Otorisasi Sementara Defense Information Systems Agency (DISA) Amerika Serikat

DISA adalah lembaga pemerintah di bawah naungan Departemen Pertahanan AS (DoD) yang bertanggung jawab untuk mengembangkan dan mempertahankan DoD Cloud Computing Security Requirements Guide (SRG). Cloud Computing SRG menentukan persyaratan dasar pengukuran keamanan yang digunakan oleh DoD untuk menilai postur keamanan dari penawaran layanan cloud (CSO), yang mendukung keputusan untuk memberikan otorisasi sementara DoD yang memungkinkan penyedia layanan cloud (CSP) menghosting misi DoD. Pedoman ini menggabungkan, menggantikan, dan membatalkan Model Keamanan Cloud (CSM) DoD yang telah dipublikasikan sebelumnya, dan memetakan DoD Risk Management Framework (RMF).

DISA memandu departemen dan lembaga pemerintah di bawah naungan DoD dalam merencanakan dan melakukan otorisasi penggunaan CSO. DISA juga mengevaluasi kepatuhan CSO terhadap SRG — proses otorisasi yang memungkinkan CSP untuk memberikan dokumentasi yang menjelaskan kepatuhan mereka terhadap standar DoD. DISA menerbitkan otorisasi sementara DoD jika diperlukan, jadi lembaga pemerintah di bawah naungan DoD dan organisasi pendukungnya dapat menggunakan layanan cloud tanpa perlu melewati proses persetujuan penuh sendiri, sehingga menghemat waktu dan tenaga.

Pada tahun 2022, Google Cloud mendapatkan otorisasi sementara IL5, sehingga menjadikannya salah satu layanan penyedia hyperscale pertama yang menerima persetujuan DISA untuk cloud komunitas yang software-defined. Pendekatan isolasi software-defined memberikan fleksibilitas yang lebih baik daripada cloud pemerintah tradisional dalam hal deployment region, skalabilitas, dan biaya.

Permintaan Paket ILx Paket ILx DoD didasarkan pada paket FedRAMP High dengan kontrol khusus DoD tambahan. Paket ILx tidak diizinkan untuk dibagikan oleh Google, dan harus disediakan oleh DISA kepada pihak lain. Jika suatu entitas pemerintah mencari informasi tentang paket PA DoD di luar yang tercakup dalam paket P-ATO FedRAMP, mereka dapat menghubungi Cloud Assessment Division di: DISA Ft Meade RE Mailbox Cloud Team: disa.meade.re.mbx.cloud-team@mail.mil

Data IL2 termasuk informasi yang tidak terkontrol dan bersifat tidak rahasia, yaitu semua data yang telah dibuka untuk rilis publik dan beberapa informasi yang bersifat tidak rahasia dengan tingkat kerahasiaan rendah yang tidak ditetapkan sebagai informasi yang terkontrol dan bersifat tidak rahasia (CUI). Tingkat dampak ini mengakomodasi kategorisasi non-CUI berdasarkan CNSSI 1253 Security Categorization and Control Selection for National Security Systems hingga tingkat kerahasiaan rendah dan integritas sedang (L-M-x).

Memo tanggal 15 Desember 2014 dari CIO DoD mengenai Updated Guidance on the Acquisition and Use of Commercial Cloud Computing Services menyatakan bahwa, “FedRAMP akan berfungsi sebagai dasar pengukuran keamanan minimum untuk semua layanan cloud DoD”. SRG menggunakan dasar pengukuran FedRAMP Moderate sebagai IL semua informasi dan mempertimbangkan dasar pengukuran FedRAMP High pada beberapa kasus.

Pasal 5.1.1, DoD use of FedRAMP Security Controls, pada Cloud Computing SRG menguraikan bahwa informasi IL2 dapat dihosting oleh CSO yang minimal memiliki otorisasi sementara FedRAMP Moderate atau High. Hanya kontrol dasar pengukuran FedRAMP Moderate atau High yang akan dinilai untuk otorisasi sementara IL2 DoD. Untuk otorisasi sementara IL2, DoD mengizinkan timbal balik penuh dengan otorisasi untuk beroperasi sementara (P-ATO) FedRAMP Moderate atau High yang diterbitkan oleh Dewan Otorisasi Bersama (JAB) FedRAMP. Untuk mempelajari lebih lanjut Kepatuhan Google Cloud terhadap FedRAMP, lihat halaman FedRAMP kami. 

Workload IL4 dan IL5 dapat di-deploy melalui Assured Workloads, yang mengaktifkan kontrol keamanan yang memenuhi persyaratan residensi data dan dukungan yang ditingkatkan. Assured Workloads juga menerapkan batasan developer yang membantu organisasi besar untuk menjaga kepatuhan. 

Setelah Anda memilih layanan dengan otorisasi IL4 atau IL5, Google akan membantu mengonfigurasi solusi Anda melalui panduan konfigurasi khusus layanan atau interaksi langsung dengan pakar IL4 dan IL5 di organisasi Layanan Profesional kami. Selain itu, Google juga menyediakan IL4 Springboard Deployment guide dengan kode Terraform untuk pelanggan.

Pelanggan yang ingin men-deploy solusi mereka menggunakan Google Cloud di lingkungan IL4 dan IL5 harus menggunakan Assured Workloads. Dengan Assured Workloads, pelanggan dapat dengan yakin mengamankan dan mengonfigurasi workload yang sensitif guna mendukung persyaratan kepatuhan dan keamanan untuk menggunakan layanan Google Cloud. Assured Workloads tidak mengandalkan infrastruktur fisik yang berbeda dari pusat data cloud publiknya. Sebagai gantinya, produk ini menghadirkan Cloud Komunitas yang Software-Defined yang menawarkan keuntungan dari segi biaya, kecepatan, dan inovasi. 

Layanan dengan otorisasi IL4 dan IL5 tersedia melalui Assured Workloads yang menerapkan kontrol keamanan IL4 dan IL5 dan memungkinkan pelanggan menggunakan kemampuan Google Cloud untuk memenuhi kebutuhan organisasi mereka. Assured Workloads juga menyediakan visibilitas terhadap status kepatuhan workload IL4 dan IL5 melalui Assured Workloads Monitoring. Alat ini dapat membantu Anda menemukan dan memperbaiki pelanggaran terhadap kepatuhan, serta menyediakan pengesahan kontrol kepada auditor atas status kepatuhan Anda.

Selain kontrol yang dipenuhi oleh infrastruktur Google Cloud dengan otorisasi sementara IL5, Assured Workloads juga menerapkan kontrol kunci IL4 dan IL5 berikut secara default untuk pelanggan yang menangani data pemerintah dengan IL4 dan IL5: 

1. Menetapkan batasan lokasi data pelanggan IL4 dan IL5 hanya untuk Amerika Serikat.
2. Membatasi staf dukungan teknis hanya untuk personel yang ditentukan oleh IL4 dan IL5 dan berlokasi di Amerika Serikat.
3. Menerapkan penggunaan enkripsi dalam penyimpanan dan enkripsi dalam pengiriman yang sesuai dengan FIPS-140-2.
4. Menerapkan kontrol akses personel yang disyaratkan IL4 dan IL5 untuk personel dengan akses rutin ke data pelanggan.
5. Membatasi developer untuk hanya menggunakan produk dan layanan yang mematuhi IL4 dan IL5.
6. Segmentasi logis dalam cakupan batasan kepatuhan untuk mendukung persyaratan IL4 dan IL5.

Edisi Google Workspace Enterprise Plus telah memperoleh otorisasi Impact Level 4 dari Departemen Pertahanan Amerika Serikat. Pelanggan yang ingin men-deploy Google Workspace untuk solusi produktivitas dan kolaborasi mereka sebaiknya menggunakan fitur produk add-on Assured Controls, yang akan memungkinkan organisasi untuk mengontrol secara akurat akses penyedia layanan cloud.

Google Workspace Enterprise Plus dengan Assured Controls mencakup kontrol keamanan bawaan dan set fitur yang memungkinkan pelanggan DoD mencapai kepatuhan IL4 dan menerbitkan Authority to Operate (ATO) mereka sendiri. Fitur utama Google Workspace yang mendukung kepatuhan IL4 meliputi:

• Kemampuan untuk membatasi data hanya untuk region Amerika Serikat menggunakan region data
• Kemampuan untuk membatasi tindakan dukungan staf Google hanya untuk Orang Amerika Serikat menggunakan Pengelolaan Akses Assured Controls
• Enkripsi data tingkat lanjut saat dalam penyimpanan dan dalam pengiriman guna memenuhi kebutuhan enkripsi untuk data sensitif. Pelajari lebih lanjut melalui makalah enkripsi Google Workspace kami.
• Pusat keamanan Google Workspace yang menyediakan analisis dan informasi keamanan tingkat lanjut, hingga isu keamanan yang memengaruhi domain Anda. 

Pelanggan Departemen Pertahanan dapat meminta dokumentasi IL4 Google Workspace melalui eMASS atau relasi DISA mereka. Perlu diperhatikan bahwa Google Workspace tidak dapat menyediakan dokumentasi ini langsung kepada pelanggan.

• Ringkasan Assured Workloads
• Pedoman dan Terraform untuk Men-deploy Lingkungan Assured Workloads yang Sesuai dengan IL4
• Framework Pengamanan Cyber NIST dan Google Cloud
• Panduan Deployment Google Cloud
• Model Keamanan Google Cloud
• DoD Instruction 8510.01 DoD Risk Management Framework (RMF) for DoD Information Technology (IT)

• Registry informasi yang terkontrol dan bersifat tidak rahasia (CUI) serta daftar kategori CUI

• NIST SP 800-37 Risk Management Framework for Information Systems and Organizations: A System Life Cycle Approach for Security and Privacy
• NIST SP 800-53 Security and Privacy Controls for Information Systems and Organizations
• NIST SP 800-59 Guideline for Identifying an Information System as a National Security System
• NIST SP 800-171 Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations
• CNSSI 1253 Security Categorization and Control Selection for National Security Systems