VPN).
Wie bietet Google für IL4 und IL5 autorisierte Dienste an, wenn es kein GovCloud-Angebot gibt?
Google ist einer der ersten kommerziellen Hyperscale-Cloud-Anbieter, die IL4 und IL5 über ein kommerzielles öffentliches Cloud-Angebot erreichen, und ist einer der größten Anbieter von IL4- und IL5-Diensten.
Ähnliche Produkte und Dienste
- NIST 800-53Hier finden Sie Informationen dazu, welche Google Cloud-Dienste von unabhängigen Dritten untersucht wurden und gemäß den Kontrollen aus NIST 800-53 arbeiten.
- NIST 800-171Hier finden Sie Informationen dazu, welche Google Cloud-Dienste von unabhängigen Dritten untersucht wurden, die bestätigt haben, dass diese Dienste die Kontrollen aus NIST 800-171 einhalten.
- FedRAMPGoogle Cloud verwaltet FedRAMP High und FedRAMP Moderate P-ATOs für Google Cloud- und Google Workspace-Produkte.
Gleich loslegen
Profitieren Sie von einem Guthaben über 300 $, um Google Cloud und mehr als 20 „Immer kostenlos“-Produkte kennenzulernen.
Best Practices für Sicherheit
Mehr über Best PracticesHäufige Probleme beheben
Videos zu sicherheitsbezogenen Fallstudien ansehenUnterstützung durch Partner
Mehr über unsere Sicherheitspartner
