Otorisasi Sementara Departemen Pertahanan (DoD) Amerika Serikat

Defense Information Systems Agency (DISA) Amerika Serikat mengelola evaluasi dan otorisasi layanan cloud untuk Departemen Pertahanan (DoD) Amerika Serikat. DISA telah memberikan otorisasi sementara (PA) DoD kepada Google Cloud di Tingkat Dampak 2 (IL2), 4 (IL4), dan 5 (IL5) DoD. Otorisasi ini memungkinkan Google Cloud memproses dan menyimpan informasi yang terkontrol dan bersifat tidak rahasia (CUI).

Pelanggan Google Cloud harus menggunakan Data Boundary melalui Assured Workloads dan Dukungan Enhanced atau Premium untuk lingkungan yang mendukung PA IL2, IL4, atau IL5 DoD. Pelanggan Google Workspace harus menggunakan Assured Controls Plus untuk lingkungan yang memerlukan PA IL4 DoD. Untuk informasi selengkapnya tentang proses konfigurasi, hubungi tim penjualan kami.

Google Cloud dan Kepatuhan IL DoD

DISA bertanggung jawab untuk mengembangkan dan mengelola Panduan Persyaratan Keamanan (SRG) Penyedia Layanan Cloud (CSP) DoD. SRG menentukan persyaratan dasar pengukuran keamanan yang digunakan oleh DoD untuk menilai postur keamanan dari penawaran layanan cloud (CSO), yang mendukung keputusan untuk memberikan PA DoD yang memungkinkan penyedia layanan cloud (CSP) menghosting misi DoD. Panduan ini memetakan DoD Risk Management Framework (RMF) dan menggabungkan, menggantikan, serta membatalkan Model Keamanan Cloud (CSM) DoD yang telah dipublikasikan sebelumnya.

IL2, IL4, IL5, dan IL6 DoD mengakomodasi berbagai kategorisasi data berdasarkan CNSSI 1253 Security Categorization and Control Selection for National Security Systems. CNSSI 1253 secara eksplisit mendefinisikan asosiasi tiga kemungkinan tingkat dampak (rendah, sedang, atau tinggi) dengan tiga tujuan keamanan (kerahasiaan, integritas, dan ketersediaan). CNSSI 1253 kemudian menyediakan dasar pengukuran keamanan yang sesuai untuk setiap kemungkinan kategorisasi sistem menggunakan kontrol dari NIST SP 800-53. Pemilik misi DoD harus membahas ketersediaan dalam kontrak.

Pada tahun 2022, Google Cloud mendapatkan PA IL5 DoD, sehingga menjadikannya hyperscaler pertama yang menerima PA IL5 DoD untuk cloud komunitas software-defined. Pendekatan isolasi software-defined memberi pelanggan fleksibilitas yang lebih baik daripada arsitektur cloud tradisional yang terpisah secara fisik (biasa disebut cloud pemerintah) dari segi deployment region, ketersediaan layanan, skalabilitas, dan biaya.

Permintaan paket ILx DoD: Paket otorisasi ILx DoD didasarkan pada paket FedRAMP High dengan kontrol khusus DoD tambahan. Google tidak diizinkan untuk membagikan paket ILx DoD; paket tersebut harus dibagikan langsung oleh DISA kepada pihak lain. Jika Anda adalah entitas pemerintah yang mencari informasi tentang paket PA DoD di luar yang tercakup dalam paket P-ATO FedRAMP, Anda dapat menghubungi Cloud Assessment Division DISA.

Untuk mengakses paket IL Layanan Google, kirim permintaan melalui repositori informasi otorisasi dan pengamanan cyber Enterprise Mission Assurance Support Service (eMASS) DoD.

Google Cloud dan IL2 DoD

Data IL2 DoD mencakup semua data yang telah disetujui untuk rilis publik dan beberapa informasi yang bersifat tidak rahasia dengan tingkat kerahasiaan rendah yang tidak ditetapkan sebagai CUI. Tingkat dampak ini mengakomodasi kategorisasi non-CUI berdasarkan CNSSI 1253 hingga tingkat kerahasiaan rendah, integritas sedang, dan ketersediaan yang ditentukan pelanggan (L-M-x).

Untuk IL2, DoD mengizinkan timbal balik penuh dengan otorisasi untuk beroperasi sementara (P-ATO) FedRAMP Moderate atau High. Untuk mempelajari lebih lanjut kepatuhan Google Cloud terhadap FedRAMP, lihat halaman FedRAMP kami.

Menurut DISA, data yang dikategorikan di IL2 hanya diizinkan di pusat data Amerika Serikat yang diotorisasi untuk CSO. Lokasi di luar Amerika Serikat untuk region Google Cloud yang diotorisasi FedRAMP tidak disertakan dalam timbal balik, dan harus diotorisasi secara eksplisit oleh petugas otorisasi DISA. Workload IL2 DoD harus di-deploy di Google Cloud menggunakan Data Boundary melalui Assured Workloads.

Google Cloud dan IL4 serta IL5 DoD

IL4 dan IL5 mengakomodasi kategorisasi CUI hingga kerahasiaan sedang, integritas sedang, dan ketersediaan yang ditentukan pelanggan (M-M-x) berdasarkan CNSSI 1253. Setelah Anda memilih layanan dengan otorisasi IL4 atau IL5, Anda harus men-deploy-nya menggunakan Data Boundary melalui Assured Workloads.

Assured Workloads juga menyediakan visibilitas terhadap status kepatuhan workload DoD IL4 dan IL5 melalui Assured Workloads Monitoring. Alat ini dapat membantu Anda menemukan dan memperbaiki pelanggaran terhadap kepatuhan, serta menyediakan pengesahan kepada auditor atas kepatuhan Anda terhadap persyaratan keamanan IL4 dan IL5.

Batas Data melalui Assured Workloads juga menerapkan kontrol kunci DoD IL4 dan IL5 berikut secara default untuk pelanggan yang menangani data pemerintah DoD IL4 atau IL5:

  1. Menetapkan batasan untuk membatasi lokasi data DoD IL4 dan IL5 Anda hanya di Amerika Serikat.
  2. Membatasi staf dukungan teknis hanya untuk personel yang ditentukan oleh DoD IL4 dan IL5 dan berlokasi di Amerika Serikat.
  3. Menerapkan penggunaan enkripsi dalam penyimpanan dan enkripsi dalam pengiriman yang tervalidasi dengan FIPS-140.
  4. Menerapkan kontrol akses yang memerlukan DoD IL4 dan IL5 untuk personel yang berpotensi mengakses data pelanggan.
  5. Membatasi developer untuk hanya menggunakan produk dan layanan yang mematuhi DoD IL4 dan IL5.
  6. Segmentasi logis dalam cakupan batasan kepatuhan untuk mendukung persyaratan DoD IL4 dan IL5.

Google Cloud dan U-NNPI

Naval Nuclear Propulsion Program, yang dibuat berdasarkan Executive Order 12344, adalah organisasi gabungan Departemen Energi dan Departemen Angkatan Laut yang mengawasi semua aspek propulsi nuklir angkatan laut. Program ini terdiri dari personel militer dan sipil yang mendesain, membangun, mengoperasikan, memelihara, dan mengelola kapal bertenaga nuklir Angkatan Laut AS serta berbagai fasilitas yang mendukung armada angkatan laut bertenaga nuklir.

Naval Reactors Program Cloud Authorization Framework yang dipublikasikan pada Mei 2019 (NR Framework) memberikan panduan bagi organisasi yang ingin mendapatkan otorisasi sistem berbasis cloud yang ditujukan untuk menyimpan atau memproses Naval Nuclear Propulsion Information (NNPI). Tabel 7-2 dalam Framework NR menguraikan 17 kontrol keamanan NNPI Tidak Terklasifikasi (U-NNPI) tambahan yang bukan bagian dari dasar pengukuran kontrol DoD IL5. Kontrol ini harus dinilai untuk sistem berbasis cloud yang memproses U-NNPI.

Organisasi penilaian pihak ketiga terakreditasi (3PAO) telah memeriksa bukti kontrol Google Cloud untuk ke-17 kontrol keamanan U-NNPI dan memverifikasi melalui surat pengesahan bahwa Google Cloud memenuhi semua persyaratan kontrol keamanan U-NNPI.

Google Cloud dapat membantu Anda memenuhi persyaratan kepatuhan U-NNPI dalam kondisi berikut:

  • Anda harus menghubungi Naval Reactors (Naval Nuclear Propulsion Program) untuk mendapatkan otorisasi sebelum menyimpan atau memproses U-NNPI di Google Cloud.
  • Anda harus menggunakan Batas Data Assured Workloads untuk DoD IL5 guna membatasi potensi akses U-NNPI dalam skenario dukungan yang dimulai pelanggan ke personel Google yang merupakan orang AS yang berlokasi di Amerika Serikat dan telah menyelesaikan pemeriksaan latar belakang yang ditingkatkan.

NNPI dikategorikan sebagai CUI. Selain itu, Tabel 1 dan Lampiran 1 dalam OPNAVINST N9210.3 Safeguarding of Naval Nuclear Propulsion Information (NNPI) tanggal 7 Juni 2010 memberikan tingkat klasifikasi dan kontrol penanganan yang berbeda untuk NNPI, termasuk persyaratan akses untuk U-NNPI.

U-NNPI yang ditandai dan ditangani sebagai Not Releasable to Foreign Nationals (NOFORN), memiliki batasan akses berikut:

  • Kewarganegaraan AS
  • Perlu mengetahui (NTK)

Anda bertanggung jawab untuk memastikan bahwa hanya warga negara AS yang perlu mengetahui yang memiliki akses ke U-NNPI yang disimpan atau diproses di layanan Google Cloud Anda. Karyawan Google tidak mengakses Data Pelanggan IL5 Anda dan kunci enkripsi sepenuhnya berada di bawah kendali Anda.

Google Distributed Cloud dengan air gap dan GDCH Appliance serta IL6 DoD

Penetapan IL6 berlaku untuk penyimpanan dan pemrosesan informasi yang diklasifikasikan hingga tingkat RAHASIA Pemerintah AS.

Untuk mendukung persyaratan DoD IL6, Google menyediakan Google Distributed Cloud air-gapped dan Google Distributed Cloud air-gapped appliance, yang memungkinkan Anda menghosting, mengontrol, dan mengelola infrastruktur dan layanan secara langsung di infrastruktur Anda. Kedua opsi ini tidak memerlukan konektivitas ke Google Cloud dan keduanya dikirimkan dengan aman ke infrastruktur Anda. Google Distributed air-gapped adalah solusi berbasis rak, sedangkan Google Distributed air-gapped appliance adalah perangkat portabel dan mandiri.

Google Distributed Cloud air-gapped dan appliance mempertahankan PA DoD IL6 pada kategorisasi informasi kerahasiaan tinggi, integritas tinggi, dan ketersediaan yang ditentukan pelanggan (H-H-x) per CNSSI 1253. Keduanya memungkinkan konektivitas langsung ke Secret Internet Protocol Router Network (SIPRNet) DoD. Konektivitas apa pun di luar koneksi SIPRNet harus disetujui oleh pejabat pemberi otorisasi cloud DoD. Anda dapat menghubungi DISA untuk mendapatkan informasi selengkapnya tentang Google Distributed Cloud air-gapped dan appliance PA DoD IL6, termasuk layanan cloud dalam cakupan audit DoD IL6.

Google Workspace dan IL2 DoD serta IL4 DoD

Edisi Google Workspace Enterprise Plus mendukung workload DoD IL2 dan telah mencapai PA DoD IL4. Anda harus menggunakan Assured Controls Plus jika ingin men-deploy Google Workspace untuk solusi produktivitas dan kolaborasi yang memerlukan kepatuhan terhadap DoD IL4.

Google Workspace Enterprise Plus dengan Assured Controls Plus mencakup kontrol keamanan bawaan dan set fitur untuk membantu Anda memenuhi persyaratan kepatuhan DoD IL4 dan mendapatkan Authority to Operate (ATO) Anda sendiri. Fitur utama Google Workspace yang mendukung kepatuhan DoD IL4 meliputi:

  • Kemampuan untuk membatasi data hanya untuk region Amerika Serikat menggunakan region data.
  • Kemampuan untuk membatasi tindakan dukungan staf Google hanya untuk Orang Amerika Serikat menggunakan Pengelolaan Akses Assured Controls.
  • Enkripsi data tingkat lanjut saat dalam penyimpanan dan dalam pengiriman guna memenuhi kebutuhan enkripsi untuk data sensitif. Pelajari lebih lanjut melalui makalah enkripsi Google Workspace kami.
  • Pusat keamanan Google Workspace yang menyediakan analisis dan informasi keamanan tingkat lanjut, hingga isu keamanan yang memengaruhi domain Anda.

Jika Anda adalah pelanggan DoD, Anda dapat mengakses dokumentasi Google Workspace DoD IL4 melalui eMASS atau Anda dapat memintanya dari relasi DISA Anda. Google tidak dapat menyediakan dokumentasi ini langsung kepada pelanggan.

FAQ

Salah satu manfaat menggunakan Google Cloud untuk workload di sektor pemerintah adalah bahwa sejumlah kontrol yang diperlukan telah ditangani oleh infrastruktur dasar dan Assured Workloads kami. Jadi, saat Anda mengirimkan paket IL4 atau IL5 untuk diotorisasi, Anda juga akan menyertakan SSP Google, yang menjelaskan kontrol yang diwarisi dari Google. Hubungi tim penjualan Google Anda untuk mendapatkan informasi selengkapnya.

Google Cloud memungkinkan Anda memanfaatkan kemampuan enkripsi yang sudah ada pada produk yang diotorisasi untuk data terkait, baik untuk enkripsi dalam penyimpanan dan enkripsi dalam pengiriman, dengan melakukan sedikit tindakan atau tanpa tindakan sama sekali pada kebanyakan kasus. Baik sistem maupun jaringan penyimpanan Google Cloud memiliki PA IL4 dan IL5, yang mengurangi tanggung jawab yang harus Anda kelola.

Data yang tersimpan dalam keadaan nonaktif di sistem yang diotorisasi telah dienkripsi secara otomatis menggunakan enkripsi yang tervalidasi FIPS 140. Kunci enkripsi yang digunakan dalam sistem ini juga disimpan dan dilindungi berdasarkan NIST 800-57 dan diamankan dalam sistem KMS eksklusif milik Google. Anda dapat mengontrol sistem ini melalui Cloud KMS.

Transmisi data dalam VPC Google Cloud juga diotorisasi pada IL4 dan IL5 serta dienkripsi secara otomatis. Anda tidak perlu melakukan tindakan lebih lanjut untuk koneksi di dalam VPC.

Di lapisan aplikasi, Anda dapat memilih Transport Layer Security (TLS) 1.2 atau yang lebih baru untuk enkripsi data dalam pengiriman. Endpoint layanan mendukung TLS untuk membuat koneksi HTTPS yang aman saat melakukan panggilan API.

Google adalah penyedia cloud hyperscale pertama yang memperoleh otorisasi sementara IL4 dan IL5 untuk penawaran layanan cloud publik, dan merupakan salah satu penyedia layanan IL4 dan IL5 terbesar. Google Workspace mempertahankan PA IL4, sedangkan Google Cloud mempertahankan PA IL4 dan IL5 untuk penawaran layanan cloud publik mereka.

Google mengandalkan cloud komunitas yang software-defined, yakni pendekatan untuk memisahkan workload yang sensitif terhadap keamanan dan kepatuhan menggunakan Assured Workloads. Dengan cloud komunitas yang software-defined, Anda dapat memanfaatkan infrastruktur cloud yang efisien yang disediakan oleh Google Cloud untuk membantu Anda memenuhi persyaratan kepatuhan keamanan yang ketat. Saat menggunakan cloud komunitas software-defined yang di-deploy pada infrastruktur cloud publik Google yang ada, Anda tidak perlu mengelola dan memelihara instance infrastruktur cloud terpisah.

Dengan menggunakan penawaran layanan cloud publik hyperscale Google, seperti Google Cloud dan Google Workspace, DoD mendapatkan manfaat dari inovasi cloud terbaru seperti kecerdasan buatan, machine learning, dan lainnya. Selain itu, cloud publik hyperscale menyediakan kapasitas untuk redundansi failover dan fleksibilitas dengan perencanaan ketahanan global.

Layanan yang termasuk dalam cakupan

Layanan Google Cloud dan Google Workspace yang termasuk dalam cakupan IL4/5 tercantum dalam Cakupan kepatuhan FedRAMP dan DoD.

Langkah selanjutnya

Mulailah membangun solusi di Google Cloud dengan kredit gratis senilai $300 dan lebih dari 20 produk yang selalu gratis.

Google Cloud
DokumenDukungan
Konsol
Login
Security
Kecerdasan AncamanSecOpsKeamanan cloudKonsultasiResource keamanan
  • Percepat transformasi digital Anda
  • Google Cloud dapat membantu mengatasi tantangan terberat Anda, baik saat bisnis Anda baru memulai transformasi digital atau sudah di tingkat lanjut.
  • Produk Google Cloud
  • Lihat lebih dari 100 produk. Pelanggan baru akan mendapatkan kredit gratis senilai $300 untuk menjalankan, menguji, dan men-deploy workload. Semua pelanggan dapat menggunakan 25 lebih produk secara gratis, hingga batas penggunaan bulanan yang berlaku.
  • Hemat uang dengan pendekatan transparan kami soal harga
  • Harga bayar sesuai penggunaan dari Google Cloud menawarkan penghematan otomatis berdasarkan penggunaan bulanan dan tarif diskon untuk resource prabayar. Hubungi kami sekarang untuk mendapatkan penawaran harga.
Google Cloud