FedRAMP
美國聯邦政府設立了聯邦風險與授權管理計畫 (FedRAMP),這項計畫適用於整個政府機構,提供一套標準化做法供相關人員對雲端產品和服務進行安全性評估、授權和持續監控。美國國會於 2022 年修訂 FedRAMP,作為「適用於整個政府機構的計畫,針對機關用來處理未分類資訊的雲端運算產品和服務,提供標準化且可重複使用的安全性評估與授權方法。」
除了特定地端部署私有雲,所有聯邦機構的雲端部署作業和服務模型都必須符合相應風險影響等級 (低等、中等或高等) 的 FedRAMP 要求。
如果客戶有意在 Google Cloud 上託管 FedRAMP 授權的服務,就必須使用 Assured Workloads 以符合 FedRAMP 中等或高等風險影響等級。詳情請參閱下面的解說。
Google Cloud 的 FedRAMP 法規遵循
FedRAMP 委員會 (原稱「聯合授權委員會」) 是 FedRAMP 的主要監管機構,當中包含美國國防部 (DoD) 以及美國國土安全部 (DHS)、美國總務署 (GSA) 和由 GSA 官員和 FedRAMP 主管判定的其他機關。
FedRAMP 委員會針對 Google Cloud 基礎架構和特定 Google Cloud 服務產品 (CSO),核發 FedRAMP 中等風險與 FedRAMP 高等風險執行授權 (ATO)。Google Cloud 會定期將額外服務送交委員會以取得 FedRAMP 中等風險和高等風險核准。
Google Cloud 會直接為與 Google 簽訂現有保密協議 (NDA) 的客戶提供額外的 FedRAMP 法規遵循證據。符合保密協議 (NDA) 的說明文件包括:
- FedRAMP 客戶責任表 (CRM)
- Google Cloud 系統安全性方案 (SSP)
- 滲透測試報告和其他文件
我們的銷售團隊或 Google Cloud 代表可協助您存取諸多說明文件。政府機關客戶還可透過 FedRAMP 計畫管理局的套件申請表,索取 Google 的 FedRAMP 套件。
如果客戶是透過 Google 合作夥伴購買產品和服務,則由我們的合作夥伴提供購買條款及細則。
Google Workspace 的 FedRAMP 法規遵循授權
Google Workspace 符合多項美國聯邦政府與全球的雲端安全性與隱私權標準。除了 FedRAMP 高等風險授權,Google Workspace 也獲 ISO 27017、27018、27001 認證,並通過根據美國會計師協會 (AICPA) 服務機構控管 (SOC) 標準完成的稽核。
Google Cloud VMware Engine 的 FedRAMP 高等風險資料 (GCVE)
2023 年下半年,FedRAMP 計畫管理辦公室 (PMO) 透過第三方評估機構 (3PAO),依高等風險因應標準評估報告 (RAR),完成了對 Google Cloud VMware Engine (GCVE) 的審查。結果顯示 GCVE 沒有明顯的功能弱點,獲 FedRAMP 評為可因應高等風險的服務 (FedRAMP 套件 ID:FR2405153785)。
GCVE 獲 FedRAMP 評為可因應高等風險的服務後,美國聯邦政府也因此認為 GCVE 很可能獲得 FedRAMP 授權。此外,GCVE 還獲 ISO 27017、27018、27001 與 PCI DSS 認證,並通過根據美國會計師協會 (AICPA) 服務機構控管 (SOC) 標準完成的稽核。
在 Google Cloud 託管 FedRAMP 中等風險和高等風險工作負載
Google Cloud 在自家基礎架構預設的安全防護功能上投入資源,確保內建及預先設定安全性控管機制,讓客戶無須使用傳統獨立的政府雲端架構,也能達成各種法規遵循等級。
如果客戶想在 FedRAMP 中等風險和高等風險環境中使用 Google Cloud 部署解決方案,就必須採用 Assured Workloads。Assured Workloads 讓客戶使用 Google Cloud 服務,安心地設定機密工作負載並確保安全性,藉此滿足法規遵循與安全性需求。與公有雲端資料中心不同,Assured Workloads 不採用實體基礎架構。而是提供軟體定義社群雲端,具備成本效益、速度和創新優勢。
透過 Assured Workloads 提供的 FedRAMP 授權服務會實作 FedRAMP 安全性控管機制,並讓客戶使用 Google Cloud 的功能來滿足機構需求。Assured Workloads 能讓您透過 Assured Workloads 監控,掌握 FedRAMP 工作負載的法規遵循狀態。這項工具可協助貴機構找出並解決違反法規的問題,以及為貴機構的法規遵循狀態稽核人員提供控管認證。
除了 Google Cloud 基礎架構 FedRAMP 高等風險 ATO 支援的控管功能之外,Assured Workloads 預設也實作下列重要的 FedRAMP 高等風險控管機制,可協助處理 FedRAMP 高等風險政府資料的客戶:
- 設定防護機制,將 FedRAMP 高等風險客戶資料的位置限制在美國
- 將技術支援人員限縮為美國境內由 FedRAMP 裁決的人員
- 強制使用符合 FIPS-140-2 規範的靜態和傳輸資料加密
- 針對具備客戶資料常規存取權的人員,導入 FedRAMP 要求的人員存取權控管機制
- 限制開發人員只能使用符合 FedRAMP 規定的產品和服務
- 針對範圍內法規遵循邊界的邏輯區隔,以支援 FedRAMP 中等風險和高等風險規範
透過 Google Workspace 託管 FedRAMP 中等風險和高等風險資料
Google Workspace 具有 FedRAMP 高等風險 ATO,讓客戶可以運用這項服務託管 FedRAMP 中等風險和高等風險資料。如果客戶想在 FedRAMP 中等風險和高等風險環境中部署 Google Workspace,就必須啟用符合個別授權的 FedRAMP 授權服務。瞭解如何啟用或關閉 Google Workspace 的個別服務。
此外,Google Workspace Business 和 Google Workspace Enterprise 版本內建安全性控管機制與功能組,可協助客戶符合 FedRAMP 高等風險規範,並符合自身的 ATO。Google Workspace 使用者可透過資料地區政策,將環境設為符合 FedRAMP 資料落地控管機制的規定。
符合 FedRAMP 執行授權 (ATO) 的程序
如果客戶有興趣在 Google Cloud 上託管政府資料,或許也有興趣取得自身的執行授權 (ATO)。機構應考慮下列里程碑,才能在 Google Cloud 中達到 ATO:
- 判斷範圍內資料是否需要 FedRAMP 中等風險或 FedRAMP 高等風險方案
- 對於範圍內 Google Cloud 服務,選用 Assured Workloads (FedRAMP 中等風險為免費方案,而 FedRAMP 高等風險需要使用付費訂閱方案)
- 決定 Google Cloud 中的 FedRAMP 領域
- 根據共同責任模式、客戶責任表、範圍內 Google Cloud 服務和 FedRAMP 指南來設定工作負載
- 透過第三方評估機構 (3PAO) 進行稽核
- 將套件提交給 FedRAMP 委員會或聯邦機關進行審核及授權
如要進一步瞭解 ATO 程序,請參閱 FedRAMP 網站。如需 Google Cloud 的其他 FedRAMP ATO 支援,請造訪我們的 Google Cloud Consulting 頁面。