FedRAMP
Il Governo Federale degli Stati Uniti ha istituito il Federal Risk and Authorization Management Program (FedRAMP), un programma a livello governativo che fornisce un approccio standardizzato riguardo a valutazione, autorizzazione e monitoraggio continuo della sicurezza per prodotti e servizi cloud. Nel 2022, il Congresso ha codificato il FedRAMP come "un programma a livello governativo che fornisce un approccio standardizzato e riutilizzabile alla valutazione e all'autorizzazione della sicurezza per i prodotti e i servizi di cloud computing che trattano informazioni non classificate utilizzate dalle agenzie".
Tutti i modelli di servizio e i deployment su cloud delle agenzie federali, eccetto alcuni cloud privati on-premise, devono soddisfare i requisiti FedRAMP secondo il livello di impatto del rischio appropriato (Low, Moderate o High).
I clienti interessati a utilizzare i servizi Google Cloud in allineamento con l'hosting di livello medio o elevato di FedRAMP devono utilizzare Assured Workloads e Assistenza di Assured (solo High).
Conformità FedRAMP di Google Cloud
Il FedRAMP Board (precedentemente noto come Joint Authorization Board) è l'organo direttivo principale della FedRAMP e include il Department of Defense (DoD), il Department of Homeland Security (DHS), il General Services Administration (GSA) e altre agenzie come stabilito dall'amministratore di GSA e dal direttore di FedRAMP.
Il FedRAMP Board ha rilasciato FedRAMP Moderate e FedRAMP High Authority to Operate (ATO) per l'infrastruttura Google Cloud e per specifiche offerte di servizi Google Cloud (CSO). Google Cloud invia regolarmente al Board servizi aggiuntivi per le approvazioni FedRAMP Moderate e High.
Google Cloud può fornire la seguente documentazione aggiuntiva sulla conformità FedRAMP ai clienti ai sensi dell'accordo di non divulgazione (NDA):
- Matrice delle responsabilità del cliente (CRM) di FedRAMP
- Piano di sicurezza del sistema (SSP) di Google Cloud
- Report sui test di penetrazione e altri documenti
Il nostro team di vendita o il tuo rappresentante di Google Cloud possono aiutarti ad accedere a questa documentazione. I clienti governativi possono richiedere anche il pacchetto FedRAMP di Google tramite il FedRAMP Program Management Office utilizzando il relativo modulo di richiesta.
Per i clienti che effettuano l'acquisto tramite un partner Google, i termini e le condizioni di acquisto dipendono dai nostri partner.
Conformità FedRAMP di Google Workspace
I clienti possono utilizzare Google Workspace in conformità con vari standard globali e del governo federale degli Stati Uniti per la privacy e la sicurezza del cloud. Oltre a mantenere un'autorizzazione FedRAMP High, Google Workspace ha anche ottenuto la certificazione ISO 27017, 27018, 27001, ed è controllato in base agli standard SOC (Service Organization Control) dell'AICPA (American Institute of Certified Public Accountants.
Google Cloud VMware Engine (GCVE) FedRAMP High Readiness
Nel 2023, il FedRAMP Program Management Office (PMO) ha completato la revisione dell'High Readiness Assessment Report (RAR) di Google Cloud VMware Engine (GCVE) fornito da un'organizzazione di valutazione di terze parti (3PAO). In base ai risultati positivi della revisione, in assenza di punti deboli nelle capacità, GCVE è stato accettato come offerta FedRAMP High Ready (ID pacchetto FedRAMP FR2405153785).
Il raggiungimento di FedRAMP High Ready dimostra al governo federale degli Stati Uniti che GCVE ha un'alta probabilità di ottenere un'autorizzazione FedRAMP. GCVE ha anche ottenuto la certificazione ISO 27017, 27018, 27001, PCI-DSS ed è controllato in base agli standard SOC (Service Organization Control) dell'American Institute of Certified Public Accountants (AICPA).
Hosting di carichi di lavoro FedRAMP Moderate e High su Google Cloud
L'investimento di Google Cloud nella nostra infrastruttura di sicurezza predefinita garantisce che i controlli di sicurezza siano integrati e preconfigurati per consentire ai clienti di raggiungere vari livelli di conformità senza una tradizionale architettura cloud governativa isolata.
I clienti che vogliono eseguire il deployment delle proprie soluzioni utilizzando Google Cloud nei propri ambienti FedRAMP Moderate e High devono utilizzare Assured Workloads. Assured Workloads consente ai clienti di proteggere e configurare in modo sicuro carichi di lavoro sensibili per supportare i requisiti di conformità e sicurezza utilizzando i servizi Google Cloud. Assured Workloads non si basa su un'infrastruttura fisica distinta dai data center nel cloud pubblico. Al contrario, offre una Community Cloud software-defined che offre vantaggi in termini di costi, velocità e innovazione.
I servizi autorizzati FedRAMP resi disponibili tramite Assured Workloads implementano i controlli di sicurezza di FedRAMP e consentono ai clienti di utilizzare le funzionalità di Google Cloud per soddisfare le loro esigenze organizzative. Assured Workloads offre inoltre visibilità sullo stato di conformità dei carichi di lavoro FedRAMP tramite il monitoraggio di Assured Workloads. Questo strumento può aiutarti a individuare e risolvere le violazioni della conformità e a fornire attestati di controllo ai revisori del tuo stato di conformità.
Oltre ai controlli soddisfatti dall'infrastruttura Google Cloud FedRAMP High ATO, Assured Workloads implementa per impostazione predefinita i seguenti controlli chiave FedRAMP High per i clienti che gestiscono dati governativi FedRAMP High:
- Sistemi di protezione per limitare la posizione dei dati dei clienti FedRAMP High agli Stati Uniti
- Personale di assistenza tecnica limitato a personale assegnato da FedRAMP situato negli Stati Uniti
- Crittografia at-rest e in transito conforme a FIPS-140-2
- Controlli dell'accesso del personale per chi ha accesso di routine ai dati dei clienti
- Sono consentiti solo prodotti e servizi conformi a FedRAMP
- Segmentazione logica del confine di conformità in ambito per supportare i requisiti FedRAMP Moderate e High
Hosting di dati FedRAMP Moderate e High su Google Workspace
Google Workspace gestisce un ATO FedRAMP High, che i clienti possono sfruttare per ospitare i dati FedRAMP Moderate e High. I clienti che vogliono eseguire il deployment di Google Workspace nei propri ambienti FedRAMP Moderate e High devono abilitare i servizi autorizzati FedRAMP che soddisfano le rispettive autorizzazioni. Scopri come attivare o disattivare un servizio per Google Workspace.
Inoltre, le versioni Business ed Enterprise di Google Workspace dispongono di controlli di sicurezza e di set di funzionalità integrati che consentono ai clienti di soddisfare i requisiti FedRAMP High e allineare il proprio ATO. Gli utenti di Google Workspace possono configurare i propri ambienti per soddisfare i controlli di residenza dei dati di FedRAMP utilizzando un criterio per la regione di dati.
Procedura per ottenere l'autorizzazione a operare (ATO) FedRAMP
I clienti interessati a ospitare dati governativi su Google Cloud potrebbero essere interessati anche a ottenere l'autorizzazione a operare (ATO). Le organizzazioni dovrebbero prendere in considerazione i seguenti obiettivi per ottenere un'ATO su Google Cloud:
- Determinare se i dati in ambito richiedono FedRAMP Moderate o FedRAMP High
- Seleziona Assured Workloads (FedRAMP Moderate è incluso nel livello gratuito, FedRAMP High richiede un abbonamento premium) per i servizi Google Cloud inclusi nell'ambito
- Definire il confine di FedRAMP all'interno di Google Cloud
- Configurare i carichi di lavoro in base al modello di responsabilità condivisa, alla matrice delle responsabilità del cliente, ai servizi Google Cloud inclusi nell'ambito e alle linee guida FedRAMP.
- Esecuzione di un audit con un'organizzazione di valutazione di terze parti (3PAO)
- Invio del pacchetto al FedRAMP Board o all'agenzia federale per la revisione e l'autorizzazione
Per ulteriori informazioni sulla procedura ATO, consulta il sito web FedRAMP. Per ulteriore assistenza su FedRAMP ATO da parte di Google Cloud, visita la nostra pagina di Google Cloud Consulting.