Die US-Bundesregierung hat das US-Bundesprogramm zur Risiko- und Autorisierungsverwaltung (Federal Risk and Authorization Management Program – FedRAMP) als regierungsweites Programm ins Leben gerufen, das einen standardisierten Ansatz für die Sicherheitsbewertung, Autorisierung und kontinuierliche Kontrolle von Cloud-Produkten und -Diensten bietet. Der US-Kongress hat FedRAMP im Jahr 2022 als „regierungsweites Programm, das einen standardisierten, wiederverwendbaren Ansatz für die Sicherheitsbewertung und Autorisierung für Cloud-Computing-Produkte und -Dienste bietet, die nicht klassifizierte, von Behörden verwendete Informationen verarbeiten“ eingeführt.
Mit Ausnahme bestimmter lokaler privater Clouds müssen alle Cloud-Bereitstellungen und -Dienstmodelle der US-Bundesbehörde FedRAMP-Anforderungen auf der entsprechenden Risikostufe (Low, Moderate oder High) erfüllen.
Kunden, die Google Cloud-Dienste in Übereinstimmung mit FedRAMP Moderate- oder High-Level-Hosting nutzen möchten, müssen Assured Workloads und Assured-Support (nur High) verwenden.
Das FedRAMP Board (früher Joint Authorization Board) ist das primäre Leitungsgremium von FedRAMP und umfasst das Department of Defense (DoD), das Department of Homeland Security (DHS) und die General Services Administration (GSA) und weitere Behörden, die vom Administrator der Google Search Appliance und des FedRAMP-Direktors festgelegt werden.
Das FedRAMP Board hat FedRAMP Moderate und FedRAMP High Authority to Operate (ATO) für Google Cloud-Infrastruktur und bestimmte Google Cloud-Serviceangebote (CSOs) ins Leben gerufen. Google Cloud reicht regelmäßig zusätzliche Dienste für die FedRAMP Moderate- und High-Zulassungen an das Gremium ein.
Google Cloud kann Kunden auf Basis einer Vertraulichkeitsvereinbarung (Non-Disclosure Agreement, NDA) die folgende zusätzliche Dokumentation zur FedRAMP-Compliance zur Verfügung stellen:
Unser Vertriebsteam oder Ihr Google Cloud-Ansprechpartner können Ihnen Zugriff auf unsere Dokumentation gewähren. Regierungskunden können das FedRAMP-Paket von Google auch über das FedRAMP Program Management Office über das entsprechende Paket-Anfrageformular anfordern.
Kunden, die über einen Google-Partner kaufen, erhalten die Nutzungsbedingungen von unseren Partnern.
Kunden können Google Workspace in Übereinstimmung mit den Vorgaben verschiedener US-Bundesregierungen und globaler Standards für Cloud-Sicherheit und ‐Datenschutz verwenden. Google Workspace hat nicht nur eine FedRAMP High-Autorisierung, sondern ist auch nach ISO 27017, 27018, 27001 zertifiziert und nach den SOC-Standards (Service Organization Control) des American Institute of Certified Public Accountants (AICPA) geprüft.
Im Jahr 2023 hat das FedRAMP Programmmanagementbüro (PMO) die Überprüfung des High Readiness Assessment-Berichts (RAR) der Google Cloud VMware Engine (GCVE) durch eine externe Bewertungsorganisation (3PAO) abgeschlossen. Basierend auf den positiven Ergebnissen der Überprüfung, bei denen keine nennenswerten Schwachstellen gefunden wurden, wurde GCVE als FedRAMP High-Ready-Angebot (FedRAMP-Paket-ID FR2405153785) akzeptiert.
Der Erhalt von FedRAMP High Ready weist die US-Bundesregierung darauf hin, dass GCVE mit hoher Wahrscheinlichkeit eine FedRAMP-Autorisierung erhält. GCVE ist außerdem nach ISO 27017, 27018, 27001, PCI-DSS zertifiziert und nach den SOC-Standards (Service Organization Control) des American Institute of Certified Public Accountants (AICPA) geprüft.
Die Investitionen von Google Cloud in die standardmäßige Sicherheit unserer Infrastruktur sorgen dafür, dass Sicherheitskontrollen eingebunden und vorkonfiguriert sind, sodass Kunden auch ohne herkömmliche isolierte staatliche Cloud-Architektur verschiedene Compliance-Stufen erreichen können.
Kunden, die ihre Lösungen mit Google Cloud in FedRAMP Moderate- und FedRAMP High-Umgebungen bereitstellen möchten, müssen Assured Workloads verwenden. Mit Assured Workloads können Kunden sensible Arbeitslasten mit Google Cloud-Diensten souverän schützen und konfigurieren, damit sie Compliance- und Sicherheitsanforderungen erfüllen. Assured Workloads stützt sich anders als seine öffentlichen Cloud-Rechenzentren nicht auf eine physische Infrastruktur. Stattdessen wird eine Software Defined Community Cloud bereitgestellt, die Kosten-, Geschwindigkeits- und Innovationsvorteile bietet.
Von FedRAMP autorisierte Dienste, die über Assured Workloads zur Verfügung gestellt werden, implementieren FedRAMP-Sicherheitskontrollen und ermöglichen es Kunden, die Funktionen von Google Cloud zu nutzen, um ihre organisatorischen Anforderungen zu erfüllen. Assured Workloads bietet über Assured Workloads-Monitoring auch Einblick in den Compliancestatus von FedRAMP-Arbeitslasten. Mit diesem Tool können Sie Complianceverstöße leichter erkennen und beheben und Auditoren Ihres Compliancestatus Kontroll-Attestierungen zur Verfügung stellen.
Zusätzlich zu den Kontrollen, die durch die Google Cloud-Infrastruktur FedRAMP High ATO abgedeckt werden, implementiert Assured Workloads die folgenden wichtigen FedRAMP High-Kontrollen standardmäßig für Kunden, die FedRAMP High-Regierungsdaten verarbeiten:
Für Google Workspace gilt ein FedRAMP High-ATO, das Kunden zum Hosten von FedRAMP Moderate-Daten und FedRAMP-High-Daten verwenden können. Kunden, die Google Workspace in ihren FedRAMP-Moderate-Umgebungen und -High-Umgebungen bereitstellen möchten, sollten die von FedRAMP autorisierten Dienste aktivieren, die der entsprechenden Autorisierung entsprechen. Informationen zum Aktivieren oder Deaktivieren eines Dienstes für Google Workspace
Darüber hinaus haben Google Workspace Business und Google Workspace Enterprise integrierte Sicherheitskontrollen und Funktionssets, mit denen Kunden die FedRAMP High-Anforderungen erfüllen und ihre ATO entsprechend anpassen können. Google Workspace-Nutzer können ihre Umgebungen mithilfe einer Richtlinie für Speicherorte für Daten so konfigurieren, dass sie die FedRAMP-Datenstandortsteuerelemente erfüllen.
Kunden, die Regierungsdaten in Google Cloud hosten möchten, sind möglicherweise auch an einer eigenen Authority to Operate (ATO) interessiert. Organisationen sollten beim Erreichen einer ATO in Google Cloud die folgenden Meilensteine berücksichtigen:
Weitere Informationen zum ATO-Verfahren finden Sie auf der FedRAMP-Website. Zusätzlichen FedRAMP ATO-Support von Google Cloud finden Sie auf der Seite Google Cloud Consulting.
Der neue FedRAMP-Entwurf des Office of Management and Budget, der einen modernen Cloud-Ansatz befürwortet, der auf einer logischen und softwarebasierten Trennung anstelle einer physischen Trennung basiert, ist ein wichtiger Schritt in die richtige Richtung. Google Cloud ist der Vorreiter bei diesem Ansatz und glaubt, dass dieser es den Kunden ermöglicht, sicher zu skalieren und innovative Innovationen zu entwickeln.
FedRAMP lässt verschiedene Vererbungsebenen für Cloud-Dienstanbietern zu, die von FedRAMP autorisierte Infrastrukturen, Plattformen und Dienste verwenden. Anhand dieser anfänglichen Analyse der Kontrolle und Vererbung wird letztendlich der Umfang Ihrer Compliance-Verantwortlichkeit als Cloud-Dienstanbieter ermittelt.
Wenn Ihre Organisation beispielsweise den gesamten Stack Ihrer Anwendung selbst erstellen möchte, erhöhen Sie damit auch die Verantwortung/Verpflichtung der Kunden während der Bewertung durch Ihre Autorisierungsstelle. Wenn Sie Platform as a Service (PaaS) oder Software as a Service (SaaS) verwenden, sind die Compliance-Anforderungen vermutlich geringer.
Nachdem Sie Ihre von FedRAMP autorisierten Dienste ausgewählt haben, kann Google Sie mit dienstspezifischen Konfigurationsleitfäden oder direkt durch FedRAMP-Experten unserer Google Cloud Consulting bei der Konfiguration Ihrer Lösung unterstützen.
Google zählt zu den ersten kommerziellen Hyperscale-Cloud-Anbietern, der bei einem Angebot für die öffentliche Cloud FedRAMP High erzielt hat. Wir sind heute einer der größten Anbieter von FedRAMP-Diensten auf dem Markt. Bisher haben Hyperscale-Anbieter ihre "Regierungs-Clouds" (GovClouds) von ihren kommerziellen Cloud-Angeboten getrennt, um FedRAMP High-Anforderungen zu erfüllen. Dieser Ansatz kann zwar für Compliance sorgen, aber diese separaten Umgebungen bieten oft nicht alle Vorteile der Google Cloud-Infrastruktur.
Dank der FedRAMP High-Autorisierung von Google Cloud können Behörden wichtige Arbeitslasten verarbeiten, Technologien wesentlich schneller und im selben Umfang wie kommerzielle Kunden einführen und die einzigartige öffentliche Cloud-Infrastruktur von Google nutzen, einschließlich ihrer Funktionen und Kapazitäten. Mit Assured Workloads oder Assured Controls können Kunden sensible Arbeitslasten sichern und konfigurieren, um ihre Compliance- und Sicherheitsanforderungen in der Cloud zu erfüllen. Wählen Sie einfach Ihre Sicherheitseinstellungen aus und Google kümmert sich um die notwendigen Cloud-Kontrollen.
Unten finden Sie eine Liste der Google Workspace-Versionen, die gemäß FedRAMP autorisiert sind. Hier finden Sie die Konfigurationsanleitung für die Bereitstellung von Google Workspace, um die Compliance mit FedRAMP-Hochsicherheitseinstellungen zu unterstützen.
Ja, Assured Workloads ist erforderlich, um eine FedRAMP Moderate oder eine FedRAMP High ATO zu erreichen. Mit Assured Workloads kann Google Cloud Arbeitslasten von Bund von Kunden identifizieren und technische Vorkehrungen treffen, um Änderungen der Bundesgesetzgebung zu berücksichtigen. Google Cloud verpflichtet sich zur Einhaltung der FedRAMP-Compliance-Anforderungen, einschließlich der in NIST 800-53 Revision 5 eingeführten und zukünftigen Releases für Arbeitslasten, die in Assured Workloads ausgeführt werden.
Darüber hinaus stellt Assured Workloads die einzige Möglichkeit für Google Cloud dar, die erhöhten Anforderungen von FedRAMP High an Support und Datenstandort zu erfüllen. Assured Workloads gilt nicht für Google Workspace, das eigene Steuerelemente hat.
Einer der Vorteile der Verwendung von Google Cloud für Arbeitslasten von Behörden besteht darin, dass einige erforderliche Kontrollen bereits in unserer zugrunde liegenden Infrastruktur und in Assured Workloads vorhanden sind. Wenn Sie also Ihr FedRAMP-Paket zur Autorisierung durch das FedRAMP Board einreichen, nehmen Sie auch die SSP von Google mit auf, in der die von Google Cloud verwalteten Kontrollen erläutert werden. Wenden Sie sich an Ihr Vertriebsteam, um eine Kopie des SSP von Google Cloud zu erhalten (Geheimhaltungsvereinbarung erforderlich).
Die StateRAMP-Gruppe (State Risk and Authorization Management Program) ist eine Nonprofit-Organisation, die die StateRAMP-Zertifizierung eingeführt hat. Wie FedRAMP basiert es auf dem NIST 800-53-Framework und ist teilweise nach FedRAMP modelliert. StateRAMP stützt sich außerdem auf von FedRAMP autorisierte 3PAOs, um Bewertungen durchzuführen. Google Cloud ist bereit, StateRAMP Regierungskunden mit erweiterten Datenstandort- und Supportfunktionen über Assured Workloads zu unterstützen.
Im FedRAMP Marketplace finden Sie eine Liste der qualifizierten Drittanbieter von Drittanbieter-Apps.
Die SSP von Google Cloud deckt Google-eigene Ressourcen für Penetrationstests ab. Kunden können diese Kontrolle durch die Nutzung von Google Cloud übernehmen. Während der 3PAO-Prüfung muss außerdem ein Penetrationstest in der FedRAMP-Umgebung des Kunden durchgeführt werden, die mit Google Cloud erstellt wurde.
FedRAMP lässt verschiedene Vererbungsebenen für Cloud-Dienstanbietern zu, die von FedRAMP autorisierte Infrastrukturen, Plattformen und Dienste verwenden. Anhand dieser anfänglichen Analyse der Kontrolle und Vererbung wird letztendlich der Umfang Ihrer Compliance-Verantwortlichkeit als Cloud-Dienstanbieter ermittelt.
Wenn Ihre Organisation beispielsweise den gesamten Stack Ihrer Anwendung selbst erstellen möchte, erhöhen Sie damit auch die Verantwortung/Verpflichtung der Kunden während der Bewertung durch Ihre Autorisierungsstelle. Wenn Sie Platform as a Service (PaaS) oder Software as a Service (SaaS) verwenden, sind die Compliance-Anforderungen vermutlich geringer.
Nachdem Sie Ihre von FedRAMP autorisierten Dienste ausgewählt haben, kann Google Sie mit dienstspezifischen Konfigurationsleitfäden oder direkt durch FedRAMP-Experten unserer Google Cloud Consulting bei der Konfiguration Ihrer Lösung unterstützen.
Assured Workloads ist ein Google Cloud-Feature, mit dem Kunden bestimmte Projektkonfigurationen aktivieren können, um ihre Complianceanforderungen zu erfüllen. Kunden können Organisationsrichtlinien festlegen, um selbst Complianceanforderungen zu erfüllen, ohne dass Assured Workloads verwendet werden muss. Produkte lassen sich diskret in Assured Workloads einbinden und die Organisationsrichtlinien selbst erzwingen.
Die Google Cloud Console ist eine einfache webbasierte Benutzeroberfläche mit Funktionen, die Kunden bei der Bereitstellung unterstützen. Es ist ein Framework und kein Dienst, das auf der Google Cloud-Infrastruktur basiert und Kunden eine Schnittstelle zur Verwaltung ihrer Google Cloud-Assets bietet. Cloud Console-Kunden interagieren direkt mit den APIs der einzelnen Google Cloud-Dienste und verwenden die APIs der Dienste zum Rendern der UI. Die Cloud Console selbst hat keine API, mit der Kunden interagieren können. Stattdessen interagieren Kunden direkt mit den APIs der einzelnen Google Cloud-Dienste. Die Cloud Console verwendet diese Dienst-APIs zum Rendern der UI.
In Übereinstimmung mit NIST SP 800-131A Rev. 2, „Umstellung der Verwendung von kryptografischen Algorithmen und Schlüssellängen“, möchten immer mehr Kunden die Verwendung von 3DES einstellen. Google Cloud verwendet 3DES nicht, aber um alle unsere Kunden zu unterstützen, ist es weiterhin auf Google-Endpunkten verfügbar. Wenn für Ihre FedRAMP-Lösung die Entfernung von 3DES erforderlich ist, wenden Sie sich an den Support, um Unterstützung beim Entfernen von 3DES aus Ihrer Assured Workloads-Umgebung zu erhalten.
FedRAMP-Paket-ID FR1805751477
*Hinweis: Alle Google Cloud-Dienste mit FedRAMP High-Autorisierung sind auch gemäß FedRAMP Moderate autorisiert.
* Hinweis: Für FedRAMP Moderate- und FedRAMP High-Plattformen gelten Steuerelemente, die TLS 1.1/1.0-Verbindungen auf Domainebene einschränken.
Admin-Konsole (einschließlich Admin SDK, Directory Sync)
AI Platform Neural Architecture Search (NAS)
AI Platform Training und Prediction (früher Cloud Machine Learning Engine)
Anthos Config Management (ACM)
BigQuery Data Transfer Service
Cloud External Key Manager (Cloud EKM)
Cloud Life Sciences (früher Google Genomics)
Cloud Load Balancing (L7 ILB/XLB)
Cloud Load Balancing (Netzwerk-Load-Balancing)
Cloud Logging (einschließlich Error Reporting)
Cloud NAT (Network Address Translation)
Cloud Profiler (früher Stackdriver Profiler)
Cloud Run (vollständig verwaltet)
Cloud Trace (früher Stackdriver Trace)
Filestore (Basic HDD und Basic SSD)
Google Cloud Identity-Aware Proxy
Google Security Operations SOAR
Identitäts- und Zugriffsverwaltung (Identity & Access Management, IAM)
Key Access Justifications (KAJ)
Looker Studio (einschließlich Pro, früher Google Data Studio)
Security Command Center Premium
Sensitive Data Protection (einschließlich Cloud Data Loss Prevention)
Vertex AI Workbench nutzerverwaltete Notebooks (früher AI Platform Notebooks)
FedRAMP-Paket-ID FR1805751477
*Hinweis: Alle Google Cloud-Dienste mit FedRAMP High-Autorisierung sind auch gemäß FedRAMP Moderate autorisiert.
* Hinweis: Für FedRAMP Moderate- und FedRAMP High-Plattformen gelten Steuerelemente, die TLS 1.1/1.0-Verbindungen auf Domainebene einschränken.
AI Platform Training und Prediction (früher Cloud Machine Learning Engine)
BigQuery Data Transfer Service
Care Studio (Cloud Healthcare Search)
Cloud Life Sciences (früher Google Genomics)
Cloud NAT (Network Address Translation)
Cloud Run (vollständig verwaltet)
Cloud Trace (früher Stackdriver Trace)
Filestore (Basic HDD und Basic SSD)
Google Cloud Identity-Aware Proxy
Google Security Operations SIEM
Google Security Operations SOAR
Identitäts- und Zugriffsverwaltung (Identity & Access Management, IAM)
Key Access Justifications (KAJ)
Looker Studio (einschließlich Pro, früher Google Data Studio)
Security Command Center (einschließlich Web Security Scanner) (früher Cloud Security Scanner)
Sensitive Data Protection (einschließlich Cloud Data Loss Prevention)
Neural Architecture Search von Vertex AI
Vertex AI Workbench nutzerverwaltete Notebooks (früher AI Platform Notebooks)
* Hinweis: Für FedRAMP Moderate- und FedRAMP High-Plattformen gelten Steuerelemente, die TLS 1.1/1.0-Verbindungen auf Domainebene einschränken.
Google Workspace Business Plus
Google Workspace Business Standard
* Hinweis: Für FedRAMP Moderate- und FedRAMP High-Plattformen gelten Steuerelemente, die TLS 1.1/1.0-Verbindungen auf Domainebene einschränken.
Google Workspace Business Starter
Google Workspace Enterprise Essentials
Google Workspace Enterprise Plus
Einführung in Google Workspace for Education
Google Workspace for Education Fundamentals
Google Workspace for Education Plus
Google Workspace for Education Standard
Google Workspace for Governments
FedRAMP-Paket-ID F1206081364
* Hinweis: Die Admin-Konsole und Cloud Identity sind jetzt Teil des Google-Dienstepakets (FR1805751477).
* Hinweis: Für FedRAMP Moderate- und FedRAMP High-Plattformen gelten Steuerelemente, die TLS 1.1/1.0-Verbindungen auf Domainebene einschränken.
Google Workspace Services (FedRAMP Moderate)
FedRAMP-Paket-ID F1206081364
* Hinweis: Die Admin-Konsole und Cloud Identity sind jetzt Teil des Google-Dienstepakets (FR1805751477).
* Hinweis: Für FedRAMP Moderate- und FedRAMP High-Plattformen gelten Steuerelemente, die TLS 1.1/1.0-Verbindungen auf Domainebene einschränken.
Android-Gerätemanager und Chrome-Geräteverwaltung
Chrome-Synchronisierung (nur für Google Workspace for Education-Domains)
Cloud Search (einschließlich Drittanbieter)
Drive REST API (ersetzt Documents List API)
Alle Google Cloud-Regionen mit FedRAMP High-Autorisierung sind auch gemäß FedRAMP Moderate autorisiert.
Oregon (us-west1) – FedRAMP High
Los Angeles (us-west2) – FedRAMP High
Salt Lake City (us-west3) – FedRAMP High
Las Vegas (us-west4) – FedRAMP High
Iowa (us-central1) – FedRAMP High
Oklahoma (us-central2) – FedRAMP High
South Carolina (us-east1) – FedRAMP High
Northern Virginia (us-east4) – FedRAMP High
Columbus (us-east5) – FedRAMP High
Dallas (us-South1) – FedRAMP High
Montreal (northamerica-northeast1) – FedRAMP Moderate
São Paulo (southamerica-east1) - FedRAMP Moderate
Belgien (europe-west1) – FedRAMP Moderate
London (europe-west2) – FedRAMP Moderate
Frankfurt (europe-west3) – FedRAMP Moderate
Niederlande (europe-west4) – FedRAMP Moderate
Finnland (europe-north1) – FedRAMP Moderate
Mumbai (asia-south1) – FedRAMP Moderate
Singapur (asia-southeast1) – FedRAMP Moderate
Taiwan (asia-east1) – FedRAMP Moderate
Tokio (asia-northeast1) – FedRAMP Moderate
Sydney (australia-southeast1) – FedRAMP Moderate
Zürich (europe-west6) – FedRAMP Moderate
Warschau (europe-central2) – FedRAMP Moderate
Jakarta (asia-southeast2) - FedRAMP Moderate
Osaka (asia-northeast2) – FedRAMP Moderate
Seoul (asia-northeast3) – FedRAMP Moderate
Profitieren Sie von einem Guthaben über 300 $, um Google Cloud und mehr als 20 „Immer kostenlos“-Produkte kennenzulernen.