Weiter zu

FedRAMP

Die US-Bundesregierung hat das US-Bundesprogramm zur Risiko- und Autorisierungsverwaltung (Federal Risk and Authorization Management Program – FedRAMP) als regierungsweites Programm ins Leben gerufen, das einen standardisierten Ansatz für die Sicherheitsbewertung, Autorisierung und kontinuierliche Kontrolle von Cloud-Produkten und -Diensten bietet. Der US-Kongress hat FedRAMP im Jahr 2022 als „regierungsweites Programm, das einen standardisierten, wiederverwendbaren Ansatz für die Sicherheitsbewertung und Autorisierung für Cloud-Computing-Produkte und -Dienste bietet, die nicht klassifizierte, von Behörden verwendete Informationen verarbeiten“ eingeführt.

Mit Ausnahme bestimmter lokaler privater Clouds müssen alle Cloud-Bereitstellungen und -Dienstmodelle der US-Bundesbehörde FedRAMP-Anforderungen auf der entsprechenden Risikostufe (Low, Moderate oder High) erfüllen.

Kunden, die gemäß FedRAMP autorisierte Dienste in Google Cloud hosten möchten, müssen Assured Workloads verwenden, um die Vorgaben des FedRAMP Moderate oder High Impact Level zu erfüllen. Siehe unten für weitere Informationen.

FedRAMP-Compliance von Google Cloud

Das FedRAMP Board (früher Joint Authorization Board) ist das primäre Leitungsgremium von FedRAMP und umfasst das Department of Defense (DoD), das Department of Homeland Security (DHS) und die General Services Administration (GSA) und weitere Behörden, die vom Administrator der Google Search Appliance und des FedRAMP-Direktors festgelegt werden.

Der FedRAMP Board hat FedRAMP Moderate und FedRAMP High Authority to Operate (ATO) für die Google Cloud-Infrastruktur und bestimmte Google Cloud-Serviceangebote (CSOs) erlassen. Google Cloud reicht regelmäßig zusätzliche Dienste für die FedRAMP Moderate- und High-Zulassungen an das Gremium ein.

Google Cloud stellt Kunden, die mit uns eine Vertraulichkeitsvereinbarung (Non-Disclosure Agreement, NDA) getroffen haben, direkt zusätzliche FedRAMP-Compliance-Nachweise zur Verfügung. Im Rahmen der Vertraulichkeitsvereinbarung sind unter anderem folgende Dokumente verfügbar:

  • FedRAMP Customer Responsibility Matrix (CRM)
  • Systemsicherheitsplan (SSP) von Google Cloud
  • Penetrationstestberichte und andere Dokumente

UnserVertriebsteam oder Ihr Google Cloud-Ansprechpartner können Ihnen Zugriff auf unsere erweiterte Dokumentation gewähren. Kunden von Behörden können das FedRAMP-Paket von Google auch über das FedRAMP Program Management Office über das entsprechende Antragsformular für das Paket anfordern. 

Bei Kunden, die den Kauf über einen Google-Partner tätigen, gelten die Nutzungsbedingungen unserer Partner.

FedRAMP-Compliance von Google Workspace

Google Workspace erfüllt verschiedene Standards der US-Regierung sowie globale Standards für Sicherheit und Datenschutz in der Cloud. Google Workspace hat nicht nur eine FedRAMP High-Autorisierung, sondern ist auch nach ISO 27017, 27018, 27.001 zertifiziert und nach den SOC-Standards (Service Organization Control) des American Institute of Certified Public Accountants (AICPA) geprüft.

FedRAMP High Data in Google Cloud VMware Engine (GCVE)

Ende 2023 hat das Program Management Office (PMO) von FedRAMP die Überprüfung des Google Cloud VMware Engine (GCVE) High Readiness Assessment Report (RAR) abgeschlossen, der durch eine externe Bewertungsorganisation (3PAO) eingereicht wurde. Basierend auf den positiven Ergebnissen der Überprüfung, bei denen keine nennenswerten Schwachstellen gefunden wurden, wurde GCVE als FedRAMP High-Ready-Angebot (FedRAMP-Paket-ID FR2405153785) akzeptiert.

Der Erhalt von FedRAMP High Ready weist gegenüber der US-Bundesregierung darauf hin, dass GCVE mit hoher Wahrscheinlichkeit eine FedRAMP-Autorisierung erhält. GCVE ist außerdem nach ISO 27017, 27018, 27001, PCI- DSS zertifiziert und nach den SOC-Standards (Service Organization Control) des American Institute of Certified Public Accountants (AICPA) geprüft.

Mittlere und hohe FedRAMP-Arbeitslasten in Google Cloud hosten

Die Investitionen von Google Cloud in die standardmäßige Sicherheit unserer Infrastruktur sorgen dafür, dass Sicherheitskontrollen eingebunden und vorkonfiguriert sind, sodass Kunden auch ohne herkömmliche isolierte staatliche Cloud-Architektur verschiedene Compliance-Stufen erreichen können.

Kunden, die ihre Lösungen mit Google Cloud in ihren FedRAMP-Umgebungen mittlerer und hoher Priorität bereitstellen möchten, müssen Assured Workloads verwenden. Mit Assured Workloads können Kunden sensible Arbeitslasten mit Google Cloud-Diensten souverän schützen und konfigurieren, damit sie Compliance- und Sicherheitsanforderungen erfüllen. Assured Workloads stützt sich anders als seine öffentlichen Cloud-Rechenzentren nicht auf eine physische Infrastruktur. Stattdessen wird eine Software Defined Community Cloud bereitgestellt, die Kosten-, Geschwindigkeits- und Innovationsvorteile bietet.

Durch FedRAMP autorisierte Dienste, die über Assured Workloads zur Verfügung gestellt werden, implementieren FedRAMP-Sicherheitskontrollen und ermöglichen es Kunden, die Funktionen von Google Cloud für ihre organisatorischen Anforderungen zu nutzen. Assured Workloads bietet über das Assured Workloads-Monitoring außerdem Einblick in den Compliancestatus von FedRAMP-Arbeitslasten. Mit diesem Tool können Sie Complianceverstöße leichter erkennen und beheben und Auditoren Ihres Compliancestatus Kontrollattestierungen zur Verfügung stellen.

Zusätzlich zu den Kontrollen, die durch die Google Cloud-Infrastruktur gemäß FedRAMP High ATO abgedeckt werden, implementiert Assured Workloads die folgenden wichtigen FedRAMP High-Kontrollen standardmäßig für Kunden, die FedRAMP High-Regierungsdaten verarbeiten: 

  1. Leitlinien festlegen, um den Speicherort von FedRAMP High-Kundendaten auf die USA zu beschränken
  2. Beschränkung des technischen Supports auf Mitarbeiter mit FedRAMP-Prüfung in den USA
  3. Verwendung einer FIPS-140-2-konformen Verschlüsselung für ruhende Daten und Übertragung erzwingen
  4. Zugriffskontrollen für Mitarbeiter mit routinemäßigem Zugriff auf Kundendaten implementieren, die gemäß FedRAMP erforderlich sind
  5. Entwickler dürfen nur FedRAMP-konforme Produkte und Dienste verwenden
  6. Logische Segmentierung der Compliance-Grenze, die unter die Vorgaben fällt, um die Anforderungen von FedRAMP Moderate und High zu unterstützen

FedRAMP Moderate und High Data in Google Workspace hosten

Für Google Workspace gilt das FedRAMP High-ATO, das Kunden zum Hosten von Daten mit dem Status „FedRAMP Moderate“ und „High“ verwenden können. Kunden, die Google Workspace in ihren FedRAMP-Umgebungen mittlerer oder hoher Stufe bereitstellen möchten, sollten die von FedRAMP autorisierten Dienste aktivieren, die der jeweiligen Autorisierung entsprechen. Informationen zum Aktivieren oder Deaktivieren eines Dienstes für Google Workspace 

Darüber hinaus haben Google Workspace Business und Google Workspace Enterprise integrierte Sicherheitskontrollen und Funktionssets, mit denen Kunden die FedRAMP High-Anforderungen erfüllen und ihr ATO-Team entsprechend anpassen können. Google Workspace-Nutzer können ihre Umgebungen mithilfe einer Richtlinie für Speicherorte für Daten so konfigurieren, dass sie die FedRAMP-Datenstandortkontrollen erfüllen.

Verfahren zur Erreichung einer FedRAMP Authority to Operate (ATO)

Kunden, die Regierungsdaten in Google Cloud hosten möchten, sind möglicherweise auch an einer eigenen Authority to Operate (ATO) interessiert. Organisationen sollten beim Erreichen eines ATO in Google Cloud die folgenden Meilensteine berücksichtigen:

  • Feststellen, ob für die unter die Vorgabe fallenden Daten FedRAMP Moderate oder FedRAMP High erforderlich sind
  • Wählen Sie Assured Workloads (FedRAMP Moderate ist eine kostenlose Stufe und FedRAMP High erfordert ein Premium-Abo) für die entsprechenden Google Cloud-Dienste aus.
  • In Google Cloud Ihre FedRAMP-Grenze festlegen
  • Arbeitslasten gemäß dem Modell der geteilten Verantwortung, der Customer Responsibility Matrix, der entsprechenden Google Cloud-Dienste und den FedRAMP-Richtlinien konfigurieren
  • Prüfung mit einer externen Bewertungsorganisation (3PAO)
  • Paket zur Überprüfung und Autorisierung beim FedRAMP Board oder einer Bundesbehörde einreichen

Weitere Informationen zum ATO-Prozess finden Sie auf der FedRAMP-Website. Zusätzlichen FedRAMP ATO-Support von Google Cloud finden Sie auf der Seite Google Cloud Consulting

Häufig gestellte Fragen

Der neue FedRAMP-Entwurf des Office of Management and Budget, der einen modernen Cloud-Ansatz befürwortet, der auf einer logischen und softwarebasierten Trennung anstelle einer physischen Trennung basiert, ist ein wichtiger Schritt in die richtige Richtung. Google Cloud ist der Vorreiter bei diesem Ansatz und glaubt, dass dieser es den Kunden ermöglicht, sicher zu skalieren und innovative Innovationen zu entwickeln.

FedRAMP lässt verschiedene Vererbungsebenen für Cloud-Dienstanbietern zu, die von FedRAMP autorisierte Infrastrukturen, Plattformen und Dienste verwenden. Anhand dieser anfänglichen Analyse der Kontrolle und Vererbung wird letztendlich der Umfang Ihrer Compliance-Verantwortlichkeit als Cloud-Dienstanbieter ermittelt.

Wenn Ihre Organisation beispielsweise den gesamten Stack Ihrer Anwendung selbst erstellen möchte, erhöhen Sie damit auch die Verantwortung/Verpflichtung der Kunden während der Bewertung durch Ihre Autorisierungsstelle. Wenn Sie Platform as a Service (PaaS) oder Software as a Service (SaaS) verwenden, sind die Compliance-Anforderungen vermutlich geringer.

Nachdem Sie Ihre von FedRAMP autorisierten Dienste ausgewählt haben, kann Google Sie mit dienstspezifischen Konfigurationsleitfäden oder direkt durch FedRAMP-Experten unserer Google Cloud Consulting bei der Konfiguration Ihrer Lösung unterstützen.

Google zählt zu den ersten kommerziellen Hyperscale-Cloud-Anbietern, der bei einem Angebot für die öffentliche Cloud FedRAMP High erzielt hat. Wir sind heute einer der größten Anbieter von FedRAMP-Diensten auf dem Markt. Bisher haben Hyperscale-Anbieter ihre „Regierungs-Clouds“ (GovClouds) von ihren kommerziellen Cloud-Angeboten getrennt, um FedRAMP High-Anforderungen zu erfüllen. Dieser Ansatz kann für Compliance sorgen, aber diese separaten Umgebungen bieten oft nicht alle Vorteile, die die Google Cloud-Infrastruktur bietet.

Dank der FedRAMP High-Autorisierung von Google Cloud können Behörden wichtige Arbeitslasten verarbeiten, Technologien wesentlich schneller und im selben Umfang wie kommerzielle Kunden einführen und die einzigartige öffentliche Cloud-Infrastruktur von Google nutzen, einschließlich ihrer Funktionen und Kapazitäten. Mit Assured Workloads oder Assured Controls können Kunden sensible Arbeitslasten sichern und konfigurieren, um ihre Compliance- und Sicherheitsanforderungen in der Cloud zu erfüllen. Wählen Sie Ihre Sicherheitseinstellungen aus und Google richtet die erforderlichen Cloud-Kontrollen ein. 

Eine Liste der von FedRAMP autorisierten Google Workspace-Versionen finden Sie unten. Hier finden Sie die Konfigurationsanleitung für die Bereitstellung von Google Workspace zur Einhaltung der FedRAMP High-Sicherheitskontrollen. 

Ja, Assured Workloads ist erforderlich, um eine FedRAMP Moderate oder eine FedRAMP High ATO zu erreichen. Mit Assured Workloads kann Google Cloud Arbeitslasten von Bund von Kunden identifizieren und technische Vorkehrungen treffen, um Änderungen der Bundesgesetzgebung zu berücksichtigen. Google Cloud verpflichtet sich zur Einhaltung der FedRAMP-Compliance-Anforderungen, einschließlich der in NIST 800-53 Revision 5 eingeführten und zukünftigen Releases für Arbeitslasten, die in Assured Workloads ausgeführt werden.

Darüber hinaus ist Assured Workloads die einzige Möglichkeit für Google Cloud, die Anforderungen an den erhöhten Support und den Datenstandort gemäß FedRAMP High zu erfüllen. Assured Workloads ist nicht für Google Workspace anwendbar, da es über eigene Einstellungen verfügt.

Einer der Vorteile der Verwendung von Google Cloud für Arbeitslasten von Behörden besteht darin, dass einige erforderliche Kontrollen bereits in unserer zugrunde liegenden Infrastruktur und in Assured Workloads vorhanden sind. Wenn Sie also Ihr FedRAMP-Paket zur Autorisierung an das FedRAMP Board einreichen, nehmen Sie auch die SSP von Google mit auf, in der die von Google Cloud verwalteten Kontrollen erläutert werden. Wenden Sie sich an Ihr Vertriebsteam, um eine Kopie der SSP von Google Cloud zu erhalten (Geheimhaltungsvereinbarung erforderlich).

Die Gruppe StateRAMP (State Risk and Authorization Management Program) ist eine Nonprofit-Organisation, die die StateRAMP-Zertifizierung erhalten hat. Wie FedRAMP basiert es auf dem NIST 800-53-Framework und ist teilweise nach FedRAMP modelliert. StateRAMP stützt sich bei der Durchführung von Bewertungen außerdem auf von FedRAMP autorisierte 3PAOs. Google Cloud ist bereit, StateRAMP Regierungskunden mit erweiterten Datenstandort- und Supportfunktionen über Assured Workloads zu unterstützen.

Auf dem FedRAMP Marketplace finden Sie eine Liste qualifizierter 3PAOs.

Die SSP von Google Cloud deckt Google-eigene Ressourcen für Penetrationstests ab. Kunden können diese Kontrolle durch die Nutzung von Google Cloud übernehmen. Während der 3PAO-Prüfung muss außerdem ein Penetrationstest in der FedRAMP-Umgebung des Kunden durchgeführt werden, die mit Google Cloud erstellt wurde.

FedRAMP lässt verschiedene Vererbungsebenen für Cloud-Dienstanbietern zu, die von FedRAMP autorisierte Infrastrukturen, Plattformen und Dienste verwenden. Anhand dieser anfänglichen Analyse der Kontrolle und Vererbung wird letztendlich der Umfang Ihrer Compliance-Verantwortlichkeit als Cloud-Dienstanbieter ermittelt.

Wenn Ihre Organisation beispielsweise den gesamten Stack Ihrer Anwendung selbst erstellen möchte, erhöhen Sie damit auch die Verantwortung/Verpflichtung der Kunden während der Bewertung durch Ihre Autorisierungsstelle. Wenn Sie Platform as a Service (PaaS) oder Software as a Service (SaaS) verwenden, sind die Compliance-Anforderungen vermutlich geringer.

Nachdem Sie Ihre von FedRAMP autorisierten Dienste ausgewählt haben, kann Google Sie mit dienstspezifischen Konfigurationsleitfäden oder direkt durch FedRAMP-Experten unserer Google Cloud Consulting bei der Konfiguration Ihrer Lösung unterstützen.

Assured Workloads ist ein Google Cloud-Feature, mit dem Kunden bestimmte Projektkonfigurationen aktivieren können, um ihre Complianceregelungen zu erfüllen. Kunden können Organisationsrichtlinien festlegen, um selbst Complianceanforderungen zu erfüllen, ohne dass Assured Workloads verwendet werden muss. Produkte lassen sich diskret in Assured Workloads einbinden und erzwingen die Organisationsrichtlinien selbst.

Die Google Cloud Console ist eine einfache webbasierte Benutzeroberfläche mit Funktionen, die Kunden bei der Bereitstellung unterstützen. Es ist ein Framework, kein Dienst, das auf der Google Cloud-Infrastruktur basiert und Kunden eine Schnittstelle zur Verwaltung ihrer Google Cloud-Assets bietet. Cloud Console-Kunden interagieren direkt mit den APIs der einzelnen Google Cloud-Dienste und verwenden die APIs der Dienste, um die UI zu rendern. Die Cloud Console selbst hat keine API, mit der Kunden interagieren können. Stattdessen interagieren Kunden direkt mit den APIs der einzelnen Google Cloud-Dienste. Die Cloud Console verwendet diese Dienst-APIs, um die UI zu rendern.

Betroffene Dienste

FedRAMP-Paket-ID FR1805751477

*Hinweis: Alle Google Cloud-Dienste mit FedRAMP High-Autorisierung sind auch gemäß FedRAMP Moderate autorisiert.

* Hinweis: Für FedRAMP Moderate- und FedRAMP High-Plattformen gelten Steuerelemente, die TLS 1.1/1.0-Verbindungen auf Domainebene einschränken.

Access Context Manager

Access Transparency

AI Platform Training und Prediction (früher Cloud Machine Learning Engine)

Anthos Identity-Dienst

Apigee

AutoML Natural Language

AutoML Tables

AutoML Translation

AutoML Video Intelligence

AutoML Vision

BeyondCorp Enterprise

BigQuery Data Transfer Service

Binärautorisierung

Care Studio (Cloud Healthcare Search)

CCAI Insights

Certificate Authority Service

Chronicle SIEM (früher Chronicle Security)

Cloud Billing API

Cloud Build

Cloud CDN

Cloud Composer

Cloud Data Fusion

Cloud Deployment Manager

Cloud Endpoints

Cloud Error Reporting

Cloud External Key Manager

Cloud Functions

Cloud Functions für Firebase

Cloud Healthcare API

Cloud IDS

Cloud Interconnect

Cloud Life Sciences (früher Google Genomics)

Cloud Load Balancing

Cloud Monitoring

Cloud NAT – Network Address Translation

Cloud Natural Language API

Cloud Profiler

Cloud Router

Cloud Run (vollständig verwaltet)

Cloud Run for Anthos

Cloud Scheduler

Cloud SDK

Cloud Shell

Cloud Source Repositories

Cloud Storage for Firebase

Cloud Tasks

Cloud Trace (früher Stackdriver Trace)

Cloud Translation

Cloud Vision API

Cloud VPN

Config Management

Connect

Contact Center AI (CCAI):

Data Catalog

Database Migration Service

Datalab

Datastore

Datastream

Dialogflow

Document AI

Earth Engine

Filestore (Basic HDD und Basic SSD)

Game Servers

GKE Hub

Google Cloud-Anwendung

Google Cloud Armor

Google Cloud CLI

Google Cloud Console

Google Cloud Marketplace

Google Cloud Identity-Aware Proxy

Identity Platform

IoT Core

Key Access Justifications (KAJ)

Looker Studio (einschließlich Pro, früher Google Data Studio)

Network Connectivity Center

Netzwerkdienststufen

Resource Manager API

Secret Manager

Security Command Center (einschließlich Web Security Scanner) (früher Cloud Security Scanner)

Schutz sensibler Daten (einschließlich Cloud Data Loss Prevention)

Service Directory

Service Infrastructure (früher Service Control; enthält die Service Management API und die Service Consumer Management API)

Service Mesh

Speech-to-Text

Storage Transfer Service

Talent Solution

Text-to-Speech

Traffic Director

Video Intelligence API

Vertex AI Workbench nutzerverwaltete Notebooks (früher AI Platform Notebooks)

VPC Service Controls

Web Risk API

Workflows

Mitarbeiteridentitätsföderation

* Hinweis: Für FedRAMP Moderate- und FedRAMP High-Plattformen gelten Steuerelemente, die TLS 1.1/1.0-Verbindungen auf Domainebene einschränken.

Google Workspace Business Plus

Google Workspace Business Standard

Google Workspace Enterprise Plus

Google Workspace Enterprise Standard

FedRAMP-Paket-ID F1206081364

* Hinweis: Die Admin-Konsole und Cloud Identity sind jetzt Teil des Google-Dienstepakets (FR1805751477).

* Hinweis: Für FedRAMP Moderate- und FedRAMP High-Plattformen gelten Steuerelemente, die TLS 1.1/1.0-Verbindungen auf Domainebene einschränken.

Google Kalender

Google Docs

Google Drive

Google Formulare

Gmail

Google Chat

Google Meet

Google Notizen

Neues Google Sites

Google Tabellen

Google Präsentationen

Google Vault

Alle Google Cloud-Regionen mit FedRAMP High-Autorisierung sind auch gemäß FedRAMP Moderate autorisiert.

Oregon (us-west1) – FedRAMP High

Los Angeles (us-west2) – FedRAMP High

Salt Lake City (us-west3) – FedRAMP High

Las Vegas (us-west4) – FedRAMP High

Iowa (us-central1) – FedRAMP High

Oklahoma (us-central2) – FedRAMP High

South Carolina (us-east1) – FedRAMP High

Northern Virginia (us-east4) – FedRAMP High

Columbus (us-east5) – FedRAMP High

Dallas (us-South1) – FedRAMP High

Montreal (northamerica-northeast1) – FedRAMP Moderate

São Paulo (southamerica-east1) - FedRAMP Moderate

Belgien (europe-west1) – FedRAMP Moderate

London (europe-west2) – FedRAMP Moderate

Frankfurt (europe-west3) – FedRAMP Moderate

Niederlande (europe-west4) – FedRAMP Moderate

Finnland (europe-north1) – FedRAMP Moderate

Mumbai (asia-south1) – FedRAMP Moderate

Singapur (asia-southeast1) – FedRAMP Moderate

Taiwan (asia-east1) – FedRAMP Moderate

Tokio (asia-northeast1) – FedRAMP Moderate

Sydney (australia-southeast1) – FedRAMP Moderate

Zürich (europe-west6) – FedRAMP Moderate

Warschau (europe-central2) – FedRAMP Moderate

Jakarta (asia-southeast2) - FedRAMP Moderate

Osaka (asia-northeast2) – FedRAMP Moderate

Seoul (asia-northeast3) – FedRAMP Moderate