FedRAMP

Pemerintah Federal Amerika Serikat telah memberlakukan Federal Risk and Authorization Management Program (FedRAMP), sebuah program tingkat pemerintah yang menyediakan pendekatan standar terkait penilaian keamanan, otorisasi, dan pemantauan berkelanjutan pada produk dan layanan cloud. Kongres menyusun FedRAMP pada tahun 2022, sebagai “program tingkat Pemerintah yang menyediakan pendekatan standar dan dapat digunakan kembali terkait penilaian keamanan dan otorisasi untuk produk dan layanan cloud computing yang memproses informasi terkontrol yang tidak rahasia yang digunakan oleh lembaga pemerintah.”

Semua model layanan dan deployment cloud yang digunakan oleh lembaga pemerintah federal, selain cloud pribadi lokal tertentu, harus memenuhi semua persyaratan FedRAMP sesuai dengan tingkat dampak risiko (Low, Moderate, atau High).

Kepatuhan Google Cloud terhadap FedRAMP

Dewan FedRAMP (sebelumnya disebut sebagai Dewan Otorisasi Bersama) adalah lembaga pemerintah utama untuk FedRAMP, dan meliputi Departemen Pertahanan (DoD), Departemen Keamanan Dalam Negeri (DHS), Administrasi Layanan Umum (GSA), dan lembaga pemerintah lain yang ditentukan oleh GSA Administrator dan direktur FedRAMP.

Dewan FedRAMP telah menerbitkan Provisional Authority to Operate (P-ATO) FedRAMP High untuk Google Cloud dan infrastruktur yang mendasarinya. Google Cloud secara rutin mengirimkan layanan tambahan kepada Dewan untuk mendapatkan otorisasi FedRAMP High.

Jika Anda tertarik menggunakan layanan Google Cloud untuk memenuhi kewajiban kepatuhan FedRAMP High, Anda harus menggunakan Assured Workloads Data Boundary untuk FedRAMP High dan Dukungan Terjamin. Dasar pengukuran kontrol FedRAMP Moderate adalah subset dari dasar pengukuran kontrol FedRAMP High. Oleh karena itu, jika Anda ingin mendapatkan ATO FedRAMP Moderate untuk solusi yang di-deploy di Google Cloud, Anda dapat menggunakan layanan Google Cloud yang diotorisasi FedRAMP High dalam batas otorisasi FedRAMP Moderate Anda.

Google dapat menyediakan dokumentasi kepatuhan FedRAMP Google Cloud berikut untuk Anda berdasarkan perjanjian kerahasiaan (NDA):

  • Customer Responsibility Matrix (CRM)
  • System Security Plan (SSP)

Tim penjualan kami atau perwakilan Google Cloud Anda dapat membantu memberikan akses ke dokumentasi ini. Pelanggan pemerintah juga dapat meminta paket FedRAMP Google melalui FedRAMP Program Management Office menggunakan formulir permintaan paket tersebut. 

Jika Anda membeli layanan Google Cloud melalui partner Google, persyaratan dan ketentuan pembelian ditentukan oleh partner kami.

Kepatuhan Google Workspace terhadap FedRAMP

Anda dapat menggunakan Google Workspace dengan mematuhi berbagai standar pemerintah federal AS dan global untuk keamanan dan privasi cloud. Selain mempertahankan P-ATO FedRAMP High, Google Workspace juga telah mendapatkan sertifikasi ISO 27017, 27018, 27001, serta diaudit sesuai standar American Institute of Certified Public Accountants (AICPA) dan System and Organization Controls (SOC). Untuk mengetahui informasi selengkapnya, lihat penawaran kepatuhan Google Cloud.

Seluruh batas keamanan Google Workspace yang diotorisasi didokumentasikan, dinilai, dan dikelola terhadap dasar pengukuran FedRAMP High untuk kontrol keamanan dan privasi. Dasar pengukuran kontrol FedRAMP Moderate adalah subset dari dasar pengukuran kontrol FedRAMP High. Oleh karena itu, jika Anda ingin mendapatkan ATO FedRAMP Moderate untuk implementasi Google Workspace Anda, layanan Google Workspace yang diotorisasi FedRAMP High dapat disertakan dalam batasan otorisasi FedRAMP Moderate Anda. Untuk informasi selengkapnya, lihat Panduan konfigurasi FedRAMP Google Workspace.

Kesiapan tinggi Google Cloud VMware Engine (GCVE) terhadap FedRAMP

Pada tahun 2023, Program Management Office (PMO) FedRAMP menyelesaikan peninjauan High Readiness Assessment Report (RAR) Google Cloud VMware Engine (GCVE) yang disediakan oleh organisasi penilaian pihak ketiga (3PAO) yang terakreditasi FedRAMP. Berdasarkan hasil positif peninjauan tersebut, tanpa adanya kelemahan kemampuan yang signifikan, GCVE telah diterima sebagai penawaran berstatus FedRAMP High Ready (ID Paket FedRAMP FR2405153785).

Perolehan status FedRAMP High Ready ini menunjukkan kepada Pemerintah Federal Amerika Serikat bahwa GCVE memiliki kemungkinan besar untuk memperoleh Otorisasi FedRAMP. GCVE juga telah mendapatkan sertifikasi ISO 27017, 27018, 27001, PCI DSS serta diaudit sesuai standar American Institute of Certified Public Accountants (AICPA) dan Service Organization Controls (SOC).

Menghosting Workload FedRAMP Moderate dan High di Google Cloud

Investasi Google Cloud di infrastruktur kami yang aman secara default memastikan bahwa kontrol keamanan sudah terintegrasi dan dikonfigurasikan sebelumnya untuk memungkinkan Anda mencapai berbagai tingkat kepatuhan tanpa infrastruktur cloud pemerintah tradisional yang terisolasi. 

Seperti yang disebutkan sebelumnya, Anda harus menggunakan Assured Workloads jika ingin men-deploy solusi menggunakan Google Cloud di lingkungan FedRAMP Moderate dan High. Dengan Assured Workloads, Anda dapat dengan yakin mengamankan dan mengonfigurasi workload yang sensitif guna mendukung persyaratan kepatuhan dan keamanan untuk menggunakan layanan Google Cloud. Assured Workloads tidak mengandalkan infrastruktur fisik yang berbeda dari infrastruktur publik Google Cloud yang ada. Sebagai gantinya, produk ini menghadirkan Cloud Komunitas yang Software-Defined yang menawarkan keuntungan dari segi biaya, kecepatan, dan inovasi.

Layanan yang diotorisasi FedRAMP tersedia melalui Assured Workloads yang menerapkan kontrol keamanan FedRAMP dan memungkinkan Anda menggunakan kemampuan Google Cloud untuk memenuhi kebutuhan organisasi mereka. Assured Workloads juga menyediakan visibilitas terhadap status kepatuhan workload FedRAMP melalui Assured Workloads Monitoring. Alat ini dapat membantu Anda menemukan dan memperbaiki pelanggaran terhadap kepatuhan, serta menyediakan pengesahan kontrol kepada auditor Anda.

Selain kontrol P-ATO FedRAMP High Google Cloud, Assured Workloads menerapkan kontrol kunci FedRAMP High berikut secara default: 

  1. Pembatasan lokasi data pelanggan FedRAMP High hanya di Amerika Serikat.
  2. Staf dukungan teknis terbatas pada personel yang ditunjuk oleh FedRAMP dan berlokasi di AS.
  3. Enkripsi dalam penyimpanan dan enkripsi dalam pengiriman tervalidasi dengan FIPS-140.
  4. Kontrol akses personel bagi mereka yang memiliki hak akses sementara ke data pelanggan 
  5. Hanya produk dan layanan yang mematuhi FedRAMP yang diperbolehkan
  6. Segmentasi logis dalam cakupan batasan kepatuhan untuk mendukung persyaratan FedRAMP High

Menghosting Data FedRAMP Moderate dan High di Google Workspace

Google Workspace mempertahankan P-ATO FedRAMP High, yang dapat Anda manfaatkan untuk menghosting data FedRAMP Moderate dan High. Jika Anda ingin men-deploy Google Workspace di lingkungan FedRAMP Moderate dan High, Anda harus mengaktifkan layanan yang diotorisasi FedRAMP High. Pelajari cara mengaktifkan atau menonaktifkan layanan Google Workspace

Selain itu, edisi Google Workspace Business dan Enterprise memiliki kontrol keamanan bawaan dan set fitur yang memungkinkan Anda memenuhi persyaratan kepatuhan FedRAMP High dan menyelaraskan ATO Anda sendiri. Sebagai pengguna Google Workspace, Anda dapat mengonfigurasi lingkungan Anda untuk mematuhi kontrol residensi data FedRAMP dengan menggunakan kebijakan Region Data.

Proses untuk Mendapatkan Authority to Operate (ATO) FedRAMP

Jika Anda tertarik menghosting data pemerintah di Google Cloud, Anda mungkin juga tertarik untuk mendapatkan Authority to Operate (ATO) Anda sendiri. Anda perlu mempertimbangkan tonggak pencapaian berikut untuk mendapatkan ATO di Google Cloud:

  • Menentukan apakah data dalam cakupan memerlukan otorisasi FedRAMP Moderate atau FedRAMP High.
  • Memilih Assured Workloads untuk layanan Google Cloud yang termasuk dalam cakupan. FedRAMP Moderate termasuk dalam paket gratis, sedangkan FedRAMP High memerlukan langganan premium.
  • Menentukan batasan FedRAMP Anda dalam Google Cloud.
  • Mengonfigurasikan workload Anda sesuai dengan model tanggung jawab bersama, Customer Responsibility Matrix, layanan Google Cloud yang termasuk dalam cakupan, dan pedoman FedRAMP
  • Menjalani audit dengan organisasi penilaian pihak ketiga (3PAO) yang terakreditasi FedRAMP
  • Mengirimkan paket Anda kepada Lembaga Pemerintah Federal untuk ditinjau dan diotorisasi.

Untuk mengetahui informasi selengkapnya tentang proses ATO, buka situs FedRAMP. Untuk mendapatkan dukungan tambahan mengenai ATO FedRAMP dari Google Cloud, buka halaman Google Cloud Consulting kami. 

FAQ

Draf memorandum FedRAMP terbaru dari Office of Management and Budget, yang mendukung pendekatan cloud modern berdasarkan pemisahan berbasis logika dan software, bukan pemisahan fisik, adalah langkah besar ke arah yang benar. Google Cloud memelopori pendekatan ini dan yakin bahwa hal ini memberdayakan pelanggan untuk meningkatkan skala dan berinovasi dengan aman.

FedRAMP mengizinkan tingkat pewarisan yang beragam dari penawaran layanan cloud yang menggunakan infrastruktur, platform, dan layanan yang diotorisasi FedRAMP. Analisis awal terkait kontrol vs. pewarisan ini pada akhirnya akan menentukan seberapa besar tanggung jawab kepatuhan yang Anda miliki sebagai pelanggan yang men-deploy aplikasi di Google Cloud. 

Misalnya, jika organisasi Anda memilih untuk membangun seluruh stack aplikasi, Anda juga akan memiliki tanggung jawab/kewajiban pelanggan yang lebih besar saat proses evaluasi oleh Petugas Otorisasi. Jika Anda menggunakan Platform as a Service atau Software as a Service, beban kepatuhan mungkin akan lebih sedikit.

Setelah Anda memilih layanan yang diotorisasi FedRAMP, Google akan membantu mengonfigurasi solusi Anda melalui panduan konfigurasi khusus layanan atau interaksi langsung dengan pakar FedRAMP di organisasi Google Cloud Consulting kami.

Google adalah salah satu penyedia cloud komersial hyperscale pertama yang memperoleh otorisasi FedRAMP High pada penawaran cloud publik komersial, dan merupakan salah satu penyedia layanan FedRAMP terbesar yang ada di pasaran saat ini. Sebelumnya, penyedia hyperscale memisahkan “govclouds” mereka dari penawaran cloud komersial untuk memenuhi persyaratan FedRAMP High. Pendekatan ini dapat memberikan kepatuhan, tetapi lingkungan terpisah ini sering kali tidak menghadirkan manfaat yang dapat diberikan oleh infrastruktur Google Cloud.

Otorisasi FedRAMP High pada Google Cloud memungkinkan lembaga pemerintah yang memproses workload berdampak tinggi untuk mengadopsi teknologi dengan kecepatan yang lebih tinggi dan pada skala yang sama dengan pelanggan komersial, sekaligus memanfaatkan infrastruktur cloud publik Google yang unik, termasuk dalam hal kemampuan dan juga kapasitasnya. Dengan Assured Workloads atau Assured Controls, pelanggan dapat dengan yakin mengamankan dan mengonfigurasi workload yang sensitif untuk mendukung persyaratan kepatuhan dan keamanan mereka di cloud. Pilih setelan keamanan Anda, dan Google akan menempatkan kontrol cloud yang diperlukan.

Daftar edisi Google Workspace yang diotorisasi FedRAMP tercantum di bawah ini. Lihat panduan konfigurasi untuk men-deploy Google Workspace guna mendukung kepatuhan terhadap kontrol keamanan FedRAMP High. 

Ya, Assured Workloads diperlukan untuk memperoleh ATO FedRAMP Moderate atau FedRAMP High. Assured Workloads memberi Google Cloud kemampuan untuk mengidentifikasi workload federal pelanggan dan menerapkan batasan teknis agar sesuai dengan perubahan apa pun pada peraturan Federal. Google Cloud berkomitmen untuk mempertahankan persyaratan kepatuhan terhadap FedRAMP, termasuk hal-hal yang disebutkan dalam NIST 800-53 Revision 5 dan yang akan dirilis untuk workload yang berjalan dalam Assured Workloads.

Selain itu, Assured Workloads adalah satu-satunya cara agar Google Cloud dapat memenuhi persyaratan residensi data dan dukungan FedRAMP High yang ditingkatkan. Assured Workloads tidak berlaku untuk Google Workspace, yang memiliki Assured Controls sendiri.


Salah satu manfaat menggunakan Google Cloud untuk workload di sektor pemerintah adalah bahwa sejumlah kontrol yang diperlukan telah tersedia dalam infrastruktur dasar dan Assured Workloads kami. Oleh karena itu, saat Anda mengirimkan paket FedRAMP ke lembaga federal untuk diotorisasi, Anda juga akan menyertakan SSP Google, yang menjelaskan kontrol yang dikelola Google Cloud. Harap hubungi tim penjualan Anda untuk mendapatkan salinan SSP Google Cloud (NDA diperlukan).

GovRAMP adalah program pengamanan cyber yang didirikan pada tahun 2021 untuk memenuhi kebutuhan pejabat pengadaan dan keamanan di pemerintah negara bagian dan daerah di Amerika Serikat. Seperti FedRAMP, program ini dibangun berdasarkan framework NIST 800-53 dan sebagian dirancang mengikuti FedRAMP. GovRAMP juga mengandalkan Organisasi Penilaian Pihak Ketiga (3PAO) yang terakreditasi FedRAMP untuk melakukan penilaian. Google Cloud siap mendukung pelanggan pemerintah GovRAMP dengan kemampuan dukungan dan residensi data yang ditingkatkan melalui Assured Workloads.

FedRAMP Marketplace mengelola daftar 3PAO yang memenuhi syarat.

SSP Google Cloud mencakup resource yang dimiliki Google untuk uji penetrasi, dan Anda dapat mewarisi kontrol ini dengan menggunakan Google Cloud. Uji penetrasi terhadap lingkungan FedRAMP Anda yang dibangun menggunakan Google Cloud juga harus dilakukan selama proses penilaian oleh 3PAO.

Ya. FedRAMP mengizinkan tingkat pewarisan yang beragam dari penawaran layanan cloud yang menggunakan infrastruktur, platform, dan layanan yang diotorisasi FedRAMP. Analisis awal terkait kontrol vs. pewarisan ini pada akhirnya akan menentukan seberapa besar tanggung jawab kepatuhan yang Anda miliki sebagai pelanggan yang men-deploy aplikasi di Google Cloud. 

Misalnya, jika organisasi Anda memilih untuk membangun seluruh stack aplikasi, Anda juga akan memiliki tanggung jawab/kewajiban pelanggan yang lebih besar saat proses evaluasi oleh Petugas Otorisasi. Jika Anda menggunakan Platform as a Service atau Software as a Service, beban kepatuhan mungkin akan lebih sedikit.

Setelah Anda memilih layanan yang diotorisasi FedRAMP, Google akan membantu mengonfigurasi solusi Anda melalui panduan konfigurasi khusus layanan atau interaksi langsung dengan pakar FedRAMP di organisasi Google Cloud Consulting kami.

Sejalan dengan NIST SP 800-131A Rev. 2, Transitioning the Use of Cryptographic Algorithms and Key Lengths, pelanggan berupaya untuk menghentikan penggunaan 3DES. Google Cloud tidak menggunakan 3DES, namun untuk mendukung semua pelanggan kami, 3DES masih tersedia di endpoint Google. Dalam kebijakan organisasi Assured Workloads kami, Kebijakan Organisasi Pembatasan Versi TLS kini memberikan keamanan yang lebih baik bagi pelanggan Google Cloud dengan memitigasi penggunaan cipher suite 3DES yang kurang aman. Jika kebijakan ini diaktifkan di workload pelanggan, permintaan yang menggunakan cipher suite berbasis enkripsi 3DES akan ditolak aksesnya ke resource Google Cloud. Kebijakan Organisasi Pembatasan Versi TLS diberlakukan secara default untuk Assured Workloads FedRAMP.

Layanan yang termasuk dalam cakupan

Layanan Google Cloud dan Google Workspace yang termasuk dalam cakupan FedRAMP High tercantum dalam Cakupan kepatuhan FedRAMP dan DoD.

Langkah selanjutnya

Mulailah membangun solusi di Google Cloud dengan kredit gratis senilai $300 dan lebih dari 20 produk yang selalu gratis.

Google Cloud
DokumenDukungan
Konsol
Login
Security
Kecerdasan AncamanSecOpsKeamanan cloudKonsultasiResource keamanan
  • Percepat transformasi digital Anda
  • Google Cloud dapat membantu mengatasi tantangan terberat Anda, baik saat bisnis Anda baru memulai transformasi digital atau sudah di tingkat lanjut.
  • Produk Google Cloud
  • Lihat lebih dari 100 produk. Pelanggan baru akan mendapatkan kredit gratis senilai $300 untuk menjalankan, menguji, dan men-deploy workload. Semua pelanggan dapat menggunakan 25 lebih produk secara gratis, hingga batas penggunaan bulanan yang berlaku.
  • Hemat uang dengan pendekatan transparan kami soal harga
  • Harga bayar sesuai penggunaan dari Google Cloud menawarkan penghematan otomatis berdasarkan penggunaan bulanan dan tarif diskon untuk resource prabayar. Hubungi kami sekarang untuk mendapatkan penawaran harga.
Google Cloud