Pemerintah Federal Amerika Serikat telah memberlakukan Federal Risk and Authorization Management Program (FedRAMP), sebuah program tingkat pemerintah yang menyediakan pendekatan standar terkait penilaian keamanan, otorisasi, dan pemantauan berkelanjutan pada produk dan layanan cloud. Kongres menyusun FedRAMP pada tahun 2022, sebagai “program tingkat Pemerintah yang menyediakan pendekatan standar dan dapat digunakan kembali terkait penilaian keamanan dan otorisasi untuk produk dan layanan cloud computing yang memproses informasi terkontrol yang tidak rahasia yang digunakan oleh lembaga pemerintah.”
Semua model layanan dan deployment cloud yang digunakan oleh lembaga pemerintah federal, selain cloud pribadi lokal tertentu, harus memenuhi semua persyaratan FedRAMP sesuai dengan tingkat dampak risiko (Low, Moderate, atau High).
Pelanggan yang tertarik menggunakan layanan Google Cloud yang selaras dengan hosting FedRAMP Moderate atau High harus menggunakan Assured Workloads dan Dukungan Terjamin (hanya High).
Dewan FedRAMP (sebelumnya disebut sebagai Dewan Otorisasi Bersama) adalah lembaga pemerintah utama untuk FedRAMP, dan meliputi Departemen Pertahanan (DoD), Departemen Keamanan Dalam Negeri (DHS), Administrasi Layanan Umum (GSA), dan lembaga pemerintah lain yang ditentukan oleh GSA Administrator dan direktur FedRAMP.
Dewan FedRAMP telah menerbitkan Authority to Operate (ATO) FedRAMP Moderate dan FedRAMP High untuk infrastruktur Google Cloud dan Penawaran Layanan Google Cloud (CSO) khusus. Google Cloud secara rutin mengirimkan layanan tambahan kepada Dewan untuk mendapatkan persetujuan FedRAMP Moderate dan FedRAMP High.
Google Cloud dapat memberikan dokumentasi kepatuhan FedRAMP tambahan berikut kepada pelanggan berdasarkan perjanjian kerahasiaan (NDA):
Tim penjualan kami atau perwakilan Google Cloud Anda dapat membantu memberikan akses ke dokumentasi ini. Pelanggan pemerintah juga dapat meminta paket FedRAMP Google melalui FedRAMP Program Management Office menggunakan formulir permintaan paket tersebut.
Untuk pelanggan yang membeli melalui partner Google, persyaratan dan ketentuan pembelian ditentukan oleh partner kami.
Pelanggan dapat menggunakan Google Workspace dengan mematuhi berbagai standar pemerintah federal AS dan global untuk keamanan dan privasi cloud. Selain mempertahankan otorisasi FedRAMP High, Google Workspace juga telah mendapatkan sertifikasi ISO 27017, 27018, 27001, serta diaudit sesuai standar American Institute of Certified Public Accountants (AICPA) dan Service Organization Control (SOC).
Pada tahun 2023, Program Management Office (PMO) FedRAMP menyelesaikan peninjauan High Readiness Assessment Report (RAR) Google Cloud VMware Engine (GCVE) yang disediakan oleh organisasi penilai pihak ketiga (3PAO). Berdasarkan hasil positif peninjauan tersebut, tanpa adanya kelemahan kemampuan yang signifikan, GCVE telah diterima sebagai penawaran berstatus FedRAMP High Ready (ID Paket FedRAMP FR2405153785).
Perolehan status FedRAMP High Ready ini menunjukkan kepada Pemerintah Federal Amerika Serikat bahwa GCVE memiliki kemungkinan besar untuk memperoleh Otorisasi FedRAMP. GCVE juga telah mendapatkan sertifikasi ISO 27017, 27018, 27001, PCI-DSS serta diaudit sesuai standar American Institute of Certified Public Accountants (AICPA) dan Service Organization Control (SOC).
Investasi Google Cloud di infrastruktur kami yang sangat mengutamakan keamanan memastikan bahwa kontrol keamanan sudah terintegrasi dan dikonfigurasikan sebelumnya untuk memungkinkan pelanggan mencapai berbagai tingkat kepatuhan tanpa arsitektur cloud pemerintah tradisional yang terisolasi.
Pelanggan yang ingin men-deploy solusi mereka menggunakan Google Cloud pada lingkungan FedRAMP Moderate dan High harus menggunakan Assured Workloads. Dengan Assured Workloads, pelanggan dapat dengan yakin mengamankan dan mengonfigurasi workload yang sensitif guna mendukung persyaratan kepatuhan dan keamanan untuk menggunakan layanan Google Cloud. Assured Workloads tidak mengandalkan infrastruktur fisik yang berbeda dari pusat data cloud publiknya. Sebagai gantinya, produk ini menghadirkan Cloud Komunitas yang Software-Defined yang menawarkan keuntungan dari segi biaya, kecepatan, dan inovasi.
Layanan yang diotorisasi FedRAMP tersedia melalui Assured Workloads yang menerapkan kontrol keamanan FedRAMP dan memungkinkan pelanggan menggunakan kemampuan Google Cloud untuk memenuhi kebutuhan organisasi mereka. Assured Workloads juga menyediakan visibilitas terhadap status kepatuhan workload FedRAMP melalui Assured Workloads Monitoring. Alat ini dapat membantu Anda menemukan dan memperbaiki pelanggaran terhadap kepatuhan, serta menyediakan pengesahan kontrol kepada auditor atas status kepatuhan Anda.
Selain kontrol yang dipenuhi oleh infrastruktur Google Cloud dengan ATO FedRAMP High, Assured Workloads juga menerapkan kontrol kunci FedRAMP High secara default untuk pelanggan yang menangani data pemerintah dengan FedRAMP High:
Google Workspace mempertahankan ATO FedRAMP High, yang dapat dimanfaatkan pelanggan untuk menghosting data FedRAMP Moderate dan High. Pelanggan yang ingin men-deploy Google Workspace di lingkungan FedRAMP Moderate dan High harus mengaktifkan layanan yang diotorisasi FedRAMP serta sesuai dengan otorisasi yang terkait. Pelajari cara mengaktifkan atau menonaktifkan layanan Google Workspace.
Selain itu, edisi Google Workspace Business dan Enterprise memiliki kontrol keamanan bawaan dan set fitur yang memungkinkan pelanggan memenuhi FedRAMP High dan menyelaraskan ATO mereka sendiri. Pengguna Google Workspace dapat mengonfigurasi lingkungan mereka untuk mematuhi kontrol residensi data FedRAMP dengan menggunakan kebijakan Region Data.
Pelanggan yang perlu menghosting data pemerintah di Google Cloud mungkin juga perlu mendapatkan Authority to Operate (ATO) mereka sendiri. Organisasi perlu mempertimbangkan tonggak pencapaian berikut untuk mendapatkan ATO di Google Cloud:
Untuk mengetahui informasi selengkapnya tentang proses ATO, buka situs FedRAMP. Untuk mendapatkan dukungan tambahan mengenai ATO FedRAMP dari Google Cloud, kunjungi halaman Google Cloud Consulting kami.
Draf memorandum FedRAMP terbaru dari Office of Management and Budget, yang mendukung pendekatan cloud modern berdasarkan pemisahan berbasis logika dan software, bukan pemisahan fisik, adalah langkah besar ke arah yang benar. Google Cloud memelopori pendekatan ini dan yakin bahwa hal ini memberdayakan pelanggan untuk meningkatkan skala dan berinovasi dengan aman.
FedRAMP mengizinkan tingkat pewarisan yang beragam untuk penyedia layanan cloud (CSP) yang menggunakan infrastruktur, platform, dan layanan yang diotorisasi FedRAMP. Analisis awal terkait kontrol vs. pewarisan ini pada akhirnya akan menentukan seberapa besar tanggung jawab kepatuhan yang Anda miliki sebagai CSP.
Contohnya, jika organisasi Anda memilih untuk membangun seluruh stack aplikasi, Anda juga akan memiliki tanggung jawab/kewajiban pelanggan yang lebih besar saat proses evaluasi oleh Petugas Otorisasi. Jika Anda menggunakan Platform as a Service atau Software as a Service, beban kepatuhan mungkin akan lebih sedikit.
Setelah Anda memilih layanan yang diotorisasi FedRAMP, Google akan membantu mengonfigurasi solusi Anda melalui panduan konfigurasi khusus layanan atau interaksi langsung dengan pakar FedRAMP di organisasi Google Cloud Consulting kami.
Google adalah salah satu penyedia cloud komersial hyperscale pertama yang memperoleh FedRAMP High pada penawaran cloud publik komersial, dan merupakan salah satu penyedia layanan FedRAMP terbesar yang ada di pasaran saat ini. Sebelumnya, penyedia hyperscale memisahkan “govclouds” mereka dari penawaran cloud komersial untuk memenuhi persyaratan FedRAMP High. Pendekatan ini dapat memberikan kepatuhan, tetapi lingkungan terpisah ini sering kali tidak menghadirkan manfaat yang dapat diberikan oleh infrastruktur Google Cloud.
Otorisasi FedRAMP High pada Google Cloud memungkinkan lembaga pemerintah yang memproses workload berdampak tinggi untuk mengadopsi teknologi dengan kecepatan yang lebih tinggi dan pada skala yang sama dengan pelanggan komersial, serta memanfaatkan infrastruktur cloud publik Google yang unik, termasuk dalam hal kemampuan dan juga kapasitasnya. Dengan Assured Workloads atau Assured Controls, pelanggan dapat dengan yakin mengamankan dan mengonfigurasi workload yang sensitif untuk mendukung persyaratan kepatuhan dan keamanan mereka di cloud. Pilih setelan keamanan Anda, dan Google akan menempatkan kontrol cloud yang diperlukan.
Daftar edisi Google Workspace yang diotorisasi FedRAMP tercantum di bawah ini. Berikut panduan konfigurasi untuk men-deploy Google Workspace guna mendukung kepatuhan terhadap kontrol keamanan FedRAMP High.
Ya, Assured Workloads diperlukan untuk memperoleh ATO FedRAMP Moderate atau FedRAMP High. Assured Workloads memberi Google Cloud kemampuan untuk mengidentifikasi workload federal pelanggan dan menerapkan batasan teknis agar sesuai dengan perubahan apa pun pada peraturan Federal. Google Cloud berkomitmen untuk mempertahankan persyaratan kepatuhan terhadap FedRAMP, termasuk hal-hal yang disebutkan dalam NIST 800-53 Revision 5 dan yang akan dirilis untuk workload yang berjalan dalam Assured Workloads.
Selain itu, Assured Workloads adalah satu-satunya cara agar Google Cloud dapat memenuhi persyaratan residensi data dan dukungan FedRAMP High yang ditingkatkan. Assured Workloads tidak berlaku untuk Google Workspace, yang memiliki kontrol tersendiri.
Salah satu manfaat menggunakan Google Cloud untuk workload di sektor pemerintah adalah bahwa sejumlah kontrol yang diperlukan telah tersedia dalam infrastruktur dasar dan Assured Workloads kami. Jadi, saat Anda mengirimkan paket FedRAMP kepada Dewan FedRAMP untuk diotorisasi, Anda juga akan menyertakan SSP Google, yang menjelaskan kontrol yang dikelola Google Cloud. Harap hubungi tim penjualan Anda untuk mendapatkan salinan SSP Google Cloud (NDA diperlukan).
Kelompok StateRAMP (State Risk and Authorization Management Program) adalah organisasi keanggotaan nonprofit yang menetapkan sertifikasi StateRAMP. Seperti FedRAMP, StateRAMP dibuat berdasarkan framework NIST 800-53 dan sebagian dirancang mengikuti FedRAMP. StateRAMP juga mengandalkan Organisasi Penilaian Pihak Ketiga (3PAO) yang diotorisasi FedRAMP untuk melakukan penilaian. Google Cloud siap mendukung pelanggan pemerintah StateRAMP dengan kemampuan dukungan dan residensi data yang ditingkatkan melalui Assured Workloads.
FedRAMP Marketplace mengelola daftar 3PAO yang memenuhi syarat.
SSP Google Cloud mencakup resource yang dimiliki Google untuk uji penetrasi, dan pelanggan dapat mewarisi kontrol ini dengan menggunakan Google Cloud. Uji penetrasi terhadap lingkungan FedRAMP pelanggan yang dibangun menggunakan Google Cloud juga harus dilakukan selama proses penilaian oleh 3PAO.
FedRAMP mengizinkan tingkat pewarisan yang beragam untuk penyedia layanan cloud (CSP) yang menggunakan infrastruktur, platform, dan layanan yang diotorisasi FedRAMP. Analisis awal terkait kontrol vs. pewarisan ini pada akhirnya akan menentukan seberapa besar tanggung jawab kepatuhan yang Anda miliki sebagai CSP.
Contohnya, jika organisasi Anda memilih untuk membangun seluruh stack aplikasi, Anda juga akan memiliki tanggung jawab/kewajiban pelanggan yang lebih besar saat proses evaluasi oleh Petugas Otorisasi. Jika Anda menggunakan Platform as a Service atau Software as a Service, beban kepatuhan mungkin akan lebih sedikit.
Setelah Anda memilih layanan yang diotorisasi FedRAMP, Google akan membantu mengonfigurasi solusi Anda melalui panduan konfigurasi khusus layanan atau interaksi langsung dengan pakar FedRAMP di organisasi Google Cloud Consulting kami.
Assured Workloads adalah fitur Google Cloud yang dapat digunakan pelanggan untuk mengaktifkan konfigurasi project tertentu agar memenuhi persyaratan standar kepatuhan. Pelanggan juga dapat menetapkan sendiri kebijakan organisasi yang sesuai dengan persyaratan kepatuhan tanpa menggunakan Assured Workloads. Produk secara terpisah terintegrasi dengan Assured Workloads dan menerapkan kebijakan organisasinya sendiri.
Konsol Google Cloud adalah antarmuka pengguna berbasis web sederhana yang memiliki fitur untuk membantu Pelanggan terkait deployment. Konsol ini merupakan sebuah framework, bukan layanan, yang dibangun di infrastruktur Google Cloud yang memberikan antarmuka kepada pelanggan untuk mengelola aset Google Cloud mereka. Pelanggan Konsol Cloud berinteraksi langsung dengan masing-masing API layanan Google Cloud dan menggunakan API layanan tersebut untuk merender UI. Konsol Cloud sendiri tidak memiliki API yang dapat digunakan pelanggan untuk berinteraksi dengannya. Sebagai gantinya, pelanggan berinteraksi langsung dengan masing-masing API layanan Google Cloud, Konsol Cloud menggunakan layanan API tersebut untuk merender UI.
Sejalan dengan NIST SP 800-131A Rev. 2, Transitioning the Use of Crypto Algorithms and Key Lengths, pelanggan berupaya untuk menghentikan penggunaan 3DES. Google Cloud tidak menggunakan 3DES, tetapi untuk mendukung semua pelanggan kami, 3DES masih tersedia di endpoint Google. Jika solusi FedRAMP Anda memerlukan penghapusan 3DES, harap hubungi dukungan untuk membantu penghapusannya dari lingkungan Assured Workloads Anda.
ID Paket FedRAMP FR1805751477
*Perlu diperhatikan bahwa semua layanan Google Cloud yang tercakup dalam FedRAMP High juga tercakup dalam FedRAMP Moderate
*Catatan: Platform FedRAMP Moderate dan FedRAMP High menerapkan kontrol yang membatasi koneksi TLS 1.1/1.0 di tingkat domain.
Konsol Admin (termasuk Admin SDK, Directory Sync)
Neural Architecture Search (NAS) AI Platform
AI Platform Training and Prediction (sebelumnya Cloud Machine Learning Engine)
Anthos Config Management (ACM)
BigQuery Data Transfer Service
Cloud External Key Manager (Cloud EKM)
Cloud Life Sciences (sebelumnya Google Genomics)
Cloud Load Balancing (L7 ILB/XLB)
Cloud Load Balancing (Load Balancing Jaringan)
Cloud Logging (termasuk Error Reporting)
Cloud NAT (Penafsiran Alamat Jaringan)
Cloud Profiler (sebelumnya Stackdriver Profiler)
Cloud Run (terkelola sepenuhnya)
Cloud Trace (sebelumnya Stackdriver Trace)
Filestore (tingkat HDD Dasar dan SSD Dasar)
Google Cloud Identity-Aware Proxy
Google Security Operations SOAR
Identity & Access Management (IAM)
Key Access Justifications (KAJ)
Looker Studio (termasuk Looker Studio Pro, sebelumnya Google Data Studio)
Security Command Center Premium
Sensitive Data Protection (termasuk Cloud Data Loss Prevention)
Notebooks yang Dikelola Pengguna Vertex AI Workbench (sebelumnya Notebooks AI Platform)
ID Paket FedRAMP FR1805751477
*Perlu diperhatikan bahwa semua layanan Google Cloud yang tercakup dalam FedRAMP High juga tercakup dalam FedRAMP Moderate
*Catatan: Platform FedRAMP Moderate dan FedRAMP High menerapkan kontrol yang membatasi koneksi TLS 1.1/1.0 di tingkat domain.
AI Platform Training and Prediction (sebelumnya Cloud Machine Learning Engine)
BigQuery Data Transfer Service
Care Studio (Cloud Healthcare Search)
Cloud Life Sciences (sebelumnya Google Genomics)
Cloud NAT (Penafsiran Alamat Jaringan)
Cloud Run (terkelola sepenuhnya)
Cloud Trace (sebelumnya Stackdriver Trace)
Filestore (tingkat HDD Dasar dan SSD Dasar)
Google Cloud Identity-Aware Proxy
Google Security Operations SIEM
Google Security Operations SOAR
Identity & Access Management (IAM)
Key Access Justifications (KAJ)
Looker Studio (termasuk Looker Studio Pro, sebelumnya Google Data Studio)
Security Command Center (termasuk Web Security Scanner) (sebelumnya Cloud Security Scanner)
Sensitive Data Protection (termasuk Cloud Data Loss Prevention)
Vertex AI Neural Architecture Search
Notebooks yang Dikelola Pengguna Vertex AI Workbench (sebelumnya Notebooks AI Platform)
*Catatan: Platform FedRAMP Moderate dan FedRAMP High menerapkan kontrol yang membatasi koneksi TLS 1.1/1.0 di tingkat domain.
Google Workspace Business Plus
Google Workspace Business Standard
*Catatan: Platform FedRAMP Moderate dan FedRAMP High menerapkan kontrol yang membatasi koneksi TLS 1.1/1.0 di tingkat domain.
Google Workspace Business Starter
Google Workspace Enterprise Essentials
Google Workspace Enterprise Plus
Google Workspace for Education
Google Workspace for Education Fundamentals
Google Workspace for Education Plus
Google Workspace for Education Standard
Google Workspace for Government
Google Workspace for Nonprofits
ID Paket FedRAMP F1206081364
*Perlu diperhatikan bahwa Konsol Admin dan Cloud Identity kini menjadi bagian dari paket Layanan Google (FR1805751477)
*Catatan: Platform FedRAMP Moderate dan FedRAMP High menerapkan kontrol yang membatasi koneksi TLS 1.1/1.0 di tingkat domain.
Layanan Google Workspace (FedRAMP Moderate)
ID Paket FedRAMP F1206081364
*Perlu diperhatikan bahwa Konsol Admin dan Cloud Identity kini menjadi bagian dari paket Layanan Google (FR1805751477)
*Catatan: Platform FedRAMP Moderate dan FedRAMP High menerapkan kontrol yang membatasi koneksi TLS 1.1/1.0 di tingkat domain.
Pengelola Perangkat Chrome dan Android
Sinkronisasi Chrome (khusus untuk domain Google Workspace for Education)
Cloud Search (termasuk pihak ketiga)
Drive REST API (menggantikan Documents List API)
Semua region Google Cloud yang tercakup dalam FedRAMP High juga tercakup dalam FedRAMP Moderate.
Oregon (us-west1) - FedRAMP High
Los Angeles (us-west2) - FedRAMP High
Salt Lake City (us-west3) - FedRAMP High
Las Vegas (us-west4) - FedRAMP High
Iowa (us-central1) - FedRAMP High
Oklahoma (us-central2) - FedRAMP High
South Carolina (us-east1) - FedRAMP High
Northern Virginia (us-east4) - FedRAMP High
Columbus (us-east5) - FedRAMP High
Dallas (us-south1) - FedRAMP High
Montreal (northamerica-northeast1) - FedRAMP Moderate
São Paulo (southamerica-east1) - FedRAMP Moderate
Belgia (europe-west1) - FedRAMP Moderate
London (europe-west2) - FedRAMP Moderate
Frankfurt (europe-west3) - FedRAMP Moderate
Belanda (europe-west4) - FedRAMP Moderate
Finlandia (europe-north1) - FedRAMP Moderate
Mumbai (asia-south1) - FedRAMP Moderate
Singapura (asia-southeast1) - FedRAMP Moderate
Taiwan (asia-east1) - FedRAMP Moderate
Tokyo (asia-northeast1) - FedRAMP Moderate
Sydney (australia-southeast1) - FedRAMP Moderate
Zurich (europe-west6) - FedRAMP Moderate
Warsawa (europe-central2) - FedRAMP Moderate
Jakarta (asia-southeast2) - FedRAMP Moderate
Osaka (asia-northeast2) - FedRAMP Moderate
Seoul (asia-northeast3) - FedRAMP Moderate
Mulailah membangun solusi di Google Cloud dengan kredit gratis senilai $300 dan lebih dari 20 produk yang selalu gratis.