FedRAMP

Die US-Bundesregierung hat das US-Bundesprogramm zur Risiko- und Autorisierungsverwaltung (Federal Risk and Authorization Management Program – FedRAMP) als regierungsweites Programm ins Leben gerufen, das einen standardisierten Ansatz für die Sicherheitsbewertung, Autorisierung und kontinuierliche Kontrolle von Cloud-Produkten und -Diensten bietet. Mit Ausnahme bestimmter lokaler privater Clouds müssen alle Cloud-Bereitstellungen und -Dienstmodelle der US-Bundesbehörde FedRAMP-Anforderungen auf der entsprechenden Risikostufe (Low, Moderate oder High) erfüllen.

Google Cloud hat vom FedRAMP JAB eine vorläufige Betriebszulassung mit dem Status "High" für 17 Google Cloud-Produkte in fünf Regionen erhalten. Darüber hinaus haben wir vorläufige Betriebszulassungen mit dem Status "Moderate" für 64 Google Cloud Platform-Produkte (GCP) in 17 Regionen sowie Betriebszulassungen mit dem Status "Moderate" für 27 G Suite-Produkte.

Der FedRAMP-Status von Google wird auf der Website der US-Regierung veröffentlicht: FedRAMP Marketplace.

Google Cloud-Dienste, die den Vorgaben von FedRAMP entsprechen

Google Cloud Platform-Dienste (GCP) (FedRAMP High)

Alle GCP-Dienste mit FedRAMP High-Autorisierung sind auch gemäß FedRAMP Moderate autorisiert.

Cloud Key Management Service

Google Kubernetes Engine (früher Google Container Engine)

Persistent Disk

Admin Settings API

Apps Email Audit API

Calendar Resource API

Directory API (ersetzt Provisioning API)

Domain Shared Contacts API

Email Settings API

Enterprise License Manager API

Groups Migration API

Google Groups-Einstellungen

Reports API

Reseller API

Android-Gerätemanager und Chrome-Geräteverwaltung

Kalender

Chrome-Synchronisierung (nur für G Suite for Education-Domains)

Classroom

Cloud Identity (einschließlich automatische Nutzerverwaltung)

Cloud Search (ohne Cloud Search Platform)

Kontakte

Directory Sync

Docs

Docs APIs

Apps Activity API

Calendar API

Contacts API

Drive REST API (ersetzt Documents List API)

Gmail REST API (ersetzt Email Migration API)

Sheets API

Sites API

Tasks API

Zeichnungen

Drive

Formulare

G Suite-Sicherheitscenter (nur für G Suite Enterprise- und G Suite Enterprise for Education-Domains)

Gmail (einschließlich Talk)

Google Tasks

Google Groups for Business

Hangouts Chat (einschließlich Bot für klassische Hangouts, Google Drive Bot und Meet Bot)

Klassisches Hangouts

Hangouts Meet

Notizen

Tabellen

Sites (klassisch)

Sites (neu)

Präsentationen

Vault

Kunden, die eine FedRAMP-Zertifizierung anstreben, sollten ihre Arbeitslasten in den folgenden gemäß FedRAMP autorisierten Regionen ausführen.

Alle maximieren

Region	High	Moderate
Oregon (us-west1)	X	X
Los Angeles (us-west2)	X	X
Salt Lake City (us-west3)	X	X
Iowa (us-central1)	X	X
South Carolina (us-east1)	X	X
Northern Virginia (us-east4)	X	X
Montreal (northamerica-northeast1)		X
Sao Paulo (southamerica-east1)		X
Belgien (europe-west1)		X
London (europe-west2)		X
Frankfurt (europe-west3)		X
Niederlande (europe-west4)		X
Finnland (europe-north1)		X
Mumbai (asia-south1)		X
Singapur (asia-southeast1)		X
Taiwan (asia-east1)		X
Tokio (asia-northeast1)		X
Sydney (australia-southeast1)		X

FAQ

Was sind die Voraussetzungen für eine FedRAMP-Zertifizierung meiner Google Cloud-Lösung?

FedRAMP lässt verschiedene Vererbungsebenen für Cloud-Dienstanbietern zu, die von FedRAMP autorisierte Infrastrukturen, Plattformen und Dienste verwenden. Anhand dieser anfänglichen Analyse der Kontrolle und Vererbung wird letztendlich der Umfang Ihrer Compliance-Verantwortlichkeit als Cloud-Dienstanbieter ermittelt. Wenn Ihre Organisation beispielsweise den gesamten Stack Ihrer Anwendung selbst erstellen möchte, erhöhen Sie damit auch die Verantwortung/Verpflichtung der Kunden während der Bewertung durch Ihre Autorisierungsstelle. Wenn Sie Platform as a Service oder Software as a Service verwenden, sind die Compliance-Anforderungen vermutlich geringer.

Nachdem Sie Ihre von FedRAMP zugelassenen Dienste ausgewählt haben, kann Google Sie mit dienstspezifischen Konfigurationsleitfäden oder direkt durch FedRAMP-Experten unserer Professional Services Organization bei der Konfiguration Ihrer Lösung unterstützen.

Wie bietet Google von FedRAMP zugelassene Dienste, obwohl es kein GovCloud-Angebot hat?

Google zählt zu den ersten kommerziellen Hyperscale-Cloud-Anbietern, der bei einem Angebot für die öffentliche Cloud FedRAMP High erzielt hat. Wir sind heute einer der größten Anbieter von FedRAMP-Diensten auf dem Markt. Bisher haben Hyperscale-Anbieter ihre "Regierungs-Clouds" (GovClouds) von ihren kommerziellen Cloud-Angeboten getrennt, um FedRAMP High-Anforderungen zu erfüllen. Dies führte zur Verschlechterung des Dienstangebots, einer reduzierten Dienstverfügbarkeit sowie erhöhten Betriebskosten. Dank der FedRAMP High-Autorisierung der GCP können Regierungsbehörden wichtige Arbeitslasten verarbeiten, um Technologien erheblich schneller und im gleichen Umfang wie kommerzielle Kunden einzuführen. Außerdem wird dadurch der Wettbewerb im öffentlichen Cloud-Markt der US-Regierung angekurbelt. Dies ist dringend erforderlich, um dem öffentlichen Sektor eine breitere Auswahl an kompatiblen Technologien und Cloudanbietern als je zuvor zu liefern. Gleichzeitig ist die Erweiterung des Angebots autorisierter Produkte geplant.

Die Nutzungsbedingungen für FedRAMP stammen von Carahsoft, unserem Beschaffungspartner im öffentlichen Sektor. Wenn Sie sich für FedRAMP in Google Cloud interessieren, kontaktieren Sie Carahsoft.

Google Cloud FedRAMP Implementation Guide

NIST Cybersecurity Framework & Google Cloud

Google Cloud Deployment Guide

Google Cloud-Sicherheitsmodell

FedRAMP-Vorlagen