FedRAMP

O Governo Federal dos EUA estabeleceu o Programa Federal de Gerenciamento de Risco e Autorização (FedRAMP), um programa do âmbito governamental que oferece uma abordagem padronizada à avaliação de segurança, autorização e monitoramento contínuo de produtos e serviços da nuvem. O Congresso codificou o FedRAMP em 2022 como "um programa governamental que oferece uma abordagem padronizada e reutilizável para avaliação e autorização de segurança de produtos e serviços de computação em nuvem que processam informações não classificadas usadas por agências".

Todos os modelos de serviços e implantações em nuvens de agências federais, exceto determinadas nuvens privadas locais, precisam atender aos requisitos do FedRAMP no nível adequado de impacto de risco (baixo, médio ou alto).

Os clientes interessados em usar os serviços do Google Cloud em alinhamento com a hospedagem de níveis moderado ou alto do FedRAMP precisam usar Assured Workloads e Suporte Assured (apenas alto).

Compliance do Google Cloud com o FedRAMP

O FedRAMP Board (anteriormente conhecido como Conselho de Autorização Conjunto) é o principal órgão de administração do FedRAMP e inclui o Departamento de Defesa (DoD), o Departamento de Segurança Interna (DHS), a Administração de Serviços Gerais (GSA) e outras agências, conforme determinado pelo administrador da GSA e pelo diretor do FedRAMP.

O Conselho do FedRAMP emitiu a certificação FedRAMP de nível médio e alto de autoridade para operar (ATO) para a infraestrutura do Google Cloud e ofertas de serviços (CSOs) específicas do Google Cloud. O Google Cloud envia periodicamente serviços adicionais para aprovações de nível médio e alto do FedRAMP ao Conselho.

O Google Cloud pode fornecer a seguinte documentação de conformidade adicional do FedRAMP aos clientes sob contrato de confidencialidade (NDA):

Matriz de responsabilidade do cliente (CRM) do FedRAMP
Plano de segurança do sistema (SSP) do Google Cloud
Relatórios de teste de penetração e outros documentos

Nossa equipe de vendas ou seu representante do Google Cloud pode ajudar a fornecer acesso à essa documentação. Clientes governamentais também podem solicitar o pacote FedRAMP do Google por meio do Escritório de Gerenciamento do Programa FedRAMP usando o formulário de solicitação de pacote.

Para os clientes que compram com um parceiro do Google, os Termos e Condições de compra são transmitidos dos nossos parceiros.

Compliance do Google Workspace com o FedRAMP

Os clientes podem usar o Google Workspace em conformidade com vários padrões globais e do governo federal dos EUA para segurança e privacidade na nuvem. Além de manter uma autorização FedRAMP de nível alto, o Google Workspace também é certificado de acordo com ISO 27017, 27018, 27001, e é auditado de acordo com os padrões de Controle de Organização de Serviço (SOC) do Instituto Americano de Contadores Públicos Certificados (AICPA).

Alta prontidão do FedRAMP do Google Cloud VMware Engine (GCVE)

Em 2023, o Escritório de Gerenciamento de Programa (PMO) do FedRAMP concluiu a análise do Relatório de avaliação de alta prontidão (RAR, na sigla em inglês) do Google Cloud VMware Engine (GCVE) fornecido por uma organização de avaliação terceirizada (3PAO). Com base nos resultados positivos da revisão, sem pontos fracos de recursos encontrados, o GCVE foi aceito como uma oferta FedRAMP de alta prontidão (ID do pacote FedRAMP FR2405153785).

Atingir o FedRAMP de alta prontidão indica ao governo federal dos EUA que o GCVE tem alta probabilidade de conseguir uma autorização do FedRAMP. O GCVE também é certificado de acordo com as normas 27017, 27018, 27001, PCI-DSS e é auditado de acordo com os padrões do Controle de Organização de Serviço (SOC, na sigla em inglês) do Instituto Americano de Contadores Públicos Certificados (AICPA).

Como hospedar cargas de trabalho de nível médio e alto do FedRAMP no Google Cloud

O investimento do Google Cloud em segurança por padrão para nossa infraestrutura garante que os controles de segurança sejam integrados e pré-configurados para permitir que os clientes alcancem vários níveis de conformidade sem uma arquitetura de nuvem governamental isolada tradicional.

Os clientes que querem implantar soluções usando o Google Cloud em ambientes de FedRAMP de nível médio e alto precisam usar o Assured Workloads. O Assured Workloads permite que os clientes protejam e configurem cargas de trabalho confidenciais com segurança para atender aos requisitos de conformidade e segurança usando os serviços do Google Cloud. O Assured Workloads não depende de uma infraestrutura física diferente dos data centers de nuvem pública. Em vez disso, ele oferece uma nuvem de comunidade definida por software que oferece vantagens de custo, velocidade e inovação.

Os serviços autorizados pelo FedRAMP, disponibilizados por meio do Assured Workloads, implementam controles de segurança do FedRAMP e permitem que os clientes usem os recursos do Google Cloud para atender às próprias necessidades organizacionais. O Assured Workloads também oferece visibilidade do estado de conformidade das cargas de trabalho do FedRAMP por meio do Assured Workloads Monitoring. Essa ferramenta pode ajudar você a identificar e corrigir violações de conformidade, além de fornecer atestados de controle aos auditores do seu estado de conformidade.

Além dos controles atendidos pela ATO do FedRAMP de nível alto da infraestrutura do Google Cloud, o Assured Workloads implementa os seguintes controles essenciais do FedRAMP de nível alto por padrão para clientes que processam dados governamentais do FedRAMP de nível alto:

Proteções para restringir a localização dos dados do cliente com FedRAMP de nível alto nos EUA
Equipe de suporte técnico limitada ao pessoal autorizado pelo FedRAMP localizado nos EUA
Criptografia em conformidade com o FIPS-140-2 em repouso e em trânsito
Controles de acesso de pessoal para aqueles com acesso de rotina aos dados do cliente
Somente produtos e serviços compatíveis com FedRAMP são permitidos
Segmentação lógica do limite de conformidade no escopo para atender aos requisitos do FedRAMP de nível médio e alto

Como hospedar dados de nível médio e alto do FedRAMP no Google Workspace

O Google Workspace mantém uma ATO do FedRAMP de nível alto, que os clientes podem usar para hospedar dados do FedRAMP de nível médio e alto. Os clientes que querem implantar o Google Workspace nos ambientes de FedRAMP de nível médio e alto precisam ativar os serviços autorizados pelo FedRAMP que atendem à respectiva autorização. Saiba como ativar ou desativar um serviço para o Google Workspace.

Além disso, as edições Business e Enterprise do Google Workspace têm controles de segurança e conjuntos de atributos integrados que permitem aos clientes atender ao FedRAMP de nível alto e alinhar a própria ATO. Os usuários do Google Workspace podem configurar os ambientes para atender aos controles de residência de dados do FedRAMP usando uma política de região de dados.

Processo para conquistar uma autoridade de operação (ATO) do FedRAMP

Os clientes que tiverem interesse em hospedar dados governamentais no Google Cloud também podem ter interesse em buscar a própria Authority to Operate (ATO). As organizações precisam considerar os seguintes marcos para alcançar uma ATO no Google Cloud:

Determinar se os dados no escopo exigem FedRAMP de nível médio ou alto
Selecionar o Assured Workloads (FedRAMP moderado está incluído no nível gratuito, e FedRAMP High exige uma assinatura premium) para os serviços do Google Cloud no escopo
Decida os limites do FedRAMP no Google Cloud
Configurar suas cargas de trabalho de acordo com o modelo de responsabilidade compartilhada, a matriz de responsabilidade do cliente, os serviços do Google Cloud no escopoe as diretrizes do FedRAMP
Realizar uma auditoria com uma organização terceirizada de avaliação (3PAO, na sigla em inglês)
Enviar o pacote ao Conselho do FedRAMP ou à Agência Federal para análise e autorização

Para mais informações sobre o processo da ATO, consulte o site do FedRAMP. Para receber mais suporte do Google Cloud para ATO do FedRAMP, acesse nossa página de Consultoria do Google Cloud.

Perguntas frequentes

O que o Google Cloud pensa sobre o rascunho do memorando do FedRAMP do Escritório de Gerenciamento e Orçamento?

O Escritório de Gerenciamento e Orçamento memorando recente de rascunho do FedRAMP, que recomenda uma abordagem de nuvem moderna com base na separação lógica e baseada em software em vez de separação física, é um passo importante na direção certa. O Google Cloud foi pioneiro nessa abordagem e acredita que ela capacita os clientes a escalonar e inovar com segurança.

Como posso conseguir conformidade com o programa FedRAMP para uma solução que usa o Google Cloud?

O FedRAMP permite níveis variados de herança para os provedores de serviços na nuvem (CSPs, na sigla em inglês) usando a infraestrutura, as plataformas e os serviços autorizados pelo FedRAMP. Essa análise inicial de controle vs. herança vai, por fim, determinar quanta responsabilidade de conformidade você terá como um CSP.

Por exemplo, se a organização preferir criar a pilha inteira do aplicativo, isso vai gerar mais responsabilidades/obrigações para os clientes durante a avaliação do oficial de autorização. Se você usar os modelos de plataforma como serviço ou software como serviço, o fardo de conformidade provavelmente será mais leve.

Uma vez selecionados os serviços autorizados pelo FedRAMP, o Google ajudará você a configurar a solução por meio de guias de configurações específicos do serviço ou da interação direta com os especialistas do FedRAMP na organização de Consultoria do Google Cloud.

Como o Google oferece serviços autorizados pelo FedRAMP se ele não tem uma oferta do GovCloud?

O Google é um dos primeiros provedores de nuvem comerciais de hiperescalonamento a conquistar o nível alto do FedRAMP em uma oferta comercial de nuvem pública, além de ser um dos maiores provedores de serviços do FedRAMP disponível no mercado atualmente. No passado, os provedores de hiperescalonamento separaram os "govclouds" das ofertas comerciais de nuvem para atender aos requisitos de nível alto do FedRAMP. Essa abordagem pode oferecer conformidade, mas esses ambientes separados geralmente não oferecem todos os benefícios que a infraestrutura de nuvem do Google pode oferecer.

A autorização do FedRAMP de nível alto do Google Cloud permite que agências governamentais processem cargas de trabalho de alto impacto para adotar tecnologia a uma velocidade muito maior e na mesma escala de clientes comerciais, além de aproveitar a infraestrutura de nuvem pública exclusiva do Google, incluindo tanto os recursos quanto a capacidade. Com o Assured Workloads ou o Assured Controls, os clientes podem proteger e configurar cargas de trabalho confidenciais com segurança para atender aos requisitos de compliance e segurança na nuvem. Escolha suas configurações de segurança e o Google poderá implementar os controles de nuvem necessários.

Como configurar o Google Workspace para atender aos requisitos do FedRAMP High?

Confira abaixo a lista de edições do Google Workspace autorizadas pelo FedRAMP. Consulte o guia de configuração para implantar o Google Workspace e manter a conformidade com os controles de segurança do FedRAMP de nível alto.

Preciso do Assured Workloads para conseguir um ATO do FedRAMP?

Sim, o Assured Workloads é necessário para alcançar um ATO do FedRAMP de nível médio ou alto. O Assured Workloads oferece ao Google Cloud a capacidade de identificar cargas de trabalho federais dos clientes e aplicar proteções técnicas para atender a mudanças na regulamentação federal. O Google Cloud se compromete a manter os requisitos de conformidade com o FedRAMP, incluindo aqueles introduzidos na Revisão 5 da NIST 800-53 e versões futuras para cargas de trabalho em execução no Assured Workloads.

Além disso, o Assured Workloads é a única maneira do Google Cloud atender aos requisitos aprimorados de suporte e residência de dados do FedRAMP de nível alto. O Assured Workloads não se aplica ao Google Workspace, que tem controles próprios.

Quais controles do FedRAMP posso herdar do Google Cloud?

Um dos benefícios de usar o Google Cloud para cargas de trabalho governamentais é que vários controles obrigatórios já estão em vigor na nossa infraestrutura subjacente e no Assured Workloads. Assim, ao enviar o pacote FedRAMP ao Conselho do FedRAMP para autorização, você também incluirá a SSP do Google, que descreve os controles que o Google Cloud gerencia. Entre em contato com sua equipe de vendas para receber uma cópia da SSP do Google Cloud (requer um NDA).

Como isso se relaciona com o StateRAMP?

O StateRAMP é um grupo de organizações sem fins lucrativos que estabeleceu a certificação StateRAMP. Assim como o FedRAMP, ele tem como base o framework NIST 800-53 e é modelado, em parte, de acordo com o FedRAMP. O StateRAMP também conta com 3PAOs autorizados pelo FedRAMP para realizar avaliações. O Google Cloud está pronto para atender aos clientes do governo do StateRAMP com capacidade aprimorada de residência de dados e suporte por meio do Assured Workloads.

Como encontrar um 3PAO?

O FedRAMP Marketplace mantém uma lista de 3PAOs qualificados.

Preciso realizar um teste de penetração?

A SSP do Google Cloud abrange recursos de propriedade do Google para testes de penetração, e os clientes podem herdar esse controle usando o Google Cloud. Também será necessário realizar um teste de penetração no ambiente do FedRAMP do cliente criado com o Google Cloud durante a avaliação 3PAO.

O Google pode ajudar com o processo de compliance do FedRAMP?

O Assured Workloads e o console do Google Cloud estão autorizados?

Os Assured Workloads são um recurso do Google Cloud que os clientes podem usar para ativar configurações específicas de projetos para atender aos regimes de compliance. Os clientes também podem definir políticas da organização para atender aos requisitos de compliance por conta própria, sem o uso do Assured Workloads. Os produtos são integrados separadamente ao Assured Workloads e aplicam as políticas da organização.

O console do Google Cloud é uma interface do usuário simples baseada na Web que contém recursos para ajudar os clientes na implantação. Ele é um framework, não um serviço, criado com a infraestrutura do Google Cloud que oferece aos clientes uma interface para gerenciar os recursos do Google Cloud. Os clientes do console do Cloud interagem diretamente com as APIs dos serviços individuais do Google Cloud e usam as APIs dos serviços para renderizar a IU. O console do Cloud, por si só, não tem uma API com que os clientes interajam. Em vez disso, eles interagem diretamente com as APIs dos serviços individuais do Google Cloud. O console do Cloud usa essas APIs de serviço para renderizar a IU.

Como configurar minha carga de trabalho do FedRAMP para eliminar o 3DES como um algoritmo de criptografia fraco?

De acordo com a Rev. 2 do NIST SP 800-131A, Transição do uso de algoritmos de criptografia e comprimentos de chave, os clientes estão tentando descontinuar o uso do 3DES. O Google Cloud não usa o 3DES, mas para oferecer suporte a todos os nossos clientes, ele ainda está disponível nos endpoints do Google. Se sua solução FedRAMP exigir a remoção do 3DES, entre em contato com o suporte para ajudar na remoção do seu ambiente do Assured Workloads.

FedRAMP

Links rápidos

Compliance do Google Cloud com o FedRAMP

Compliance do Google Workspace com o FedRAMP

Alta prontidão do FedRAMP do Google Cloud VMware Engine (GCVE)

Como hospedar cargas de trabalho de nível médio e alto do FedRAMP no Google Cloud

Como hospedar dados de nível médio e alto do FedRAMP no Google Workspace

Processo para conquistar uma autoridade de operação (ATO) do FedRAMP

Perguntas frequentes

O que o Google Cloud pensa sobre o rascunho do memorando do FedRAMP do Escritório de Gerenciamento e Orçamento?

Como posso conseguir conformidade com o programa FedRAMP para uma solução que usa o Google Cloud?

Como o Google oferece serviços autorizados pelo FedRAMP se ele não tem uma oferta do GovCloud?

Como configurar o Google Workspace para atender aos requisitos do FedRAMP High?

Preciso do Assured Workloads para conseguir um ATO do FedRAMP?

Quais controles do FedRAMP posso herdar do Google Cloud?

Como isso se relaciona com o StateRAMP?

Como encontrar um 3PAO?

Preciso realizar um teste de penetração?

O Google pode ajudar com o processo de compliance do FedRAMP?

O Assured Workloads e o console do Google Cloud estão autorizados?

Como configurar minha carga de trabalho do FedRAMP para eliminar o 3DES como um algoritmo de criptografia fraco?

Serviços no escopo

Serviços do Google Cloud no escopo do FedRAMP de nível alto

Serviços do Google Cloud sob análise do JAB para FedRAMP High

Serviços do Google Cloud no escopo do FedRAMP de nível médio

Serviços do Google Cloud sob análise do JAB para FedRAMP de nível médio

Edições do Google Workspace (FedRAMP de nível alto)

Google Workspace (FedRAMP de nível médio)

Serviços do Google Workspace (FedRAMP de nível alto)

Serviços do Google Workspace sob análise do JAB para FedRAMP High

Google Workspace Services (nível médio do FedRAMP)

Serviços do Google Workspace sob análise do JAB para o nível médio do FedRAMP

Regiões autorizadas do Google Cloud para o FedRAMP

Ofertas relacionadas

Vá além

Conheça práticas recomendadas de segurança

Resolva problemas comuns

Trabalhe com um parceiro