Autorizzazione provvisoria del Dipartimento della Difesa degli Stati Uniti (DoD)

La DISA (Defense Information Systems Agency) è un ente statunitense che gestisce la valutazione e l'autorizzazione dei servizi cloud per il Dipartimento di difesa (DoD) degli Stati Uniti. La DISA ha concesso a Google Cloud un'autorizzazione provvisoria (PA) del DoD ai livelli di impatto 2 (IL2), 4 (IL4) e 5 (IL5) del DoD. Queste autorizzazioni consentono a Google Cloud di elaborare e archiviare informazioni non classificate controllate (CUI).

I clienti Google Cloud devono utilizzare Data Boundary tramite Assured Workloads e l'Assistenza Avanzata o Premium per gli ambienti che supportano le PA DoD IL2, IL4 o IL5. I clienti di Google Workspace devono utilizzare Assured Controls Plus per gli ambienti che richiedono una PA DoD IL4. Per ulteriori informazioni sul processo di configurazione, contatta il nostro team di vendita.

Google Cloud e conformità IL del Dipartimento della Difesa

DISA è responsabile dello sviluppo e della gestione della DoD Cloud Service Provider (CSP) Security Requirements Guide (SRG) (Guida ai requisiti di sicurezza per i fornitori di servizi cloud (CSP) del Dipartimento della Difesa (DoD)). L'SRG definisce i requisiti di sicurezza di base utilizzati dal Dipartimento della difesa per valutare la security posture di un'offerta di servizi cloud (CSO, cloud service offering), supportando la decisione di concedere un'autorizzazione provvisoria del DoD che consenta a un provider di servizi cloud (CSP, cloud service provider) di ospitare missioni del Dipartimento della Difesa. Si associa al DoD Risk Management Framework (RMF) e incorpora, prevale su e annulla il DoD Cloud Security Model (CSM) pubblicato in precedenza.

DoD IL2, IL4, IL5 e IL6 supportano varie categorizzazioni di dati basate su CNSSI 1253 Security Categorization and Control Selection for National Security Systems. CNSSI 1253 definisce esplicitamente l'associazione di tre possibili livelli di impatto (basso, moderato o alto) con tre obiettivi di sicurezza (riservatezza, integrità e disponibilità). CNSSI 1253 fornisce quindi le baseline di sicurezza appropriate per ciascuna delle possibili categorizzazioni del sistema utilizzando i controlli di NIST SP 800-53. Il proprietario della missione del Dipartimento della Difesa deve affrontare la questione della disponibilità nel contratto.

Nel 2022, Google Cloud ha ricevuto un'autorizzazione provvisoria DoD IL5, diventando così il primo hyperscaler a ricevere un'autorizzazione provvisoria DoD IL5 per un community cloud software-defined. Un approccio di isolamento software-defined offre ai clienti maggiore flessibilità rispetto alle tradizionali architetture cloud fisicamente separate (comunemente denominate cloud governativi) in termini di deployment regionale, disponibilità del servizio, scalabilità e costi.

Richieste di pacchetti DoD ILx: i pacchetti di autorizzazione DoD ILx si basano su pacchetti FedRAMP High con controlli aggiuntivi specifici per DoD. Google non è autorizzato a condividere i pacchetti DoD ILx; devono essere condivisi direttamente da DISA con altre parti. Se sei un ente governativo che cerca dettagli sul pacchetto di autorizzazione provvisoria DoD oltre a quanto coperto dal pacchetto FedRAMP P-ATO, puoi contattare la DISA Cloud Assessment Division.

Per accedere al pacchetto IL dei servizi Google, invia una richiesta tramite il repository di informazioni sulla cybersicurezza e sull'autorizzazione del DoD Enterprise Mission Assurance Support Service (eMASS).

Google Cloud e DoD IL2

I dati DoD IL2 includono tutti i dati cancellati per la release pubblica e alcune informazioni non classificate a bassa riservatezza che non sono designate come CUI. Questo livello di impatto consente una classificazione non-CUI basata su CNSSI 1253 fino a un valore basso di riservatezza, di integrità moderata e di disponibilità definita dal cliente (L-M-x).

Per IL2, il DoD consente la piena reciprocità con l'autorizzazione provvisoria a operare (P-ATO) FedRAMP Moderate o High. Per saperne di più sulla conformità di Google Cloud a FedRAMP, consulta la nostra pagina FedRAMP.

Secondo la DISA, i dati classificati come IL2 sono consentiti solo nei data center statunitensi autorizzati per il CSO. Le località non statunitensi delle regioni autorizzate FedRAMP di Google Cloud non sono incluse nella reciprocità e devono essere esplicitamente autorizzate dal funzionario autorizzatore DISA. I workload DoD IL2 devono essere distribuiti su Google Cloud utilizzando Data Boundary tramite Assured Workloads.

Google Cloud e DoD IL4 e IL5

IL4 e IL5 supportano le categorizzazioni CUI fino a riservatezza moderata, integrità moderata e disponibilità definita dal cliente (M-M-x) in base a CNSSI 1253. Dopo aver selezionato i servizi autorizzati IL4 o IL5, devi eseguirne il deployment utilizzando Data Boundary tramite Assured Workloads.

Assured Workloads offre inoltre visibilità sullo stato di conformità dei workload DoD IL4 e IL5 tramite monitoraggio di Assured Workloads. Questo strumento può aiutarti a individuare e risolvere le violazioni della conformità e a fornire attestati ai revisori della tua conformità ai requisiti di sicurezza IL4 e IL5.

Data Boundary tramite Assured Workloads implementa anche i seguenti controlli chiave DoD IL4 e IL5 per impostazione predefinita per i clienti che gestiscono dati governativi DoD IL4 o IL5:

  1. Imposta sistemi di protezione per limitare la località dei dati DoD IL4 e IL5 agli Stati Uniti.
  2. Limita il personale di assistenza tecnica al personale con assegnazione di livello IL4 e IL5 del Dipartimento della Difesa con sede negli Stati Uniti
  3. Impone l'uso della crittografia FIPS-140 con validazione at-rest e in transito.
  4. Implementa i controlli di accesso richiesti da DoD IL4 e IL5 per il personale con potenziale accesso ai dati dei clienti.
  5. Limita l'utilizzo degli sviluppatori ai soli prodotti e servizi conformi a DoD IL4 e IL5.
  6. Segmenta logicamente il limite di conformità nell'ambito per supportare i requisiti DoD IL4 e IL5.

Google Cloud e U-NNPI

Il Naval Nuclear Propulsion Program, creato ai sensi dell'Executive Order 12344, è un'organizzazione congiunta del Dipartimento dell'Energia e del Dipartimento della Marina che supervisiona tutti gli aspetti della propulsione nucleare navale. Il programma comprende personale militare e civile che progetta, costruisce, gestisce, mantiene e amministra le navi a propulsione nucleare della Marina statunitense e le numerose strutture che supportano la flotta navale a propulsione nucleare.

Il Naval Reactors Program Cloud Authorization Framework pubblicato nel maggio 2019 (NR Framework) fornisce linee guida per le organizzazioni che cercano l'autorizzazione di sistemi basati su cloud destinati ad archiviare o elaborare Naval Nuclear Propulsion Information (NNPI). La tabella 7-2 del framework NR delinea 17 controlli di sicurezza NNPI non classificati (U-NNPI) aggiuntivi che non fanno parte della base di riferimento dei controlli DoD IL5. Questi controlli devono essere valutati per i sistemi basati su cloud che elaborano U-NNPI.

Un'organizzazione di valutazione di terze parti accreditata (3PAO) ha esaminato le prove di controllo di Google Cloud per tutti i 17 controlli di sicurezza U-NNPI e ha verificato, tramite una lettera di attestazione, che Google Cloud soddisfa tutti i requisiti di controllo di sicurezza U-NNPI.

Google Cloud può aiutarti a soddisfare i requisiti di conformità U-NNPI alle seguenti condizioni:

  • Devi contattare Naval Reactors (Naval Nuclear Propulsion Program) per ottenere l'autorizzazione prima di archiviare o elaborare U-NNPI su Google Cloud.
  • Devi utilizzare Assured Workloads Data Boundary for DoD IL5 per limitare il potenziale accesso U-NNPI negli scenari di assistenza avviati dal cliente al personale Google che è un soggetto statunitense con sede negli Stati Uniti e che ha completato i controlli dei precedenti avanzati.

I dati NNPI sono classificati come CUI. Inoltre, la tabella 1 e l'allegato 1 della OPNAVINST N9210.3 Safeguarding of Naval Nuclear Propulsion Information (NNPI) del 7 giugno 2010 forniscono i diversi livelli di classificazione e i controlli di gestione per le NNPI, compresi i requisiti di accesso per le U-NNPI.

U-NNPI, contrassegnato e gestito come Not Releasable to Foreign Nationals (NOFORN), ha le seguenti restrizioni di accesso:

  • Cittadinanza statunitense
  • Necessità di sapere (NTK, Need to know)

È tua responsabilità assicurarti che solo i cittadini statunitensi che hanno bisogno di sapere abbiano accesso ai dati U-NNPI archiviati o elaborati nei tuoi servizi Google Cloud. I dipendenti di Google non accedono ai tuoi dati cliente IL5 e le chiavi di crittografia sono esclusivamente sotto il tuo controllo.

Google Distributed Cloud con air gap e appliance e DoD IL6

La designazione IL6 si applica all'archiviazione e all'elaborazione di informazioni classificate fino al livello SECRET del governo statunitense.

Per supportare i requisiti IL6 del Dipartimento della Difesa, Google fornisce Google Distributed Cloud con air gap e l'appliance Google Distributed Cloud con air gap, che ti consentono di ospitare, controllare e gestire l'infrastruttura e i servizi direttamente presso la tua sede. Nessuna delle due opzioni richiede la connettività a Google Cloud ed entrambe vengono fornite in modo sicuro presso la tua sede. Google Distributed Cloud con air gap è una soluzione basata su rack, mentre l'appliance Google Distributed Cloud con air gap è un dispositivo portatile e autonomo.

Google Distributed Cloud con air gap e appliance mantengono una PA (autorizzazione provvisoria) DoD IL6 con categorizzazione delle informazioni ad alta riservatezza, alta integrità e disponibilità definita dal cliente (H-H-x) per CNSSI 1253. Entrambi consentono la connettività diretta alla rete SIPRNet (Secret Internet Protocol Router Network) del Dipartimento della Difesa. Qualsiasi connettività oltre le connessioni SIPRNet deve essere approvata dal funzionario autorizzatore del cloud del Dipartimento della Difesa. Puoi contattare la DISA per ulteriori informazioni sull'autorizzazione provvisoria DoD IL6 per Google Distributed Cloud air-gapped e appliance, inclusi i servizi cloud nell'ambito di audit DoD IL6.

Google Workspace e DoD IL2 e DoD IL4

L'edizione Google Workspace Enterprise Plus supporta i workload DoD IL2 e ha ottenuto una PA (autorizzazione provvisoria) DoD IL4. Devi utilizzare Assured Controls Plus se vuoi eseguire il deployment di Google Workspace per una soluzione di produttività e collaborazione che richiede la conformità a DoD IL4.

Google Workspace Enterprise Plus con Assured Controls Plus include controlli di sicurezza e set di funzionalità integrati per aiutarti a soddisfare i requisiti di conformità DoD IL4 e ottenere la tua Authority to Operate (ATO). Le principali funzionalità di Google Workspace che supportano la conformità IL4 DOD includono:

  • La possibilità di limitare i dati alle regioni degli Stati Uniti solo utilizzando le regioni di dati.
  • La possibilità di limitare le azioni dell'assistenza del personale Google ai soli soggetti statunitensi utilizzando Assured Controls Access Management.
  • Crittografia avanzata dei dati inattivi e at-rest per soddisfare le esigenze di crittografia dei dati sensibili. Scopri di più nel nostro articolo sulla crittografia di Google Workspace.
  • Centro sicurezza di Google Workspace, che fornisce informazioni e dati analitici avanzati sulla sicurezza per i problemi di sicurezza che interessano il dominio.

Se sei un cliente del Dipartimento della Difesa, puoi accedere alla documentazione IL4 di Google Workspace DoD tramite eMASS o puoi richiederla al tuo referente DISA. Google non può fornire questa documentazione direttamente ai clienti.

Domande frequenti

Uno dei vantaggi dell'utilizzo di Google Cloud per i carichi di lavoro governativi è che vengono già gestiti una serie di controlli obbligatori dalla nostra infrastruttura sottostante e da Assured Workloads. Di conseguenza, quando invii il tuo pacchetto IL4 o IL5 per l'autorizzazione, includi anche l'SSP di Google, che delinea i controlli ereditati da Google. Per saperne di più, contatta il team di vendita Google.

Google Cloud consente di sfruttare le funzionalità di crittografia già presenti nei prodotti autorizzati per i dati associati, sia at rest che in transito, con una minima o nessuna azione richiesta per l'implementazione nella maggior parte casi specifici. La rete e il sistema di archiviazione di Google Cloud comprendono entrambi PA (autorizzazione provvisoria) IL4 e IL5, il che riduce la quantità di responsabilità che devi gestire.

I dati at rest archiviati nei sistemi autorizzati vengono criptati automaticamente mediante la crittografia convalidata FIPS 140. Le chiavi di crittografia utilizzate in questo sistema sono archiviate e protette in conformità allo standard NIST 800-57 e conservate in modo sicuro all'interno del sistema KMS proprietario di Google. Puoi controllare questo sistema tramite Cloud KMS.

Anche la trasmissione dei dati all'interno di un VPC di Google Cloud è autorizzata per IL4 e IL5 ed è criptata automaticamente. Non sono necessarie ulteriori azioni per le connessioni all'interno di un VPC.

A livello di applicazione, puoi selezionare Transport Layer Security (TLS) 1.2 o versioni successive per la crittografia dei dati in transito. Gli endpoint di servizio supportano TLS per creare una connessione HTTPS sicura quando si effettuano chiamate API.

Google è stato il primo provider di cloud hyperscale a ottenere le autorizzazioni provvisorie IL4 e IL5 per un'offerta di servizi cloud pubblici ed è uno dei maggiori provider di servizi IL4 e IL5. Google Workspace mantiene una PA IL4, mentre Google Cloud mantiene PA IL4 e IL5 per le sue offerte di servizi cloud pubblici.

Google si affida a un cloud di community software-defined, un approccio per isolare i workload sensibili alla sicurezza e alla conformità utilizzando Assured Workloads. Il cloud di comunità software-defined consente di sfruttare l'efficiente infrastruttura cloud che Google Cloud fornisce per aiutarti a soddisfare i rigorosi requisiti di conformità alla sicurezza. Quando utilizzi un cloud di comunità software-defined distribuito sull'infrastruttura cloud pubblica Google esistente, non devi gestire e mantenere istanze di infrastruttura cloud separate.

Utilizzando le offerte di servizi cloud pubblici iperscalabili di Google, come Google Cloud e Google Workspace, il Dipartimento della Difesa beneficia delle ultime innovazioni cloud come l'intelligenza artificiale, il machine learning e altre ancora. Inoltre, un cloud pubblico iperscalabile fornisce capacità per la ridondanza di failover e flessibilità con la pianificazione della resilienza globale.

Servizi inclusi nell'ambito

I servizi Google Cloud e Google Workspace inclusi nell'ambito di IL4/5 sono elencati in Ambito di conformità FedRAMP e DoD.

Fai un passo avanti

Inizia a creare su Google Cloud con 300 $ di crediti senza costi e oltre 20 prodotti Always Free.

Google Cloud
DocumentiAssistenza
Console
Accedi
Security
Threat intelligenceSecOpsSicurezza del cloudConsulenzaRisorse per la sicurezza
  • Accelera la tua trasformazione digitale
  • Sia che la tua azienda sia all'inizio o a buon punto del suo percorso verso la trasformazione digitale, Google Cloud può aiutarti a risolvere le sfide più difficili.
  • Prodotti Google Cloud
  • Scopri oltre 100 prodotti. I nuovi clienti ricevono 300 $ di crediti gratuiti per l'esecuzione, il test e il deployment dei workload. Tutti i clienti hanno a disposizione oltre 25 prodotti gratuitamente, entro i limiti di utilizzo mensili.
  • Risparmia con il nostro approccio trasparente ai prezzi
  • Il pagamento a consumo di Google Cloud offre risparmi automatici in base all'utilizzo mensile e alle tariffe scontate per risorse prepagate. Contattaci oggi per richiedere un preventivo.
Google Cloud