Ir para

Autorização provisória da U.S. Defense Information Systems Agency (Agência de Sistemas de Informação de Defesa dos EUA)

A Agência de Sistemas de Proteção de Informações dos EUA (DISA, na sigla em inglês) gerencia a avaliação e a autorização dos serviços de nuvem para o Departamento de Defesa dos EUA (DoD, na sigla em inglês). O suporte de serviços do Cloud da DISA concedeu ao Google Cloud uma autorização provisória (PA, na sigla em inglês) de nível 5 de impacto do DoD (IL5). Uma autorização IL5 permite o processamento e o armazenamento de informações não classificadas controladas e de informações do sistema de segurança nacional (NSS) usando produtos específicos do Google Cloud.

As PAs DISA IL2, IL4 e IL5 do Google Cloud exigem que os clientes usem o Assured Workloads e o Suporte Premium. A PA DISA IL4 do Google Workspace exige que os clientes usem o Assured Controls e o Suporte Assured. Para mais informações sobre o processo de configuração, entre em contato com nossa equipe de vendas.

Conformidade do Google Cloud com a DISA IL

A DISA é uma agência do DoD responsável por desenvolver e manter o Guia de requisitos de segurança de computação em nuvem (SRG, na sigla em inglês) do DoD. O SRG do Cloud Computing define os requisitos de segurança básicos usados pelo DoD para avaliar a postura de segurança de uma oferta de serviços em nuvem (CSO), apoiando a decisão de conceder um DoD PA que permita que um provedor de serviços em nuvem (CSP) para hospedar missões de DoD. Ele incorpora, substitui e rescinde o Modelo de segurança na nuvem (CSM, na sigla em inglês) publicado anteriormente e é mapeado para o Framework de gerenciamento de risco de DoD (RMF).

A DISA orienta as agências e os departamentos do Departamento de Defesa no planejamento e autorização do uso de uma CSO. Ele também avalia a conformidade dos CSOs com o SRG, um processo de autorização em que as CSPs podem fornecer documentação descrevendo sua conformidade com os padrões do Departamento de Defesa. Ele emite PAs do DoD quando apropriado. Assim, as agências e as organizações de suporte do DoD podem usar os serviços em nuvem sem precisar passar por um processo de aprovação completo por conta própria, economizando tempo e esforço.

Em 2022, o Google Cloud recebeu uma autoridade provisória de IL5, sendo um dos primeiros hiperescaladores a receber aprovação da DISA para uma nuvem da comunidade definida por software. Uma abordagem de isolamento definido por software significa mais flexibilidade do que nuvens governamentais tradicionais em termos de implantação, escalonabilidade e custo da região.

Solicitações de pacote ILx: os pacotes DoD ILx são baseados em pacotes FedRAMP High com outros controles específicos do DoD. Os pacotes ILx não estão autorizados a ser compartilhados pelo Google e precisam ser fornecidos pela DISA a quaisquer outras partes. Se uma entidade governamental estiver buscando detalhes sobre o pacote DoD PA acima do que está coberto pelo pacote P-ATO do FedRAMP, ela pode entrar em contato com a Divisão de Avaliação de Nuvem em: DISA Ft Meade RE Equipe do Cloud Mailbox: disa.meade.re.mbx.cloud-team@mail.mil

Google Cloud e IL2

Os dados de IL2 incluem informações não controladas e não classificadas, que são todos os dados limpos para lançamento público e algumas informações não classificadas de baixa confidencialidade que não são designadas como informações não classificadas controladas (CUI). Esse nível de impacto comporta a categorização que não é do CUI com base em CNSSI 1253 Categorização de segurança e seleção de controle para sistemas de segurança nacional até o nível baixo confidencialidade e integridade moderada (LMx, na sigla em inglês).

A nota do Departamento de Educação de 15 de dezembro de 2014 sobre as Diretrizes atualizadas sobre a aquisição e o uso de serviços comerciais de computação em nuvem afirma que: "O FedRAMP vai servir como valor de referência de segurança mínimo para todos os serviços de nuvem do DoD." O SRG usa o valor de referência moderado do FedRAMP como todas as informações de IL e considera o valor de referência alto em algum nível.

A Seção 5.1.1, Uso do DoD dos Controles de segurança do FedRAMP do SRG do Cloud Computing descreve que as informações do IL2 podem ser hospedadas em um CSO que mantém minimamente uma autorização provisória de FedRAMP de nível médio ou alto. Apenas os controles com valor de referência moderado ou alto do FedRAMP serão avaliados para PAs DoD IL2. Para uma PA IL2, o DoD permite a reciprocidade total com autorização provisória de operação (P-ATO, na sigla em inglês) de FedRAMP de nível médio ou alto emitida pelo Conselho de Autorização Conjunta do FedRAMP (JAB, na sigla em inglês). Para saber mais sobre a conformidade do Google Cloud com o FedRAMP, consulte nossa página do FedRAMP

Como hospedar cargas de trabalho IL4 ou IL5 no Google Cloud

As cargas de trabalho IL4 e IL5 são implantáveis por meio do Assured Workloads, que permite controles de segurança que atendem a requisitos de suporte e residência de dados aprimorados. O Assured Workloads também aplica proteções para desenvolvedores que ajudam organizações grandes a manter a conformidade. 

Depois que você selecionar os serviços autorizados do IL4 ou IL5, o Google vai ajudar você a configurar sua solução com guias de configuração específicos do serviço ou o engajamento direto com especialistas em IL4 e IL5 na nossa organização de Serviços Profissionais. Além disso, o Google oferece aos clientes um Guia de implantação do IL4 Springboard com código do Terraform.

Os clientes que querem implantar soluções usando o Google Cloud nos ambientes IL4 e IL5 precisam usar o Assured Workloads. O Assured Workloads permite que os clientes protejam e configurem cargas de trabalho confidenciais com segurança para atender aos requisitos de conformidade e segurança usando os serviços do Google Cloud. O Assured Workloads não depende de uma infraestrutura física diferente dos data centers de nuvem pública. Em vez disso, ele oferece uma nuvem de comunidade definida por software que oferece vantagens de custo, velocidade e inovação. 

Os serviços autorizados pelo IL4 e IL5, disponibilizados por meio do Assured Workloads implementam controles de segurança IL4 e IL5 e permitem que os clientes para atender aos requisitos da organização de que o aplicativo precisa. O Assured Workloads também oferece visibilidade sobre o estado de compliance das cargas de trabalho IL4 e IL5 usando o Assured Workloads Monitoring. Essa ferramenta pode ajudar você a identificar e corrigir violações de conformidade, além de fornecer atestados de controle aos auditores do seu estado de conformidade.

Além dos controles atendidos pela autoridade provisória de IL5 da infraestrutura do Google Cloud, o Assured Workloads implementa os seguintes controles principais IL4 e IL5 por padrão para clientes que processam dados governamentais IL4 e IL5: 

  1. Definir proteções para restringir a localização dos dados do cliente IL4 e IL5 nos EUA
  2. Restringir a equipe de suporte técnico ao IL4 e a equipes autorizadas IL5 nos EUA
  3. Aplicar o uso de criptografia compatível com FIPS-140-2 em repouso e em trânsito.
  4. Implemente os controles de acesso de pessoal exigidos pelo IL4 e IL5 para aqueles com acesso de rotina aos dados do cliente.
  5. Restrinja os desenvolvedores a usar apenas produtos e serviços em conformidade com IL4 e IL5
  6. Segmentação lógica do limite de conformidade no escopo para oferecer suporte aos requisitos IL4 e IL5

Google Workspace e IL4

A edição Google Workspace Enterprise Plus recebeu a autorização de nível 4 do impacto do Departamento de Defesa do Departamento de Defesa dos EUA. Os clientes que querem implantar o Google Workspace para uma solução de produtividade e colaboração precisam usar o recurso de produto de complemento Assured Controls para que as organizações controlem com precisão o acesso do provedor de serviços de nuvem.

O Google Workspace Enterprise Plus com Assured Controls inclui controles de segurança e conjuntos de recursos integrados que permitem que os clientes do DoD tenham compliance com IL4 e emitam a própria Authority to Opera (ATO, na sigla em inglês). Os principais recursos do Google Workspace compatíveis com a conformidade com o IL4 incluem:

  • Capacidade de restringir dados às regiões dos EUA usando apenas regiões de dados
  • Capacidade de limitar as ações de suporte da equipe do Google a residentes dos EUA usando apenas o Gerenciamento de acesso do Assured Controls
  • Criptografia avançada de dados em repouso e em trânsito para atender às necessidades de criptografia de dados confidenciais. Saiba mais no nosso documento de criptografia do Google Workspace.
  • Central de segurança do Google Workspace que fornece informações e análises avançadas sobre os problemas de segurança que afetam seu domínio. 

Os clientes do Departamento de defesa podem solicitar a documentação do Google Workspace IL4 por meio do eMASS ou do contato da DISA. O Google Workspace não pode fornecer essa documentação diretamente aos clientes.

Serviços no escopo

Agenda

Documentos

Drive

Formulários

Gmail

Google Chat (incluindo os bots do Google Drive e do Meet)

Google Meet

Planilhas

Apresentações

Os clientes podem consultar as diretrizes de implementação para acessar uma lista dos serviços do Workspace aprovados para o IL4. 

Perguntas frequentes

Um dos benefícios de usar o Google Cloud para cargas de trabalho governamentais é que vários controles obrigatórios já são processados pela nossa infraestrutura e pelo Assured Workloads. Assim, ao enviar o pacote IL4 ou IL5 para autorização, você também vai incluir a SSP do Google, que descreve os controles que o Google cuida para você. Entre em contato com sua equipe de vendas para receber uma cópia da SSP do Google Cloud (requer um NDA).

No Google Cloud, os clientes podem aproveitar os recursos de criptografia já presentes nos produtos autorizados para os dados associados, tanto em repouso quanto em uso, com pouca ou nenhuma ação necessária para implementar na maioria casos de uso diferentes. A rede e o sistema de armazenamento do Google Cloud têm uma PA IL4 e IL5, o que reduz a quantidade de responsabilidades que os clientes do Google Cloud precisam gerenciar.

Os dados armazenados em repouso em sistemas autorizados são criptografados automaticamente usando bibliotecas com certificação FIPS 140-2 (ou seja, certificados 3678, 3383 e 3384). As chaves de criptografia usadas nesse sistema também são armazenadas e protegidas de acordo com a NIST 800-57 e mantêm segurança dentro do sistema KMS reservado do Google. Os clientes podem controlar esse sistema pelo Cloud KMS.

A transmissão de dados dentro de uma VPC do Google Cloud também está autorizada nos padrões IL4 e IL5 e é automaticamente protegida com criptografia, autenticação e autorização. Nenhuma outra ação é necessária para conexões dentro de uma VPC. As conexões com as APIs do Google utilizam o TLS 1.2 ou posterior para a criptografia do tráfego. Os clientes são responsáveis por outras conexões dentro e fora do ambiente (na camada 3 ou 7) que passam por recursos controlados pelo cliente (por exemplo, balanceador de carga do Cloud ou Cloud VPN).

O Google é um dos primeiros provedores de nuvem comerciais de hiperescala a alcançar IL4 e IL5 em uma oferta comercial de nuvem pública, além de ser um dos maiores provedores de serviços IL4 e IL5.

  • NIST SP 800-37 Framework de gerenciamento de riscos para sistemas de informação e organizações: uma abordagem do ciclo de vida do sistema para segurança e privacidade
  • NIST SP 800-53 Controles de segurança e privacidade para organizações e sistemas de informação
  • NIST SP 800-59 Diretrizes para identificar um sistema de informações como Sistema de Segurança Nacional
  • NIST SP 800-171 Como proteger informações não classificadas controladas em sistemas e organizações não federais
  • CNSSI 1253 Categorização de segurança e seleção de controle para sistemas de segurança nacional