美國聯邦政府設立了聯邦風險與授權管理計畫 (FedRAMP),這項計畫適用於整個政府機構,提供一套標準化做法供相關人員對雲端產品和服務進行安全性評估、授權和持續監控。美國國會於 2022 年修訂 FedRAMP,作為「適用於整個政府機構的計畫,針對機關用來處理未分類資訊的雲端運算產品和服務,提供標準化且可重複使用的安全性評估與授權方法。」
除了特定地端部署私有雲,所有聯邦機構的雲端部署作業和服務模型都必須符合相應風險影響等級 (低等、中等或高等) 的 FedRAMP 要求。
如果客戶想使用 Google Cloud 服務,且符合 FedRAMP 中等風險或高等風險層級託管,就必須使用 Assured Workloads 和 Assured Support (僅限高等)。
FedRAMP 委員會 (原稱「聯合授權委員會」) 是 FedRAMP 的主要監管機構,當中包含美國國防部 (DoD) 以及美國國土安全部 (DHS)、美國總務署 (GSA) 和由 GSA 官員和 FedRAMP 主管判定的其他機關。
FedRAMP 委員會針對 Google Cloud 基礎架構和特定 Google Cloud 服務產品 (CSO),核發 FedRAMP 中等風險與 FedRAMP 高等風險執行授權 (ATO)。Google Cloud 會定期將額外服務送交委員會以取得 FedRAMP 中等風險和高等風險核准。
Google Cloud 可以向簽署保密協議 (NDA) 的客戶提供下列額外的 FedRAMP 法規遵循說明文件:
我們的銷售團隊或 Google Cloud 代表可協助您取得這類文件。政府機關客戶還可透過 FedRAMP 計畫管理局的套件申請表,索取 Google 的 FedRAMP 套件。
如果客戶是透過 Google 合作夥伴購買產品和服務,則由我們的合作夥伴提供購買條款及細則。
2023 年下半年,FedRAMP 計畫管理辦公室 (PMO) 透過第三方評估機構 (3PAO),依高等風險因應標準評估報告 (RAR),完成了對 Google Cloud VMware Engine (GCVE) 的審查。結果顯示 GCVE 沒有明顯的功能弱點,獲 FedRAMP 評為可因應高等風險的服務 (FedRAMP 套件 ID:FR2405153785)。
GCVE 獲 FedRAMP 評為可因應高等風險的服務後,美國聯邦政府也因此認為 GCVE 很可能獲得 FedRAMP 授權。此外,GCVE 還獲 ISO 27017、27018、27001 與 PCI DSS 認證,並通過根據PCI-DSS (AICPA) 服務機構控管 (SOC) 標準完成的稽核。
Google Cloud 在自家基礎架構預設的安全防護功能上投入資源,確保內建及預先設定安全性控管機制,讓客戶無須使用傳統獨立的政府雲端架構,也能達成各種法規遵循等級。
如果客戶想在 FedRAMP 中等風險和高等風險環境中使用 Google Cloud 部署解決方案,就必須採用 Assured Workloads。Assured Workloads 讓客戶使用 Google Cloud 服務,安心地設定機密工作負載並確保安全性,藉此滿足法規遵循與安全性需求。與公有雲端資料中心不同,Assured Workloads 不採用實體基礎架構。而是提供軟體定義社群雲端,具備成本效益、速度和創新優勢。
透過 Assured Workloads 提供的 FedRAMP 授權服務會實作 FedRAMP 安全性控管機制,並讓客戶使用 Google Cloud 的功能來滿足機構需求。Assured Workloads 能讓您透過 Assured Workloads 監控,掌握 FedRAMP 工作負載的法規遵循狀態。這項工具可協助貴機構找出並解決違反法規的問題,以及為貴機構的法規遵循狀態稽核人員提供控管認證。
除了 Google Cloud 基礎架構 FedRAMP 高等風險 ATO 支援的控管功能之外,Assured Workloads 預設也實作下列重要的 FedRAMP 高等風險控管機制,可協助處理 FedRAMP 高等風險政府資料的客戶:
Google Workspace 具有 FedRAMP 高等風險 ATO,讓客戶可以運用這項服務託管 FedRAMP 中等風險和高等風險資料。如果客戶想在 FedRAMP 中等風險和高等風險環境中部署 Google Workspace,就必須啟用符合個別授權的 FedRAMP 授權服務。瞭解如何啟用或關閉 Google Workspace 的個別服務。
此外,Google Workspace Business 和 Google Workspace Enterprise 版本內建安全性控管機制與特徵集,可協助客戶符合 FedRAMP 高等風險規範,並符合自身的 ATO。Google Workspace 使用者可透過資料地區政策,將環境設為符合 FedRAMP 資料落地控管機制的規定。
如果客戶有興趣在 Google Cloud 上託管政府資料,或許也有興趣取得自身的執行授權 (ATO)。機構應考慮下列里程碑,才能在 Google Cloud 中達到 ATO:
如要進一步瞭解 ATO 程序,請參閱 FedRAMP 網站。如需 Google Cloud 的其他 FedRAMP ATO 支援,請造訪我們的 Google Cloud Consulting 頁面。
管理與預算局 (Office of Management and Budget) 近期的 FedRAMP 草案將以著重邏輯和軟體的最新雲端做法,取代過去的實體區隔法,這在風險因應方面可說是一大突破。Google Cloud 率先採用這個做法,相信這麼做,客戶就能安全地調度資源及創新。
FedRAMP 允許使用 FedRAMP 授權的基礎架構、平台和服務,對雲端服務供應商 (CSP) 進行不同等級的繼承作業。針對控管與繼承的初步分析最後會決定您身為 CSP 所應承擔的法規遵循責任。
例如,如果您的機構偏好建構應用程式的整個堆疊,當授權主管機關進行評估時,您就必須承擔更多的客戶責任/義務。如果您使用平台式服務 (PaaS) 或軟體式服務 (SaaS),可能有助於減輕法規遵循負擔。
選定 FedRAMP 授權的服務後,您可以參閱服務專用的設定指南,或直接與我們 Google Cloud Consulting 團隊的 FedRAMP 專家聯絡,讓他們協助您設定解決方案。
Google 是最早在商業公有雲服務上符合 FedRAMP 高等風險授權規範的超大規模商用雲端服務供應商之一,也是現今市場上最大的 FedRAMP 服務提供商之一。在過去,超大規模的服務提供商已將自家的「govcloud」與商用雲端產品分開,以遵守 FedRAMP 高等風險授權規範。這種做法可以確保遵循法規,但這些不同環境通常無法提供 Google 雲端基礎架構帶來的所有優勢。
借助 Google Cloud 的 FedRAMP 高影響等級授權,處理高影響力工作負載的政府機關就能以更快的速度採用所需技術,達到與商用客戶相同的規模,並運用 Google 獨有的公有雲基礎架構,包括其功能和容量。有了 Assured Workloads 或安全控管,客戶就能安心地設定機密工作負載和確保安全,並滿足他們的雲端法規遵循與安全性要求。只要選擇安全性設定,Google 就會部署必要的雲端控管措施。
以下列出取得 FedRAMP 授權的 Google Workspace 版本。請參考設定指南來部署 Google Workspace,以便符合 FedRAMP 高等風險安全控管規定。
是,必須使用 Assured Workloads 才能達到 FedRAMP 中等風險或 FedRAMP 高等風險 ATO。Assured Workloads 可讓 Google Cloud 識別客戶的聯邦工作負載,並套用技術防護機制,藉此因應聯邦法規的任何異動。Google Cloud 致力於遵循 FedRAMP 法規要求,包括 NIST 800-53 修訂版本 5 以及未來針對在 Assured Workloads 中執行的工作負載發布的版本中載明的要求。
此外,採用 Assured Workloads 是 Google Cloud 符合 FedRAMP 高等風險級別的進階支援和資料落地規定的唯一方法。Assured Workloads 不適用於具備專屬控管功能的 Google Workspace。
使用 Google Cloud 處理政府工作負載的其中一項優勢,在於我們的底層基礎架構和 Assured Workloads 已設有多項必要控管機制。因此,當您將 FedRAMP 套件提交至 FedRAMP 委員會進行授權時,您也會加上 Google 的賣方平台,其中概述 Google Cloud 管理的控管措施。請與銷售團隊聯絡,索取 Google Cloud 賣方平台的副本 (必須簽署保密協議 (NDA))。
StateRAMP (州風險與授權管理計畫) 團體是設立 StateRAMP 認證的非營利會員機構。如同 FedRAMP,這是以 NIST 800-53 架構打造,有部分是根據 FedRAMP 建立。StateRAMP 也仰賴 FedRAMP 授權的 3PAO 進行評估。Google Cloud 可以透過 Assured Workloads 使用進階資料落地和支援功能,為 StateRAMP 政府機關客戶提供服務。
FedRAMP 市集提供合格的 3PAO 清單。
Google Cloud 的賣方平台涵蓋 Google 自有的滲透測試資源,客戶可以透過使用 Google Cloud 沿用這項控管措施。如果客戶以 Google Cloud 建構自己的 FedRAMP 環境,也必須在 3PAO 評估期間進行滲透測試。
FedRAMP 允許使用 FedRAMP 授權的基礎架構、平台和服務,對雲端服務供應商 (CSP) 進行不同等級的繼承作業。針對控管與繼承的初步分析最後會決定您身為 CSP 所應承擔的法規遵循責任。
例如,如果您的機構偏好建構應用程式的整個堆疊,當授權主管機關進行評估時,您就必須承擔更多的客戶責任/義務。如果您使用平台式服務 (PaaS) 或軟體式服務 (SaaS),可能有助於減輕法規遵循負擔。
選定 FedRAMP 授權的服務後,您可以參閱服務專用的設定指南,或直接與我們 Google Cloud Consulting 團隊的 FedRAMP 專家聯絡,讓他們協助您設定解決方案。
Assured Workloads 是 Google Cloud 的功能,可讓客戶啟用特定專案設定以符合法規遵循要求。客戶也可以自行設定組織政策但不使用 Assured Workloads,以便滿足法規遵循要求。產品會分別與 Assured Workloads 相互整合,並自行強制執行組織政策。
Google Cloud 控制台是簡單的網頁式使用者介面,內含協助客戶進行部署的功能。這項產品採用 Google Cloud 基礎架構建構而成,是架構而非服務,可提供客戶管理 Google Cloud 資產的介面。Cloud 控制台客戶直接與個別 Google Cloud 服務的 API 互動,並使用服務的 API 來算繪 UI。Cloud 控制台本身沒有 API 可讓客戶進行互動。客戶改為直接與個別 Google Cloud 服務的 API 互動;Cloud 控制台會使用這些服務 API 來算繪 UI。
為符合 NIST SP 800-131A 修訂版 2 (轉換使用 Crypto 演算法和金鑰長度的做法) 的規範,客戶希望能淘汰 3DES 的使用。Google Cloud 並未使用 3DES,但為了支援所有客戶,該加密演算法仍可在 Google 端點上使用。如果您的 FedRAMP 解決方案要求移除 3DES,請與支援團隊聯絡,以便瞭解如何從 Assured Workloads 環境中移除 3DES。
FedRAMP 套件 ID FR1805751477
* 請注意,FedRAMP 高度影響等級涵蓋的所有 Google Cloud 服務,也在 FedRAMP 中度影響等級的涵蓋範圍內
* 注意:FedRAMP 中度與高度影響等級的平台會實作控制項,在網域層級限制 TLS 1.1/1.0 連線。
管理控制台 (包括 Admin SDK、Directory Sync)
AI 平台訓練和預測 (原稱 Cloud Machine Learning Engine)
Anthos Config Management (ACM)
Cloud External Key Manager (Cloud EKM)
Cloud Life Sciences (先前稱為 Google Genomics)
Cloud Load Balancing (L7 ILB/XLB)
Cloud Logging (包括 Error Reporting)
Cloud Profiler (原稱 Stackdriver Profiler)
Cloud Trace (原稱 Stackdriver Trace)
Google Cloud Identity-Aware Proxy
Google Security Operations SOAR
Identity & Access Management (IAM)
Looker Studio (包括 Pro 版,原稱 Google 數據分析)
Security Command Center Premium
Sensitive Data Protection (包括 Cloud Data Loss Prevention)
FedRAMP 套件 ID FR1805751477
* 請注意,FedRAMP 高度影響等級涵蓋的所有 Google Cloud 服務,也在 FedRAMP 中度影響等級的涵蓋範圍內
*注意:FedRAMP 中等風險與 FedRAMP 高等風險平台會導入控制項,在網域層級限制傳輸層安全標準 (TLS) 1.1/1.0 連線。
AI 平台訓練和預測 (原稱 Cloud Machine Learning Engine)
Care Studio (Cloud Healthcare Search)
Cloud Life Sciences (先前稱為 Google Genomics)
Cloud Trace (原稱 Stackdriver Trace)
Google Cloud Identity-Aware Proxy
Google Security Operations SIEM
Google Security Operations SOAR
Identity & Access Management (IAM)
Looker Studio (包含 Pro 版,原稱 Google 數據分析)
Security Command Center (包含 Web Security Scanner) (原稱 Cloud Security Scanner)
Sensitive Data Protection (包括 Cloud Data Loss Prevention)
*注意:FedRAMP 中等風險與 FedRAMP 高等風險平台會實作控制項,在網域層級限制傳輸層安全標準 (TLS) 1.1/1.0 連線。
Google Workspace Business Plus
Google Workspace Business Standard
*注意:FedRAMP 中等風險與 FedRAMP 高等風險平台會實作控制項,在網域層級限制傳輸層安全標準 (TLS) 1.1/1.0 連線。
Google Workspace Business Starter
Google Workspace Enterprise Essentials
Google Workspace Enterprise Plus
Google Workspace for Education
Google Workspace for Education Fundamentals
Google Workspace for Education Plus
Google Workspace for Education Standard
Google Workspace for Government
Google Workspace 服務 (FedRAMP 中等風險)
FedRAMP 套件 ID F1206081364
* 請注意,管理控制台和 Cloud Identity 現已併入 Google 服務套件 (FR1805751477)
*注意:FedRAMP 中等風險與 FedRAMP 高等風險平台會導入控制項,在網域層級限制傳輸層安全標準 (TLS) 1.1/1.0 連線。
Chrome 同步 (僅適用於 Google Workspace for Education 網域)
Drive REST API (已取代 Documents List API)
Gmail REST API (已取代 Email Migration API)
Google Workspace 安全中心 (僅限 Enterprise Plus 和 Google Workspace for Education Plus 網域)
FedRAMP 高影響等級授權涵蓋的所有 Google Cloud 區域,也在 FedRAMP 中影響等級授權的涵蓋範圍內。
奧勒岡州 (us-west1) - FedRAMP 高影響等級
洛杉磯 (us-west2) - FedRAMP 高影響等級
鹽湖城 (us-west3) - FedRAMP 高影響等級
拉斯維加斯 (us-west4) - FedRAMP 高影響等級
愛荷華州 (us-central1) - FedRAMP 高影響等級
奧克拉荷馬州 (us-central2) - FedRAMP 高影響等級
南卡羅來納州 (us-east1) - FedRAMP 高影響等級
北維吉尼亞州 (us-east4) - FedRAMP 高影響等級
哥倫布 (us-east5) - FedRAMP 高影響等級
達拉斯 (us-south1) - FedRAMP 高影響等級
蒙特婁 (northamerica-northeast1) - FedRAMP 中影響等級
聖保羅 (southamerica-east1) - FedRAMP 中影響等級
比利時 (europe-west1) - FedRAMP 中影響等級
倫敦 (europe-west2) - FedRAMP 中影響等級
法蘭克福 (europe-west3) - FedRAMP 中影響等級
荷蘭 (europe-west4) - FedRAMP 中影響等級
芬蘭 (europe-north1) - FedRAMP 中影響等級
孟買 (asia-south1) - FedRAMP 中影響等級
新加坡 (asia-southeast1) - FedRAMP 中影響等級
台灣 (asia-east1) - FedRAMP 中影響等級
東京 (asia-northeast1) - FedRAMP 中影響等級
雪梨 (australia-southeast1) - FedRAMP 中影響等級
蘇黎世 (europe-west6) - FedRAMP 中影響等級
華沙 (europe-central2) - FedRAMP 中影響等級
雅加達 (asia-southeast2) - FedRAMP 中影響等級
大阪 (asia-northeast2) - FedRAMP 中影響等級
首爾 (asia-northeast3) - FedRAMP 中影響等級