A Agência de Sistemas de Proteção de Informações dos EUA (DISA, na sigla em inglês) gerencia a avaliação e a autorização dos serviços de nuvem para o Departamento de Defesa dos EUA (DoD, na sigla em inglês). O suporte de serviços do Cloud da DISA concedeu ao Google Cloud uma autorização provisória (PA, na sigla em inglês) de nível 5 de impacto do DoD (IL5). Uma autorização IL5 permite o processamento e o armazenamento de informações não classificadas controladas e de informações do sistema de segurança nacional (NSS) usando produtos específicos do Google Cloud.
As PAs DISA IL2, IL4 e IL5 do Google Cloud exigem que os clientes usemCargas de trabalho garantidas e também Aprimorado ou PremiumApoiar. A PA DISA IL4 do Google Workspace exige que os clientes usem o Assured Controls e o Suporte Assured. Para mais informações sobre o processo de configuração, entre em contato com nossa equipe de vendas.
A DISA é uma agência do DoD responsável por desenvolver e manter o Guia de requisitos de segurança de computação em nuvem (SRG, na sigla em inglês) do DoD. O SRG do Cloud Computing define os requisitos de segurança básicos usados pelo DoD para avaliar a postura de segurança de uma oferta de serviços em nuvem (CSO), apoiando a decisão de conceder um DoD PA que permita que um provedor de serviços em nuvem (CSP) para hospedar missões de DoD. Ele incorpora, substitui e rescinde o Modelo de segurança na nuvem (CSM, na sigla em inglês) publicado anteriormente e é mapeado para o Framework de gerenciamento de risco de DoD (RMF).
A DISA orienta as agências e os departamentos do Departamento de Defesa no planejamento e autorização do uso de uma CSO. Ele também avalia a conformidade dos CSOs com o SRG, um processo de autorização em que as CSPs podem fornecer documentação descrevendo sua conformidade com os padrões do Departamento de Defesa. Ele emite PAs do DoD quando apropriado. Assim, as agências e as organizações de suporte do DoD podem usar os serviços em nuvem sem precisar passar por um processo de aprovação completo por conta própria, economizando tempo e esforço.
Em 2022, o Google Cloud recebeu uma autoridade provisória de IL5, sendo um dos primeiros hiperescaladores a receber aprovação da DISA para uma nuvem da comunidade definida por software. Uma abordagem de isolamento definido por software significa mais flexibilidade do que nuvens governamentais tradicionais em termos de implantação, escalonabilidade e custo da região.
Solicitações de pacote ILx: os pacotes DoD ILx são baseados em pacotes FedRAMP High com outros controles específicos do DoD. Os pacotes ILx não estão autorizados a ser compartilhados pelo Google e precisam ser fornecidos pela DISA a quaisquer outras partes. Se uma entidade governamental estiver buscando detalhes sobre o pacote DoD PA acima do que está coberto pelo pacote P-ATO do FedRAMP, ela pode entrar em contato com a Divisão de Avaliação de Nuvem em: DISA Ft Meade RE Equipe do Cloud Mailbox: disa.meade.re.mbx.cloud-team@mail.mil
Os dados de IL2 incluem informações não controladas e não classificadas, que são todos os dados limpos para lançamento público e algumas informações não classificadas de baixa confidencialidade que não são designadas como informações não classificadas controladas (CUI). Esse nível de impacto comporta a categorização que não é do CUI com base em CNSSI 1253 Categorização de segurança e seleção de controle para sistemas de segurança nacional até o nível baixo de confidencialidade e integridade moderada (LMx, na sigla em inglês).
A nota do Departamento de Educação de 15 de dezembro de 2014 sobre as Diretrizes atualizadas sobre a aquisição e o uso de serviços comerciais de computação em nuvem afirma que: "O FedRAMP vai servir como valor de referência de segurança mínimo para todos os serviços de nuvem do DoD." O SRG usa o valor de referência moderado do FedRAMP como todas as informações de IL e considera o valor de referência alto em algum nível.
A Seção 5.1.1, Uso do DoD dos Controles de segurança do FedRAMP do SRG do Cloud Computing descreve que as informações do IL2 podem ser hospedadas em um CSO que mantém minimamente uma autorização provisória de FedRAMP de nível médio ou alto. Apenas os controles com valor de referência moderado ou alto do FedRAMP serão avaliados para PAs DoD IL2. Para uma PA IL2, o DoD permite a reciprocidade total com autorização provisória de operação (P-ATO, na sigla em inglês) de FedRAMP de nível médio ou alto emitida pelo Conselho de Autorização Conjunta do FedRAMP (JAB, na sigla em inglês). Para saber mais sobre a conformidade do Google Cloud com o FedRAMP, consulte nossa página do FedRAMP.
As cargas de trabalho IL4 e IL5 são implantáveis por meio do Assured Workloads, que permite controles de segurança que atendem a requisitos de suporte e residência de dados aprimorados. O Assured Workloads também aplica proteções para desenvolvedores que ajudam organizações grandes a manter a conformidade.
Depois que você selecionar os serviços autorizados para IL4 ou IL5, o Google vai ajudar você a configurar sua solução com guias de configuração específicos dos serviços da nossa organização de serviços profissionais. Além disso, o Google oferece aos clientes um Guia de implantação do IL4 Springboard com código do Terraform.
Os clientes que querem implantar soluções usando o Google Cloud nos ambientes IL4 e IL5 precisam usar o Assured Workloads. O Assured Workloads permite que os clientes protejam e configurem cargas de trabalho confidenciais com segurança para atender aos requisitos de conformidade e segurança usando os serviços do Google Cloud. O Assured Workloads não depende de uma infraestrutura física diferente dos data centers de nuvem pública. Em vez disso, ele oferece uma nuvem de comunidade definida por software que oferece vantagens de custo, velocidade e inovação.
Os serviços autorizados pelo IL4 e IL5, disponibilizados por meio do Assured Workloads implementam controles de segurança IL4 e IL5 e permitem que os clientes usem os recursos do Google Cloud para atender aos requisitos da organização. O Assured Workloads também oferece visibilidade sobre o estado de compliance das cargas de trabalho IL4 e IL5 usando o Assured Workloads Monitoring. Essa ferramenta pode ajudar você a identificar e corrigir violações de conformidade, além de fornecer atestados de controle aos auditores do seu estado de conformidade.
Além dos controles atendidos pela autoridade provisória de IL5 da infraestrutura do Google Cloud, o Assured Workloads implementa os seguintes controles principais IL4 e IL5 por padrão para clientes que processam dados governamentais IL4 e IL5:
A edição Google Workspace Enterprise Plus recebeu a autorização de nível 4 do impacto do Departamento de Defesa dos EUA. Os clientes que querem implantar o Google Workspace para uma solução de produtividade e colaboração precisam usar o recurso de produto de complemento Assured Controls para que as organizações controlem com precisão o acesso do provedor de serviços de nuvem.
O Google Workspace Enterprise Plus com Assured Controls inclui controles de segurança e conjuntos de recursos integrados que permitem que os clientes do DoD tenham compliance com IL4 e emitam a própria Authority to Operate (ATO, na sigla em inglês). Os principais recursos do Google Workspace compatíveis com a conformidade com o IL4 incluem:
Os clientes do Departamento de defesa podem solicitar a documentação do Google Workspace IL4 por meio do eMASS ou do contato da DISA. O Google Workspace não pode fornecer essa documentação diretamente aos clientes.
Inventário de recursos do Cloud
Sistema de detecção de intrusões do Cloud (IDS)
Gerenciamento de configurações
Google Kubernetes Engine (GKE)
Gerenciamento de identidade e acesso
Proteção de Dados Sensíveis (incluindo Cloud Data Loss Prevention)
Monitoramento de modelos com a Vertex AI
Notebooks do Vertex AI Workbench gerenciados pelo usuário
Federação de identidade de colaboradores
Consulte nossa página de conformidade com o FedRAMP para ver a lista de serviços no escopo do IL2.
Google Chat (incluindo os bots do Google Drive e do Meet)
Os clientes podem consultar as diretrizes de implementação para acessar uma lista dos serviços do Workspace aprovados para o IL4.
Um dos benefícios de usar o Google Cloud para cargas de trabalho governamentais é que vários controles obrigatórios já são processados pela nossa infraestrutura e pelo Assured Workloads. Assim, ao enviar o pacote IL4 ou IL5 para autorização, você também vai incluir a SSP do Google, que descreve os controles que o Google cuida para você. Entre em contato com sua equipe de vendas para receber uma cópia da SSP do Google Cloud (requer um NDA).
No Google Cloud, os clientes podem aproveitar os recursos de criptografia já presentes nos produtos autorizados para os dados associados, tanto em repouso quanto em uso, com pouca ou nenhuma ação necessária para implementar na maioria casos de uso diferentes. A rede e o sistema de armazenamento do Google Cloud têm uma PA IL4 e IL5, o que reduz a quantidade de responsabilidades que os clientes do Google Cloud precisam gerenciar.
Os dados armazenados em repouso em sistemas autorizados são criptografados automaticamente usando bibliotecas com certificação FIPS 140-2 (ou seja, certificados 3678, 3383 e 3384). As chaves de criptografia usadas nesse sistema também são armazenadas e protegidas de acordo com a NIST 800-57 e mantêm segurança dentro do sistema KMS reservado do Google. Os clientes podem controlar esse sistema pelo Cloud KMS.
A transmissão de dados dentro de uma VPC do Google Cloud tambémestá autorizada nos padrões IL4 e IL5 e é automaticamente protegida com criptografia, autenticação e autorização. Nenhuma outra ação é necessária para conexões dentro de uma VPC. As conexões com as APIs do Google utilizam o TLS 1.2 ou posterior para a criptografia do tráfego. Os clientes são responsáveis por outras conexões dentro e fora do ambiente (na camada 3 ou 7) que passam por recursos controlados pelo cliente (por exemplo, balanceador de carga do Cloud ou Cloud VPN).
O Google é um dos primeiros provedores de nuvem comerciais de hiperescala a alcançar IL4 e IL5 em uma oferta comercial de nuvem pública, além de ser um dos maiores provedores de serviços IL4 e IL5.
Comece a criar no Google Cloud com US$ 300 em créditos e mais de 20 produtos do programa Sempre gratuito.