FedRAMP
Die US-Bundesregierung hat das US-Bundesprogramm zur Risiko- und Autorisierungsverwaltung (Federal Risk and Authorization Management Program – FedRAMP) als regierungsweites Programm ins Leben gerufen, das einen standardisierten Ansatz für die Sicherheitsbewertung, Autorisierung und kontinuierliche Kontrolle von Cloud-Produkten und -Diensten bietet. Der US-Kongress hat FedRAMP im Jahr 2022 als „regierungsweites Programm, das einen standardisierten, wiederverwendbaren Ansatz für die Sicherheitsbewertung und Autorisierung für Cloud-Computing-Produkte und -Dienste bietet, die nicht klassifizierte, von Behörden verwendete Informationen verarbeiten“ eingeführt.
Mit Ausnahme bestimmter lokaler privater Clouds müssen alle Cloud-Bereitstellungen und -Dienstmodelle der US-Bundesbehörde FedRAMP-Anforderungen auf der entsprechenden Risikostufe (Low, Moderate oder High) erfüllen.
Kunden, die gemäß FedRAMP autorisierte Dienste in Google Cloud hosten möchten, müssen Assured Workloads verwenden, um die Vorgaben des FedRAMP Moderate oder High Impact Level zu erfüllen. Siehe unten für weitere Informationen.
FedRAMP-Compliance von Google Cloud
Das FedRAMP Board (früher Joint Authorization Board) ist das primäre Leitungsgremium von FedRAMP und umfasst das Department of Defense (DoD), das Department of Homeland Security (DHS) und die General Services Administration (GSA) und weitere Behörden, die vom Administrator der Google Search Appliance und des FedRAMP-Direktors festgelegt werden.
Der FedRAMP Board hat FedRAMP Moderate und FedRAMP High Authority to Operate (ATO) für die Google Cloud-Infrastruktur und bestimmte Google Cloud-Serviceangebote (CSOs) erlassen. Google Cloud reicht regelmäßig zusätzliche Dienste für die FedRAMP Moderate- und High-Zulassungen an das Gremium ein.
Google Cloud stellt Kunden, die mit uns eine Vertraulichkeitsvereinbarung (Non-Disclosure Agreement, NDA) getroffen haben, direkt zusätzliche FedRAMP-Compliance-Nachweise zur Verfügung. Im Rahmen der Vertraulichkeitsvereinbarung sind unter anderem folgende Dokumente verfügbar:
- FedRAMP Customer Responsibility Matrix (CRM)
- Systemsicherheitsplan (SSP) von Google Cloud
- Penetrationstestberichte und andere Dokumente
UnserVertriebsteam oder Ihr Google Cloud-Ansprechpartner können Ihnen Zugriff auf unsere erweiterte Dokumentation gewähren. Kunden von Behörden können das FedRAMP-Paket von Google auch über das FedRAMP Program Management Office über das entsprechende Antragsformular für das Paket anfordern.
Bei Kunden, die den Kauf über einen Google-Partner tätigen, gelten die Nutzungsbedingungen unserer Partner.
FedRAMP-Compliance von Google Workspace
Google Workspace erfüllt verschiedene Standards der US-Regierung sowie globale Standards für Sicherheit und Datenschutz in der Cloud. Google Workspace hat nicht nur eine FedRAMP High-Autorisierung, sondern ist auch nach ISO 27017, 27018, 27.001 zertifiziert und nach den SOC-Standards (Service Organization Control) des American Institute of Certified Public Accountants (AICPA) geprüft.
FedRAMP High Data in Google Cloud VMware Engine (GCVE)
Ende 2023 hat das Program Management Office (PMO) von FedRAMP die Überprüfung des Google Cloud VMware Engine (GCVE) High Readiness Assessment Report (RAR) abgeschlossen, der durch eine externe Bewertungsorganisation (3PAO) eingereicht wurde. Basierend auf den positiven Ergebnissen der Überprüfung, bei denen keine nennenswerten Schwachstellen gefunden wurden, wurde GCVE als FedRAMP High-Ready-Angebot (FedRAMP-Paket-ID FR2405153785) akzeptiert.
Der Erhalt von FedRAMP High Ready weist gegenüber der US-Bundesregierung darauf hin, dass GCVE mit hoher Wahrscheinlichkeit eine FedRAMP-Autorisierung erhält. GCVE ist außerdem nach ISO 27017, 27018, 27001, PCI- DSS zertifiziert und nach den SOC-Standards (Service Organization Control) des American Institute of Certified Public Accountants (AICPA) geprüft.
Mittlere und hohe FedRAMP-Arbeitslasten in Google Cloud hosten
Die Investitionen von Google Cloud in die standardmäßige Sicherheit unserer Infrastruktur sorgen dafür, dass Sicherheitskontrollen eingebunden und vorkonfiguriert sind, sodass Kunden auch ohne herkömmliche isolierte staatliche Cloud-Architektur verschiedene Compliance-Stufen erreichen können.
Kunden, die ihre Lösungen mit Google Cloud in ihren FedRAMP-Umgebungen mittlerer und hoher Priorität bereitstellen möchten, müssen Assured Workloads verwenden. Mit Assured Workloads können Kunden sensible Arbeitslasten mit Google Cloud-Diensten souverän schützen und konfigurieren, damit sie Compliance- und Sicherheitsanforderungen erfüllen. Assured Workloads stützt sich anders als seine öffentlichen Cloud-Rechenzentren nicht auf eine physische Infrastruktur. Stattdessen wird eine Software Defined Community Cloud bereitgestellt, die Kosten-, Geschwindigkeits- und Innovationsvorteile bietet.
Durch FedRAMP autorisierte Dienste, die über Assured Workloads zur Verfügung gestellt werden, implementieren FedRAMP-Sicherheitskontrollen und ermöglichen es Kunden, die Funktionen von Google Cloud für ihre organisatorischen Anforderungen zu nutzen. Assured Workloads bietet über das Assured Workloads-Monitoring außerdem Einblick in den Compliancestatus von FedRAMP-Arbeitslasten. Mit diesem Tool können Sie Complianceverstöße leichter erkennen und beheben und Auditoren Ihres Compliancestatus Kontrollattestierungen zur Verfügung stellen.
Zusätzlich zu den Kontrollen, die durch die Google Cloud-Infrastruktur gemäß FedRAMP High ATO abgedeckt werden, implementiert Assured Workloads die folgenden wichtigen FedRAMP High-Kontrollen standardmäßig für Kunden, die FedRAMP High-Regierungsdaten verarbeiten:
- Leitlinien festlegen, um den Speicherort von FedRAMP High-Kundendaten auf die USA zu beschränken
- Beschränkung des technischen Supports auf Mitarbeiter mit FedRAMP-Prüfung in den USA
- Verwendung einer FIPS-140-2-konformen Verschlüsselung für ruhende Daten und Übertragung erzwingen
- Zugriffskontrollen für Mitarbeiter mit routinemäßigem Zugriff auf Kundendaten implementieren, die gemäß FedRAMP erforderlich sind
- Entwickler dürfen nur FedRAMP-konforme Produkte und Dienste verwenden
- Logische Segmentierung der Compliance-Grenze, die unter die Vorgaben fällt, um die Anforderungen von FedRAMP Moderate und High zu unterstützen
FedRAMP Moderate und High Data in Google Workspace hosten
Für Google Workspace gilt das FedRAMP High-ATO, das Kunden zum Hosten von Daten mit dem Status „FedRAMP Moderate“ und „High“ verwenden können. Kunden, die Google Workspace in ihren FedRAMP-Umgebungen mittlerer oder hoher Stufe bereitstellen möchten, sollten die von FedRAMP autorisierten Dienste aktivieren, die der jeweiligen Autorisierung entsprechen. Informationen zum Aktivieren oder Deaktivieren eines Dienstes für Google Workspace
Darüber hinaus haben Google Workspace Business und Google Workspace Enterprise integrierte Sicherheitskontrollen und Funktionssets, mit denen Kunden die FedRAMP High-Anforderungen erfüllen und ihr ATO-Team entsprechend anpassen können. Google Workspace-Nutzer können ihre Umgebungen mithilfe einer Richtlinie für Speicherorte für Daten so konfigurieren, dass sie die FedRAMP-Datenstandortkontrollen erfüllen.
Verfahren zur Erreichung einer FedRAMP Authority to Operate (ATO)
Kunden, die Regierungsdaten in Google Cloud hosten möchten, sind möglicherweise auch an einer eigenen Authority to Operate (ATO) interessiert. Organisationen sollten beim Erreichen eines ATO in Google Cloud die folgenden Meilensteine berücksichtigen:
- Feststellen, ob für die unter die Vorgabe fallenden Daten FedRAMP Moderate oder FedRAMP High erforderlich sind
- Wählen Sie Assured Workloads (FedRAMP Moderate ist eine kostenlose Stufe und FedRAMP High erfordert ein Premium-Abo) für die entsprechenden Google Cloud-Dienste aus.
- In Google Cloud Ihre FedRAMP-Grenze festlegen
- Arbeitslasten gemäß dem Modell der geteilten Verantwortung, der Customer Responsibility Matrix, der entsprechenden Google Cloud-Dienste und den FedRAMP-Richtlinien konfigurieren
- Prüfung mit einer externen Bewertungsorganisation (3PAO)
- Paket zur Überprüfung und Autorisierung beim FedRAMP Board oder einer Bundesbehörde einreichen
Weitere Informationen zum ATO-Prozess finden Sie auf der FedRAMP-Website. Zusätzlichen FedRAMP ATO-Support von Google Cloud finden Sie auf der Seite Google Cloud Consulting.