FedRAMP

Die US-Bundesregierung hat das US-Bundesprogramm zur Risiko- und Autorisierungsverwaltung (Federal Risk and Authorization Management Program – FedRAMP) als regierungsweites Programm ins Leben gerufen, das einen standardisierten Ansatz für die Sicherheitsbewertung, Autorisierung und kontinuierliche Kontrolle von Cloud-Produkten und -Diensten bietet. Mit Ausnahme bestimmter lokaler privater Clouds müssen alle Cloud-Bereitstellungen und -Dienstmodelle der US-Bundesbehörde FedRAMP-Anforderungen auf der entsprechenden Risikostufe (Low, Moderate oder High) erfüllen.

Google Cloud hat vom FedRAMP JAB eine vorläufige Betriebszulassung (P-ATO, Provisional Authority to Operate) mit dem Status "High" für 17 Google Cloud-Produkte in fünf Regionen erhalten. Darüber hinaus haben wir vorläufige Betriebszulassungen mit dem Status "Moderate" für 64 Google Cloud Platform-Produkte (GCP) in 17 Regionen sowie Betriebszulassungen (ATO, Authority to Operate) mit dem Status "Moderate" für 27 G Suite-Produkte.

Der FedRAMP-Status von Google wird auf der Website der US-Regierung veröffentlicht: FedRAMP Marketplace.

Google Cloud-Dienste, die den Vorgaben von FedRAMP entsprechen

Google Cloud Platform-Dienste (GCP) (FedRAMP High)

Alle GCP-Dienste mit FedRAMP High-Autorisierung sind auch gemäß FedRAMP Moderate autorisiert.

Cloud Key Management Service

Google Kubernetes Engine (früher Google Container Engine)

Persistent Disk

Google Cloud Platform-Dienste (GCP) (FedRAMP Moderate)

App Engine

BigQuery

BigQuery Data Transfer Service

Cloud Armor

Cloud AutoML Natural Language

Cloud AutoML Translation

Cloud CDN (Content Delivery Network)

Cloud Console

Cloud Console App

Cloud Data Loss Prevention API

Cloud Deployment Manager

Cloud DNS (Domain Name System)

Cloud IAM (Identity and Access Management)

Cloud Identity-Aware Proxy

Cloud IoT Core

Cloud Key Management Service

Cloud Load Balancing

Cloud Machine Learning Engine

Cloud Memorystore

Cloud Natural Language API

Cloud Pub/Sub

Cloud SDK

Cloud Security Scanner

Cloud Shell

Cloud Source Repositories

Cloud Storage Transfer Service

Cloud Talent Solution

Cloud Text-to-Speech

Cloud Translation API

Cloud Video Intelligence API

Google Cloud Platform Marketplace

Google Genomics

Google Kubernetes Engine (früher Google Container Engine)

Persistent Disk

Resource Manager

Service Consumer Management API

Service Control

Service Management API

Stackdriver Debugger

Stackdriver Error Reporting

Stackdriver Logging

Stackdriver Profiler

Stackdriver Trace

Virtual Private Cloud (VPC)

G Suite-Versionen (FedRAMP Moderate)

G Suite Basic

G Suite Business

G Suite for Education

G Suite Enterprise for Education

G Suite Enterprise

G Suite for Nonprofits

G Suite for Government

G Suite-Dienste (FedRAMP Moderate)

Admin-Konsole

Admin SDK

Admin Settings API

Apps Email Audit API

Calendar Resource API

Directory API (ersetzt Provisioning API)

Domain Shared Contacts API

Email Settings API

Enterprise License Manager API

Groups Migration API

Google Groups-Einstellungen

Reports API

Reseller API

Android-Gerätemanager und Chrome-Geräteverwaltung

Kalender

Chrome-Synchronisierung (nur für G Suite for Education-Domains)

Classroom

Cloud Identity (einschließlich automatische Nutzerverwaltung)

Cloud Search (einschließlich Drittanbieter)

Kontakte

Directory Sync

Docs

Docs APIs

Apps Activity API

Calendar API

Contacts API

Drive REST API (ersetzt Documents List API)

Gmail REST API (ersetzt Email Migration API)

Sheets API

Sites API

Tasks API

Zeichnungen

Drive

Formulare

G Suite-Sicherheitscenter (nur für G Suite Enterprise- und G Suite Enterprise for Education-Domains)

Gmail (einschließlich Talk)

Google Tasks

Google Groups for Business

Google Chat (einschließlich Bot für klassische Version von Hangouts, Google Drive Bot und Meet Bot)

Google Hangouts

Google Meet (einschließlich Livestream)

Google Voice

Jamboard

Notizen

Secure LDAP

Sites (klassisch)

Kunden, die eine FedRAMP-Compliance anstreben, sollten ihre Arbeitslasten in den folgenden gemäß FedRAMP autorisierten Regionen ausführen.

Alle maximieren

Region	High	Moderate
Oregon (us-west1)	X	X
Los Angeles (us-west2)	X	X
Salt Lake City (us-west3)	X	X
Iowa (us-central1)	X	X
South Carolina (us-east1)	X	X
Northern Virginia (us-east4)	X	X
Montreal (northamerica-northeast1)		X
Sao Paulo (southamerica-east1)		X
Belgien (europe-west1)		X
London (europe-west2)		X
Frankfurt (europe-west3)		X
Niederlande (europe-west4)		X
Finnland (europe-north1)		X
Mumbai (asia-south1)		X
Singapur (asia-southeast1)		X
Taiwan (asia-east1)		X
Tokio (asia-northeast1)		X
Sydney (australia-southeast1)		X

FAQ

Was sind die Voraussetzungen für eine FedRAMP-Compliance meiner Google Cloud-Lösung?

FedRAMP lässt verschiedene Vererbungsebenen für Cloud-Dienstanbietern zu, die von FedRAMP autorisierte Infrastrukturen, Plattformen und Dienste verwenden. Anhand dieser anfänglichen Analyse der Kontrolle und Vererbung wird letztendlich der Umfang Ihrer Compliance-Verantwortlichkeit als Cloud-Dienstanbieter ermittelt. Wenn Ihre Organisation beispielsweise den gesamten Stack Ihrer Anwendung selbst erstellen möchte, erhöhen Sie damit auch die Verantwortung/Verpflichtung der Kunden während der Bewertung durch Ihre Autorisierungsstelle. Wenn Sie Platform as a Service (PaaS) oder Software as a Service (SaaS) verwenden, sind die Compliance-Anforderungen vermutlich geringer.

Nachdem Sie Ihre von FedRAMP autorisierten Dienste ausgewählt haben, kann Google Sie mit dienstspezifischen Konfigurationsleitfäden oder direkt durch FedRAMP-Experten unserer Professional Services Organization bei der Konfiguration Ihrer Lösung unterstützen.

Wie bietet Google von FedRAMP autorisierte Dienste, obwohl es kein GovCloud-Angebot hat?

Google zählt zu den ersten kommerziellen Hyperscale-Cloud-Anbietern, der bei einem Angebot für die öffentliche Cloud FedRAMP High erzielt hat. Wir sind heute einer der größten Anbieter von FedRAMP-Diensten auf dem Markt. Bisher haben Hyperscale-Anbieter ihre "Regierungs-Clouds" (GovClouds) von ihren kommerziellen Cloud-Angeboten getrennt, um FedRAMP High-Anforderungen zu erfüllen. Dies führte zur Verschlechterung des Dienstangebots, einer reduzierten Dienstverfügbarkeit sowie erhöhten Betriebskosten. Dank der FedRAMP High-Autorisierung der GCP können Regierungsbehörden wichtige Arbeitslasten verarbeiten, um Technologien erheblich schneller und im gleichen Umfang wie kommerzielle Kunden einzuführen. Außerdem wird dadurch der Wettbewerb im öffentlichen Cloud-Markt der US-Regierung angekurbelt. Dies ist dringend erforderlich, um dem öffentlichen Sektor eine breitere Auswahl an kompatiblen Technologien und Cloud-Anbietern als je zuvor zu liefern. Gleichzeitig ist die Erweiterung des Angebots autorisierter Produkte geplant.

Die Nutzungsbedingungen für FedRAMP stammen von Carahsoft, unserem Beschaffungspartner im öffentlichen Sektor. Wenn Sie sich für FedRAMP in Google Cloud interessieren, kontaktieren Sie Carahsoft.

Google Cloud FedRAMP Implementation Guide

NIST Cybersecurity Framework & Google Cloud

Google Cloud Deployment Guide

Google Cloud Security Model

FedRAMP-Vorlagen