FedRAMP
O Governo Federal dos EUA estabeleceu o Programa Federal de Gerenciamento de Risco e Autorização (FedRAMP), um programa do âmbito governamental que oferece uma abordagem padronizada à avaliação de segurança, autorização e monitoramento contínuo de produtos e serviços da nuvem. O Congresso codificou o FedRAMP em 2022 como "um programa governamental que oferece uma abordagem padronizada e reutilizável para avaliação e autorização de segurança de produtos e serviços de computação em nuvem que processam informações não classificadas usadas por agências".
Todos os modelos de serviços e implantações em nuvens de agências federais, exceto determinadas nuvens privadas locais, precisam atender aos requisitos do FedRAMP no nível adequado de impacto de risco (baixo, médio ou alto).
Links rápidos
Escopo de conformidade com FedRAMP e DoD
FedRAMP Marketplace
Guia de implementação do FedRAMP do Google Cloud
Framework de segurança cibernética do NIST e Google Cloud
Como configurar redes para FedRAMP e DoD no Google Cloud
Certificado de que os Serviços do Google e o Google Workspace estão em conformidade com a revisão 5
Compliance do Google Cloud com o FedRAMP
O FedRAMP Board (anteriormente conhecido como Conselho de Autorização Conjunto) é o principal órgão de administração do FedRAMP e inclui o Departamento de Defesa (DoD), o Departamento de Segurança Interna (DHS), a Administração de Serviços Gerais (GSA) e outras agências, conforme determinado pelo administrador da GSA e pelo diretor do FedRAMP.
O Conselho do FedRAMP emitiu uma Autoridade Provisória para Operar (P-ATO) de nível alto para o Google Cloud e a infraestrutura subjacente. O Google Cloud envia periodicamente serviços adicionais ao Conselho para autorização do FedRAMP High.
Se você tiver interesse em usar os serviços do Google Cloud para cumprir as obrigações de compliance do FedRAMP High, será necessário usar o Assured Workloads Data Boundary para o FedRAMP High e o Suporte Assured. O valor de referência de controle do FedRAMP de nível médio é um subconjunto do valor de referência de controle do FedRAMP de nível alto. Portanto, se você estiver buscando uma ATO de nível médio do FedRAMP para sua solução implantada no Google Cloud, poderá usar qualquer serviço do Google Cloud autorizado pelo FedRAMP de nível alto no limite de autorização de nível médio do FedRAMP.
O Google pode fornecer a seguinte documentação de conformidade do FedRAMP do Google Cloud sob um contrato de confidencialidade (NDA):
- Matriz de responsabilidade do cliente (CRM)
- Plano de segurança do sistema (SSP)
Nossa equipe de vendas ou seu representante do Google Cloud pode ajudar a fornecer acesso à essa documentação. Clientes governamentais também podem solicitar o pacote FedRAMP do Google por meio do Escritório de Gerenciamento do Programa FedRAMP usando o formulário de solicitação de pacote.
Se você comprar serviços do Google Cloud com um parceiro do Google, os Termos e Condições de compra serão transmitidos dos nossos parceiros.
Compliance do Google Workspace com o FedRAMP
Você pode usar o Google Workspace em conformidade com vários padrões globais e do governo federal dos EUA para segurança e privacidade na nuvem. Além de manter uma P-ATO FedRAMP de nível alto, o Google Workspace também é certificado de acordo com ISO 27017, 27018, 27001, e é auditado de acordo com os padrões de Controles de Organização de Serviço (SOC) do Instituto Americano de Contadores Públicos Certificados (AICPA). Para mais informações, consulte as soluções de compliance do Google Cloud.
Todo o limite de segurança autorizado do Google Workspace é documentado, avaliado e gerenciado em relação à linha de base de controles de segurança e privacidade do FedRAMP High. O valor de referência de controle do FedRAMP de nível médio é um subconjunto do valor de referência de controle do FedRAMP de nível alto. Portanto, se você estiver buscando uma ATO FedRAMP Moderate para sua implementação do Google Workspace, qualquer serviço do Google Workspace autorizado pelo FedRAMP High poderá ser incluído no limite de autorização do FedRAMP Moderate. Para mais informações, consulte o Guia de configuração do FedRAMP do Google Workspace.
Alta prontidão do FedRAMP do Google Cloud VMware Engine (GCVE)
Em 2023, o Escritório de Gerenciamento de Programa (PMO) do FedRAMP concluiu a análise do Relatório de avaliação de alta prontidão (RAR, na sigla em inglês) do Google Cloud VMware Engine (GCVE) fornecido por uma organização de avaliação terceirizada (3PAO) credenciada pelo FedRAMP. Com base nos resultados positivos da revisão, sem pontos fracos de recursos encontrados, o GCVE foi aceito como uma oferta FedRAMP de alta prontidão (ID do pacote FedRAMP FR2405153785).
Atingir o FedRAMP de alta prontidão indica ao governo federal dos EUA que o GCVE tem alta probabilidade de conseguir uma autorização do FedRAMP. O GCVE também é certificado de acordo com as normas 27017, 27018, 27001, PCI-DSS e é auditado de acordo com os padrões do Sistema e Controles de Organização (SOC, na sigla em inglês) do Instituto Americano de Contadores Públicos Certificados (AICPA).
Como hospedar cargas de trabalho de nível médio e alto do FedRAMP no Google Cloud
O investimento do Google Cloud em segurança por padrão para nossa infraestrutura garante que os controles de segurança sejam integrados e pré-configurados para permitir que você alcance vários níveis de conformidade sem uma infraestrutura de nuvem governamental isolada tradicional.
Como mencionado anteriormente, você precisa usar o Assured Workloads se quiser implantar sua solução usando o Google Cloud nos ambientes FedRAMP de nível médio e alto. O Assured Workloads permite que você proteja e configure cargas de trabalho confidenciais com segurança para atender aos requisitos de conformidade e segurança usando os serviços do Google Cloud. O Assured Workloads não depende de uma infraestrutura física diferente da infraestrutura pública do Google Cloud. Em vez disso, ele oferece uma nuvem de comunidade definida por software que oferece vantagens de custo, velocidade e inovação.
Os serviços autorizados pelo FedRAMP, disponibilizados por meio do Assured Workloads, implementam controles de segurança do FedRAMP e permitem que você use os recursos do Google Cloud para atender às próprias necessidades organizacionais. O Assured Workloads também oferece visibilidade do estado de conformidade das cargas de trabalho do FedRAMP por meio do Assured Workloads Monitoring. Essa ferramenta pode ajudar você a identificar e corrigir violações de conformidade, além de fornecer atestados de controle aos auditores.
Além dos controles da P-ATO do FedRAMP de nível alto do Google Cloud, o Assured Workloads implementa os seguintes controles essenciais do FedRAMP de nível alto por padrão:
- Proteções para restringir a localização dos dados do cliente com FedRAMP de nível alto nos EUA
- Equipe de suporte técnico limitada ao pessoal autorizado pelo FedRAMP localizado nos EUA
- Criptografia com validação FIPS-140 em repouso e em trânsito
- Controles de acesso de pessoal para aqueles com privilégios de acesso temporário aos dados do cliente
- Somente produtos e serviços compatíveis com FedRAMP são permitidos
- Segmentação lógica do limite de conformidade no escopo para atender aos requisitos do FedRAMP de nível alto
Como hospedar dados de nível médio e alto do FedRAMP no Google Workspace
O Google Workspace mantém uma P-ATO do FedRAMP de nível alto, que você pode usar para hospedar dados do FedRAMP de nível médio e alto. Se você quer implantar o Google Workspace nos ambientes de FedRAMP de nível médio e alto, precisa ativar os serviços autorizados pelo FedRAMP High. Saiba como ativar ou desativar um serviço para o Google Workspace.
Além disso, as edições Business e Enterprise do Google Workspace têm controles de segurança e conjuntos de atributos integrados que permitem atender aos requisitos de compliance do FedRAMP de nível alto e alinhar a própria ATO. Como usuário do Google Workspace, você pode configurar seu ambiente para atender aos controles de residência de dados do FedRAMP usando uma política de região de dados.
Processo para conquistar uma autoridade de operação (ATO) do FedRAMP
Se você tiver interesse em hospedar dados governamentais no Google Cloud, também pode ter interesse em buscar a própria Authority to Operate (ATO). Você precisa considerar os seguintes marcos para alcançar uma ATO no Google Cloud:
- Determinar se os dados no escopo exigem autorização do FedRAMP de nível médio ou alto
- Selecione o Assured Workloads para os serviços do Google Cloud no escopo. O FedRAMP Moderate está incluído no Nível gratuito, enquanto o FedRAMP High exige uma assinatura Premium.
- Decida os limites do FedRAMP no Google Cloud.
- Configurar suas cargas de trabalho de acordo com o modelo de responsabilidade compartilhada, a matriz de responsabilidade do cliente, os serviços do Google Cloud no escopoe as diretrizes do FedRAMP
- Realizar uma auditoria com uma organização terceirizada de avaliação (3PAO, na sigla em inglês) credenciada pelo FedRAMP
- Envie o pacote para a Agência Federal para análise e autorização.
Para mais informações sobre o processo da ATO, consulte o site do FedRAMP. Para receber mais suporte do Google Cloud para ATO do FedRAMP, acesse nossa página de Consultoria do Google Cloud.
Perguntas frequentes
O que o Google Cloud pensa sobre o rascunho do memorando do FedRAMP do Escritório de Gerenciamento e Orçamento?
O Escritório de Gerenciamento e Orçamento memorando recente de rascunho do FedRAMP, que recomenda uma abordagem de nuvem moderna com base na separação lógica e baseada em software em vez de separação física, é um passo importante na direção certa. O Google Cloud foi pioneiro nessa abordagem e acredita que ela capacita os clientes a escalonar e inovar com segurança.
Como posso conseguir conformidade com o programa FedRAMP para uma solução que usa o Google Cloud?
O FedRAMP permite níveis variados de herança das ofertas de serviços de nuvem usando infraestrutura, plataformas e serviços autorizados pelo FedRAMP. Essa análise inicial de controle x herança vai, por fim, determinar quanta responsabilidade de compliance você terá como cliente que implanta aplicativos no Google Cloud.
Por exemplo, se a organização preferir criar a pilha inteira do aplicativo, isso vai gerar mais responsabilidades/obrigações para os clientes durante a avaliação do oficial de autorização. Se você usar os modelos de plataforma como serviço ou software como serviço, o fardo de conformidade provavelmente será mais leve.
Uma vez selecionados os serviços autorizados pelo FedRAMP, o Google ajudará você a configurar a solução por meio de guias de configurações específicos do serviço ou da interação direta com os especialistas do FedRAMP na organização de Consultoria do Google Cloud.
Como o Google oferece serviços autorizados pelo FedRAMP se ele não tem uma oferta do GovCloud?
O Google é um dos primeiros provedores de nuvem comerciais de hiperescalonamento a conquistar uma autorização de alto nível do FedRAMP em uma oferta comercial de nuvem pública, além de ser um dos maiores provedores de serviços do FedRAMP disponível no mercado atualmente. No passado, os provedores de hiperescalonamento separaram os "govclouds" das ofertas comerciais de nuvem para atender aos requisitos de nível alto do FedRAMP. Essa abordagem pode oferecer conformidade, mas esses ambientes separados geralmente não oferecem todos os benefícios que a infraestrutura de nuvem do Google pode oferecer.
A autorização do FedRAMP de nível alto do Google Cloud permite que agências governamentais processem cargas de trabalho de alto impacto para adotar tecnologia a uma velocidade muito maior e na mesma escala de clientes comerciais, além de aproveitar a infraestrutura de nuvem pública exclusiva do Google, incluindo tanto os recursos quanto a capacidade. Com o Assured Workloads ou o Assured Controls, os clientes podem proteger e configurar cargas de trabalho confidenciais com segurança para atender aos requisitos de compliance e segurança na nuvem. Escolha suas configurações de segurança e o Google poderá implementar os controles de nuvem necessários.
Como configurar o Google Workspace para atender aos requisitos do FedRAMP High?
Confira abaixo a lista de edições do Google Workspace autorizadas pelo FedRAMP. Consulte o guia de configuração para implantar o Google Workspace e manter a conformidade com os controles de segurança do FedRAMP de nível alto.
Preciso do Assured Workloads para conseguir um ATO do FedRAMP?
Sim, o Assured Workloads é necessário para alcançar um ATO do FedRAMP de nível médio ou alto. O Assured Workloads oferece ao Google Cloud a capacidade de identificar cargas de trabalho federais dos clientes e aplicar proteções técnicas para atender a mudanças na regulamentação federal. O Google Cloud se compromete a apoiar os requisitos de conformidade com o FedRAMP, incluindo aqueles introduzidos na Revisão 5 da NIST 800-53 e versões futuras para cargas de trabalho em execução no Assured Workloads.
Além disso, o Assured Workloads é a única maneira do Google Cloud atender aos requisitos aprimorados de suporte e residência de dados do FedRAMP de nível alto. O Assured Workloads não se aplica ao Google Workspace, que tem os próprios Assured Controls.
Quais controles do FedRAMP posso herdar do Google Cloud?
Um dos benefícios de usar o Google Cloud para cargas de trabalho governamentais é que vários controles obrigatórios já estão em vigor na nossa infraestrutura subjacente e no Assured Workloads. Assim, ao enviar o pacote FedRAMP a uma agência federal para autorização, você também vai incluir a SSP do Google, que descreve os controles que o Google Cloud gerencia. Entre em contato com sua equipe de vendas para receber uma cópia da SSP do Google Cloud (requer um NDA).
Qual é a relação entre o FedRAMP e o GovRAMP (antigo StateRAMP)?
O GovRAMP é um programa de segurança cibernética criado em 2021 para atender às necessidades de funcionários de compras e segurança de governos estaduais e locais nos EUA. Assim como o FedRAMP, ele tem como base o framework NIST 800-53 e é modelado, em parte, de acordo com o FedRAMP. O GovRAMP também conta com 3PAOs credenciados do FedRAMP para realizar avaliações. O Google Cloud está pronto para atender aos clientes do governo do GovRAMP com capacidade aprimorada de residência de dados e suporte por meio do Assured Workloads.
Como encontrar um 3PAO?
O FedRAMP Marketplace mantém uma lista de 3PAOs reconhecidas.
Preciso realizar um teste de penetração?
A SSP do Google Cloud abrange recursos de propriedade do Google para testes de penetração, e você pode herdar esse controle usando o Google Cloud. Também será necessário realizar um teste de penetração no ambiente do FedRAMP criado com o Google Cloud durante a avaliação 3PAO.
O Google pode ajudar com o processo de compliance do FedRAMP?
Sim. O FedRAMP permite níveis variados de herança das ofertas de serviços de nuvem usando infraestrutura, plataformas e serviços autorizados pelo FedRAMP. Essa análise inicial de controle x herança vai, por fim, determinar quanta responsabilidade de compliance você terá como cliente que implanta aplicativos no Google Cloud.
Por exemplo, se a organização preferir criar a pilha inteira do aplicativo, isso vai gerar mais responsabilidades/obrigações para os clientes durante a avaliação do oficial de autorização. Se você usar os modelos de plataforma como serviço ou software como serviço, o fardo de conformidade provavelmente será mais leve.
Uma vez selecionados os serviços autorizados pelo FedRAMP, o Google ajudará você a configurar a solução por meio de guias de configurações específicos do serviço ou da interação direta com os especialistas do FedRAMP na organização de Consultoria do Google Cloud.
Como configurar minha carga de trabalho do FedRAMP para eliminar o 3DES como um algoritmo de criptografia fraco?
De acordo com a Rev. 2 do NIST SP 800-131A, Transição do uso de algoritmos de criptografia e comprimentos de chave, os clientes estão tentando descontinuar o uso do 3DES. O Google Cloud não usa o 3DES, mas para oferecer suporte a todos os nossos clientes, ele ainda está disponível nos endpoints do Google. Nas nossas políticas da organização do Assured Workloads, a política da organização de restrição de versão do TLS agora oferece mais segurança para os clientes do Google Cloud ao mitigar o uso de pacotes de criptografia 3DES menos seguros. Quando a política é ativada nas cargas de trabalho do cliente, as solicitações que usam conjuntos de cifras baseados em criptografia 3DES terão o acesso aos recursos do Google Cloud negado. A política da organização de restrição de versão do TLS é aplicada por padrão para cargas de trabalho do FedRAMP Assured Workloads.
Serviços no escopo
Os serviços do Google Cloud e do Google Workspace no escopo do FedRAMP de nível alto estão listados em Escopo de conformidade com o FedRAMP e o DoD.
Ofertas relacionadas
NIST 800-53Veja quais serviços do Google Cloud passaram por uma avaliação independente feita por terceiros e estão operando em conformidade com os controles da NIST 800-53.
ISO 27001A família de normas ISO/IEC 27000 ajuda as organizações a proteger os próprios dados. O Google Cloud Platform e o Google Workspace estão em conformidade com a ISO/IEC 27001.
ISO 27017A norma ISO/IEC 27017:2015 define diretrizes para os controles de segurança da informação. O Google Cloud Platform e o Google Workspace estão em conformidade com a ISO/IEC 27017.
ISO 27018A ISO/IEC 27018 é sobre a proteção de PII em nuvens públicas. O Google Cloud Platform e o Google Workspace estão em conformidade com a ISO/IEC 27018.
Vá além
Comece a criar no Google Cloud com US$ 300 em créditos e mais de 20 produtos sem custo financeiro.
Conheça práticas recomendadas de segurança
Confira nossas práticas recomendadasResolva problemas comuns
Confira vídeos de casos de uso de segurançaTrabalhe com um parceiro
Conheça nossos parceiros de segurança
