跳至

美國國防資訊系統局暫時性授權

美國國防資訊系統局 (DISA) 負責管理美國國防部 (DoD) 的雲端服務評估和授權作業。DISA 雲端服務支援團隊授予 Google Cloud「DoD 影響等級 5 (IL5)」暫時性授權 (PA)。在 IL5 授權下,可以使用 Google Cloud 特定產品處理及儲存受管制的未分類資訊和國家安全系統 (NSS) 資訊。

Google Cloud 的 DISA IL2、IL4 和 IL5 PA 規定客戶必須使用 Assured WorkloadsPremium 支援服務。根據 Google Workspace 的 DISA IL4 PA,客戶必須使用安全控管與安全支援。如要進一步瞭解設定程序,請與我們的銷售團隊聯絡。

Google Cloud 的 DISA IL 法規遵循

DISA 是隸屬於 DoD 的機構,負責開發及維護 DoD 雲端運算安全性要求指南 (SRG)。雲端運算 SRG 定義了 DoD 用來評估雲端服務 (CSO) 安全防護機制的基準安全性要求,支援授予 DoD PA,可讓雲端服務供應商 (CSP) 託管 DoD 任務。此 SRG 結合、取代及撤銷先前發布的 DoD 雲端安全性模型 (CSM),並與 DoD 風險管理架構 (RMF) 對應。

DISA 可引導 DoD 機關和部門規劃及授權使用 CSO。也會評估 CSO 是否符合 SRG 規定。在這樣的授權流程中,CSP 可以提供說明文件,概述自身符合 DoD 標準的法規遵循作業。並會在適當的情況下發出 DoD PA,讓 DoD 機構和支援機構可使用雲端服務,不必自行完成全面審核程序,可節省時間和精力。

Google Cloud 在 2022 年獲得 IL5 臨時授權,因此成為最早在軟體定義社群雲端服務方面獲得 DISA 核准的超大規模公司之一。採用軟體定義隔離方法,在區域部署、擴充性和費用方面,比傳統政府雲端更有彈性。

ILx 套件要求:DoD ILx 套件是以 FedRAMP 高等風險套件為基礎,並具有額外的 DoD 專屬控制項。ILx 套件未獲授權,無法由 Google 共用,必須由 DISA 提供給任何其他方。如果政府機關想要瞭解 DoD PA 套件詳細資料,特別是 FedRAMP P-ATO 套件的涵蓋範圍,可以使用下列資訊與雲端評估部門聯絡:DISA Ft Meade RE Mailbox Cloud Team:disa.meade.re.mbx.cloud-team@mail.mil

Google Cloud 和 IL2

IL2 資料包含未控管的未分類資訊以及部分低機密性未分類資訊;前者所有的資料皆獲准供公開發布,而後者是未指定為受控管的未分類資訊 (CUI)。這個影響等級適用於根據 CNSSI 1253「Security Categorization and Control Selection for National Security Systems」(國家安全系統的安全分類和控管選項) 進行的非 CUI 分類,上限最高至低機密性和中等完整性 (L-M-x)。

2014 年 12 月 15 日 DoD 資訊長備忘錄中,於《客戶開發與使用商用雲端運算服務的最新指南》指出「FedRAMP 將成為所有 DoD 雲端服務的最低安全性基準」。SRG 使用 FedRAMP 中等風險基準做為所有資訊 IL,並對某些資訊採用高等風險基準。

第 5.1.1 節在雲端運算 SRG 有關「DoD 使用 FedRAMP 安全性控管機制」部分指出,IL2 資訊可能會託管於至少持有 FedRAMP 中等風險或高等風險暫時性授權的 CSO。只會針對 FedRAMP 中等風險或高等風險基準控制項評估是否符合 DoD IL2 PA。DoD 允許 IL2 PA 與 FedRAMP 中等風險或高等風險暫時性執行授權 (P-ATO) 之間的完全對等性;後者是由 FedRAMP 聯合授權委員會 (JAB) 所核發。如要進一步瞭解 Google Cloud 的 FedRAMP 法規遵循資訊,請參閱我們的 FedRAMP 網頁。 

在 Google Cloud 中託管 IL4 或 IL5 工作負載

IL4 和 IL5 工作負載可透過 Assured Workloads 部署,其中啟用的安全性控管機制符合更嚴苛的資料落地和支援規定。Assured Workloads 也會強制執行開發人員防護機制,協助大型機構遵循法規。

當您選取 IL4 或 IL5 授權的服務之後,可以透過 Google 服務專屬的設定指南,或是直接與我們專業服務團隊的 IL4 和 IL5 專家聯絡,協助您設定解決方案。另外,Google 也為客戶提供 Terraform 程式碼的 IL4 Springboard 部署指南

如果客戶想在 IL4 和 IL5 環境中使用 Google Cloud 部署解決方案,就必須採用 Assured Workloads。Assured Workloads 讓客戶使用 Google Cloud 服務,安心地設定機密工作負載並確保安全性,藉此滿足法規遵循與安全性需求。與公有雲端資料中心不同,Assured Workloads 不採用實體基礎架構。而是提供軟體定義社群雲端,具備成本效益、速度和創新優勢。 

透過 Assured Workloads 提供的 IL4 和 IL5 授權服務會實作 IL4 和 IL5 安全性控管機制,並讓客戶使用 Google Cloud 的功能來滿足機構需求。Assured Workloads 能讓您透過 Assured Workloads 監控,掌握 IL4 和 IL5 工作負載的法規遵循狀態。這項工具可協助貴機構找出並解決違反法規的問題,以及為貴機構的法規遵循狀態稽核人員提供控管認證。

除了 Google Cloud 基礎架構 IL5 臨時授權支援的控管功能之外,Assured Workloads 預設也實作下列重要的 IL4 和 IL5 控管機制,可協助處理 IL4 和 IL5 政府資料的客戶:

  1. 設定防護機制,將 IL4 和 IL5 客戶資料位置限制為美國
  2. 將技術支援人員限縮為美國境內根據 IL4 和 IL5 裁決的人員
  3. 強制使用符合 FIPS-140-2 規範的靜態和傳輸中資料加密。
  4. 針對具備客戶資料常規存取權的人員,導入 IL4 和 IL5 要求的人員存取權控管機制。
  5. 限制開發人員僅使用符合 IL4 和 IL5 標準的產品和服務。
  6. 針對範圍內法規遵循邊界的邏輯區隔,以支援 IL4 和 IL5 規範。

Google Workspace 與 IL4

Google Workspace Enterprise Plus 版本已取得美國國防部 (DoD) 影響等級 4 授權。客戶如果想要為工作效率與協作解決方案部署 Google Workspace,應使用外掛程式產品功能安全控管,讓機構能精確控管雲端服務供應商的存取權。

Google Workspace Enterprise Plus 具備安全控管功能,內建安全性控管機制與功能集,可讓 DoD 客戶符合 IL4 規範,並核發自身的執行授權 (ATO)。支援 IL4 法規遵循的 Google Workspace 主要功能包括:

  • 透過資料地區將資料限制在美國區域
  • 透過安全控管的存取管理功能,限制只有身分是美國自然人的 Google 員工能夠採取支援行動
  • 針對靜態資料和傳輸中資料的進階資料加密,藉此滿足機密資料的加密需求。詳情請參閱 Google Workspace 加密說明文件
  • Google Workspace 安全中心針對影響網域的安全性問題,提供進階安全性資訊和數據分析。

國防部門客戶可透過 eMASS 或 DISA 聯絡人,索取 Google Workspace IL4 說明文件。請注意,Google Workspace 無法直接向客戶提供這份說明文件。

範圍內的服務

常見問題

使用 Google Cloud 處理政府工作負載的其中一項優勢,在於我們的底層基礎架構和 Assured Workloads 已具備多項必要控管機制。因此,當您提交 IL4 或 IL5 套件以取得授權時,您也會加上 Google 的賣方平台,其中概述 Google Cloud 為您提供的控管措施。請與銷售團隊聯絡,索取 Google Cloud 賣方平台的副本 (必須簽署保密協議 (NDA))。

在 Google Cloud 中,客戶能運用已授權產品既有的加密功能處理靜態和使用中的相關資料,大部分情況下幾乎不必採取任何行動就能實作。Google Cloud 的儲存系統和網路都具有 IL4 和 IL5 PA,因此能減少 Google Cloud 客戶需要負擔的管理責任。

使用 FIPS 140-2 認證的程式庫 (即憑證 #3678、#3383、#3384) 會自動加密儲存在授權系統中的靜態資料。系統也會根據 NIST 800-57 的規定儲存及保護這個系統中使用的加密金鑰,並在 Google 的專屬 KMS 系統中維持安全防護機制。客戶可以透過 Cloud KMS 控管這個系統。

Google Cloud 虛擬私有雲中的資料傳輸作業也獲得 IL4 和 IL5 等級的授權,並會自動受到加密、驗證和授權程序的保護。您不必針對虛擬私有雲中的連線採取進一步動作。連至 Google API 的連線會使用 TLS 1.2 以上版本進行流量加密。客戶須負責連入/連出環境 (在第 3 層或第 7 層) 的其他連線,這些連線會經過客戶控管的資源 (例如 Cloud 負載平衡器或 Cloud VPN)。

Google 是最早在商業公有雲服務上符合 IL4 和 IL5 的超大規模商用雲端服務供應商之一,也是現今市場上最大的 IL4 和 IL5 服務供應商之一。

  • NIST SP 800-37「Risk Management Framework for Information Systems and Organizations: A System Life Cycle Approach for Security and Privacy」(資訊系統和機構的風險管理架構:確保安全性與隱私權的系統生命週期方法)
  • NIST SP 800-53「Security and Privacy Controls for Information Systems and Organizations」(資訊系統和機構的安全性與隱私權控管)
  • NIST SP 800-59「Guideline for Identifying an Information System as a National Security System」(識別資訊系統做為國家安全系統的指南)
  • NIST SP 800-171「Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations」(保護非聯邦系統和機構中受管制的未分類資訊)
  • CNSSI 1253「Security Categorization and Control Selection for National Security Systems」(國家安全系統的安全分類和控管選項)