Langsung ke

FedRAMP

Pemerintah Federal Amerika Serikat telah memberlakukan Federal Risk and Authorization Management Program (FedRAMP), sebuah program tingkat pemerintah yang menyediakan pendekatan standar terkait penilaian keamanan, otorisasi, dan pemantauan berkelanjutan pada produk dan layanan cloud. Kongres menyusun FedRAMP pada tahun 2022, sebagai “program tingkat Pemerintah yang menyediakan pendekatan standar dan dapat digunakan kembali terkait penilaian keamanan dan otorisasi untuk produk dan layanan cloud computing yang memproses informasi yang tidak bersifat rahasia yang digunakan oleh lembaga pemerintah.”

Semua model layanan dan deployment cloud yang digunakan oleh lembaga pemerintah federal, selain cloud pribadi lokal tertentu, harus memenuhi semua persyaratan FedRAMP sesuai dengan tingkat dampak risiko (Low, Moderate, atau High).

Pelanggan yang perlu menghosting layanan yang diotorisasi FedRAMP di Google Cloud harus menggunakan Assured Workloads agar mematuhi Tingkat Dampak FedRAMP Moderate atau High. Lihat di bawah ini untuk mengetahui info lebih lanjut.

Kepatuhan Google Cloud terhadap FedRAMP

Dewan FedRAMP (sebelumnya disebut sebagai Dewan Otorisasi Bersama) adalah lembaga pemerintah utama untuk FedRAMP, dan meliputi Departemen Pertahanan (DoD), Departemen Keamanan Dalam Negeri (DHS), Administrasi Layanan Umum (GSA), dan lembaga pemerintah lain yang ditentukan oleh GSA Administrator dan direktur FedRAMP.

Dewan FedRAMP telah menerbitkan Authority to Operate (ATO) FedRAMP Moderate dan FedRAMP High untuk infrastruktur Google Cloud dan Penawaran Layanan Google Cloud (CSO) khusus. Google Cloud secara rutin mengirimkan layanan tambahan kepada Dewan untuk mendapatkan persetujuan FedRAMP Moderate dan FedRAMP High.

Google Cloud menyediakan bukti kepatuhan terhadap FedRAMP tambahan secara langsung kepada pelanggan yang telah memiliki perjanjian kerahasiaan (NDA) dengan kami. Dokumen yang tersedia berdasarkan NDA meliputi:

  • Customer Responsibility Matrix (CRM) FedRAMP
  • Rencana Keamanan Sistem (SSP) Google Cloud
  • Laporan uji penetrasi dan dokumen lainnya

Tim penjualan kami atau perwakilan Google Cloud Anda dapat membantu memberikan akses ke dokumentasi lengkap ini. Pelanggan pemerintah juga dapat meminta paket FedRAMP Google melalui FedRAMP Program Management Office menggunakan formulir permintaan paket tersebut. 

Untuk pelanggan yang membeli melalui partner Google, persyaratan dan ketentuan pembelian ditentukan oleh partner kami.

Kepatuhan Google Workspace terhadap FedRAMP

Google Workspace mematuhi berbagai standar global dan pemerintah federal Amerika Serikat terkait privasi dan keamanan cloud. Selain mempertahankan otorisasi FedRAMP High, Google Workspace juga telah mendapatkan sertifikasi ISO 27017, 27018, 27001, serta diaudit sesuai standar American Institute of Certified Public Accountants (AICPA) dan Service Organization Control (SOC).

Data FedRAMP High di Google Cloud VMware Engine (GCVE)

Pada akhir 2023, FedRAMP Program Management Office (PMO) telah menyelesaikan peninjauan terhadap High Readiness Assessment Report (RAR) untuk Google Cloud VMware Engine (GCVE) yang diberikan oleh organisasi penilaian pihak ketiga (3PAO). Berdasarkan hasil positif peninjauan tersebut, tanpa adanya kelemahan kemampuan yang signifikan, GCVE telah diterima sebagai penawaran berstatus FedRAMP High Ready (ID Paket FedRAMP FR2405153785).

Perolehan status FedRAMP High Ready ini menunjukkan kepada Pemerintah Federal Amerika Serikat bahwa GCVE memiliki kemungkinan besar untuk memperoleh Otorisasi FedRAMP. GCVE juga telah mendapatkan sertifikasi ISO 27017, 27018, 27001, PCI-DSS serta diaudit sesuai standar American Institute of Certified Public Accountants (AICPA) dan Service Organization Control (SOC).

Menghosting Workload FedRAMP Moderate dan High di Google Cloud

Investasi Google Cloud yang sangat mengutamakan keamanan untuk infrastruktur kami memastikan bahwa kontrol keamanan sudah terintegrasi dan dikonfigurasikan sebelumnya untuk memungkinkan pelanggan mencapai berbagai tingkat kepatuhan tanpa arsitektur cloud pemerintah tradisional yang terisolasi. 

Pelanggan yang ingin men-deploy solusi mereka menggunakan Google Cloud pada lingkungan FedRAMP Moderate dan High harus menggunakan Assured Workloads. Dengan Assured Workloads, pelanggan dapat dengan yakin mengamankan dan mengonfigurasi workload yang sensitif guna mendukung persyaratan kepatuhan dan keamanan untuk menggunakan layanan Google Cloud. Assured Workloads tidak mengandalkan infrastruktur fisik yang berbeda dari pusat data cloud publiknya. Sebagai gantinya, produk ini menghadirkan Cloud Komunitas yang Software-Defined yang menawarkan keuntungan dari segi biaya, kecepatan, dan inovasi.

Layanan yang diotorisasi FedRAMP tersedia melalui Assured Workloads yang menerapkan kontrol keamanan FedRAMP dan memungkinkan pelanggan menggunakan kemampuan Google Cloud untuk memenuhi kebutuhan organisasi mereka. Assured Workloads juga menyediakan visibilitas terhadap status kepatuhan workload FedRAMP melalui Assured Workloads Monitoring. Alat ini dapat membantu Anda menemukan dan memperbaiki pelanggaran terhadap kepatuhan, serta menyediakan pengesahan kontrol kepada auditor atas status kepatuhan Anda.

Selain kontrol yang dipenuhi oleh infrastruktur Google Cloud dengan ATO FedRAMP High, Assured Workloads juga menerapkan kontrol kunci FedRAMP High secara default untuk pelanggan yang menangani data pemerintah dengan FedRAMP High : 

  1. Menetapkan batasan lokasi data pelanggan FedRAMP High hanya untuk Amerika Serikat.
  2. Membatasi staf dukungan teknis hanya untuk personel yang ditentukan oleh FedRAMP dan berlokasi di Amerika Serikat.
  3. Menerapkan penggunaan enkripsi dalam penyimpanan dan enkripsi dalam pengiriman yang sesuai dengan FIPS-140-2
  4. Menerapkan kontrol akses personel yang disyaratkan FedRAMP untuk personel dengan akses rutin ke data pelanggan 
  5. Membatasi developer untuk hanya menggunakan produk dan layanan yang mematuhi FedRAMP
  6. Segmentasi logis dalam cakupan batasan kepatuhan untuk mendukung persyaratan FedRAMP Moderate dan High

Menghosting Data FedRAMP Moderate dan High di Google Workspace

Google Workspace mempertahankan ATO FedRAMP High, yang dapat dimanfaatkan pelanggan untuk menghosting data FedRAMP Moderate dan High. Pelanggan yang ingin men-deploy Google Workspace di lingkungan FedRAMP Moderate dan High harus mengaktifkan layanan yang diotorisasi FedRAMP serta sesuai dengan otorisasi yang terkait. Pelajari cara mengaktifkan atau menonaktifkan layanan Google Workspace

Selain itu, edisi Google Workspace Business dan Enterprise memiliki kontrol keamanan bawaan dan set fitur yang memungkinkan pelanggan memenuhi FedRAMP High dan menyelaraskan ATO mereka sendiri. Pengguna Google Workspace dapat mengonfigurasi lingkungan mereka untuk mematuhi kontrol residensi data FedRAMP dengan menggunakan kebijakan Region Data.

Proses untuk Mendapatkan Authority to Operate (ATO) FedRAMP

Pelanggan yang perlu menghosting data pemerintah di Google Cloud mungkin juga perlu mendapatkan Authority to Operate (ATO) mereka sendiri. Organisasi perlu mempertimbangkan tonggak pencapaian berikut untuk mendapatkan ATO di Google Cloud:

  • Menentukan apakah data dalam cakupan memerlukan FedRAMP Moderate atau FedRAMP High
  • Memilih Assured Workloads (FedRAMP Moderate memerlukan Paket Gratis dan FedRAMP High memerlukan langganan premium) untuk layanan Google Cloud yang termasuk dalam cakupan
  • Menentukan batasan FedRAMP Anda dalam Google Cloud
  • Mengonfigurasikan workload Anda sesuai dengan model tanggung jawab bersama, Customer Responsibility Matrix, layanan Google Cloud yang termasuk dalam cakupan, dan pedoman FedRAMP
  • Menjalani audit dengan organisasi penilaian pihak ketiga (3PAO)
  • Mengirimkan paket Anda kepada Dewan FedRAMP atau Lembaga Pemerintah Federal untuk ditinjau dan diotorisasi

Untuk mengetahui informasi selengkapnya tentang proses ATO, buka situs FedRAMP. Untuk mendapatkan dukungan tambahan mengenai ATO FedRAMP dari Google Cloud, kunjungi halaman Google Cloud Consulting kami. 

FAQ

Draf memorandum FedRAMP terbaru dari Office of Management and Budget, yang mendukung pendekatan cloud modern berdasarkan pemisahan berbasis logika dan software, bukan pemisahan fisik, adalah langkah besar ke arah yang benar. Google Cloud memelopori pendekatan ini dan yakin bahwa hal ini memberdayakan pelanggan untuk meningkatkan skala dan berinovasi dengan aman.

FedRAMP mengizinkan tingkat pewarisan yang beragam untuk penyedia layanan cloud (CSP) yang menggunakan infrastruktur, platform, dan layanan yang diotorisasi FedRAMP. Analisis awal terkait kontrol vs. pewarisan ini pada akhirnya akan menentukan seberapa besar tanggung jawab kepatuhan yang Anda miliki sebagai CSP. 

Contohnya, jika organisasi Anda memilih untuk membangun seluruh stack aplikasi, Anda juga akan memiliki tanggung jawab/kewajiban pelanggan yang lebih besar saat proses evaluasi oleh Petugas Otorisasi. Jika Anda menggunakan Platform as a Service atau Software as a Service, beban kepatuhan mungkin akan lebih sedikit.

Setelah Anda memilih layanan yang diotorisasi FedRAMP, Google akan membantu mengonfigurasi solusi Anda melalui panduan konfigurasi khusus layanan atau interaksi langsung dengan pakar FedRAMP di organisasi Google Cloud Consulting kami.

Google adalah salah satu penyedia cloud komersial hyperscale pertama yang memperoleh FedRAMP High pada penawaran cloud publik komersial, dan merupakan salah satu penyedia layanan FedRAMP terbesar yang ada di pasaran saat ini. Sebelumnya, penyedia hyperscale memisahkan “govclouds” mereka dari penawaran cloud komersial untuk memenuhi persyaratan FedRAMP High. Pendekatan ini dapat memberikan kepatuhan, tetapi lingkungan terpisah ini sering kali tidak menghadirkan manfaat yang dapat diberikan oleh infrastruktur Google Cloud.

Otorisasi FedRAMP High pada Google Cloud memungkinkan lembaga pemerintah yang memproses workload berdampak tinggi untuk mengadopsi teknologi dengan kecepatan yang lebih tinggi dan pada skala yang sama dengan pelanggan komersial, serta memanfaatkan infrastruktur cloud publik Google yang unik, termasuk dalam hal kemampuan dan juga kapasitasnya. Dengan Assured Workloads atau Assured Controls, pelanggan dapat dengan yakin mengamankan dan mengonfigurasi workload yang sensitif untuk mendukung persyaratan kepatuhan dan keamanan mereka di cloud. Pilih setelan keamanan Anda, dan Google akan menempatkan kontrol cloud yang diperlukan. 

Daftar edisi Google Workspace yang diotorisasi FedRAMP tercantum di bawah ini. Berikut panduan konfigurasi untuk men-deploy Google Workspace guna mendukung kepatuhan terhadap kontrol keamanan FedRAMP High. 

Ya, Assured Workloads diperlukan untuk memperoleh ATO FedRAMP Moderate atau FedRAMP High. Assured Workloads memberi Google Cloud kemampuan untuk mengidentifikasi workload federal pelanggan dan menerapkan batasan teknis agar sesuai dengan perubahan apa pun pada peraturan Federal. Google Cloud berkomitmen untuk mempertahankan persyaratan kepatuhan terhadap FedRAMP, termasuk hal-hal yang disebutkan dalam NIST 800-53 Revision 5 dan yang akan dirilis untuk workload yang berjalan dalam Assured Workloads.

Selain itu, Assured Workloads adalah satu-satunya cara agar Google Cloud dapat memenuhi persyaratan residensi data dan dukungan FedRAMP High yang ditingkatkan. Assured Workloads tidak berlaku untuk Google Workspace, yang memiliki kontrol tersendiri.

Salah satu manfaat menggunakan Google Cloud untuk workload di sektor pemerintah adalah bahwa sejumlah kontrol yang diperlukan telah tersedia dalam infrastruktur dasar dan Assured Workloads kami. Jadi, saat Anda mengirimkan paket FedRAMP kepada Dewan FedRAMP untuk diotorisasi, Anda juga akan menyertakan SSP Google, yang menjelaskan kontrol yang dikelola Google Cloud. Harap hubungi tim penjualan Anda untuk mendapatkan salinan SSP Google Cloud (NDA diperlukan).

Kelompok StateRAMP (State Risk and Authorization Management Program) adalah organisasi keanggotaan nonprofit yang menetapkan sertifikasi StateRAMP. Seperti FedRAMP, StateRAMP dibuat berdasarkan framework NIST 800-53 dan sebagian dirancang mengikuti FedRAMP. StateRAMP juga mengandalkan Organisasi Penilaian Pihak Ketiga (3PAO) yang diotorisasi FedRAMP untuk melakukan penilaian. Google Cloud siap mendukung pelanggan pemerintah StateRAMP dengan kemampuan dukungan dan residensi data yang ditingkatkan melalui Assured Workloads.

FedRAMP Marketplace mengelola daftar 3PAO yang memenuhi syarat.

SSP Google Cloud mencakup resource yang dimiliki Google untuk uji penetrasi, dan pelanggan dapat mewarisi kontrol ini dengan menggunakan Google Cloud. Uji penetrasi terhadap lingkungan FedRAMP pelanggan yang dibangun menggunakan Google Cloud juga harus dilakukan selama proses penilaian oleh 3PAO.

FedRAMP mengizinkan tingkat pewarisan yang beragam untuk penyedia layanan cloud (CSP) yang menggunakan infrastruktur, platform, dan layanan yang diotorisasi FedRAMP. Analisis awal terkait kontrol vs. pewarisan ini pada akhirnya akan menentukan seberapa besar tanggung jawab kepatuhan yang Anda miliki sebagai CSP. 

Contohnya, jika organisasi Anda memilih untuk membangun seluruh stack aplikasi, Anda juga akan memiliki tanggung jawab/kewajiban pelanggan yang lebih besar saat proses evaluasi oleh Petugas Otorisasi. Jika Anda menggunakan Platform as a Service atau Software as a Service, beban kepatuhan mungkin akan lebih sedikit.

Setelah Anda memilih layanan yang diotorisasi FedRAMP, Google akan membantu mengonfigurasi solusi Anda melalui panduan konfigurasi khusus layanan atau interaksi langsung dengan pakar FedRAMP di organisasi Google Cloud Consulting kami.

Assured Workloads adalah fitur Google Cloud yang dapat digunakan pelanggan untuk mengaktifkan konfigurasi project tertentu agar memenuhi persyaratan rezim kepatuhan. Pelanggan juga dapat menetapkan sendiri kebijakan organisasi yang sesuai dengan persyaratan kepatuhan tanpa menggunakan Assured Workloads. Produk secara terpisah terintegrasi dengan Assured Workloads dan menerapkan kebijakan organisasinya sendiri.

Konsol Google Cloud adalah antarmuka pengguna berbasis web sederhana yang memiliki fitur untuk membantu Pelanggan terkait deployment. Konsol ini merupakan sebuah framework, bukan layanan, yang dibangun di infrastruktur Google Cloud yang memberikan antarmuka kepada pelanggan untuk mengelola aset Google Cloud mereka. Pelanggan Konsol Cloud berinteraksi langsung dengan masing-masing API layanan Google Cloud dan menggunakan API layanan tersebut untuk merender UI. Konsol Cloud sendiri tidak memiliki API yang dapat digunakan pelanggan untuk berinteraksi dengannya. Sebagai gantinya, pelanggan berinteraksi langsung dengan masing-masing API layanan Google Cloud, Konsol Cloud menggunakan layanan API tersebut untuk merender UI.

Layanan yang termasuk dalam cakupan

ID Paket FedRAMP FR1805751477

*Perlu diperhatikan bahwa semua layanan Google Cloud yang tercakup dalam FedRAMP High juga tercakup dalam FedRAMP Moderate

*Catatan: Platform FedRAMP Moderate dan FedRAMP High menerapkan kontrol yang membatasi koneksi TLS 1.1/1.0 pada tingkat domain.

Access Context Manager

Transparansi Akses

AI Platform Training and Prediction (sebelumnya Cloud Machine Learning Engine)

Anthos Identity Service

Apigee

AutoML Natural Language

AutoML Tables

AutoML Translation

AutoML Video Intelligence

AutoML Vision

BeyondCorp Enterprise

BigQuery Data Transfer Service

Otorisasi Biner

Care Studio (Cloud Healthcare Search)

CCAI Insights

Certificate Authority Service

Chronicle SIEM (sebelumnya Chronicle Security)

Cloud Billing API

Cloud Build

Cloud CDN

Cloud Composer

Cloud Data Fusion

Cloud Deployment Manager

Cloud Endpoints

Cloud Error Reporting

Cloud External Key Manager

Cloud Functions

Cloud Functions for Firebase

Cloud Healthcare API

Cloud IDS

Cloud Interconnect

Cloud Life Sciences (sebelumnya Google Genomics)

Cloud Load Balancing

Cloud Monitoring

Cloud NAT (Penafsiran Alamat Jaringan)

Cloud Natural Language API

Cloud Profiler

Cloud Router

Cloud Run (terkelola sepenuhnya)

Cloud Run for Anthos

Cloud Scheduler

Cloud SDK

Cloud Shell

Cloud Source Repositories

Cloud Storage for Firebase

Cloud Tasks

Cloud Trace (sebelumnya Stackdriver Trace)

Cloud Translation

Cloud Vision API

Cloud VPN

Config Management

Connect Agent

Contact Center AI (CCAI)

Data Catalog

Database Migration Service

Datalab

Datastore

Datastream

Dialogflow

Document AI

Earth Engine

Filestore (tingkat HDD Dasar dan SSD Dasar)

Game Servers

GKE Hub

Aplikasi Google Cloud

Google Cloud Armor

Google Cloud CLI

Konsol Google Cloud

Google Cloud Marketplace

Google Cloud Identity-Aware Proxy

Identity Platform

IoT Core

Key Access Justifications (KAJ)

Looker Studio (termasuk Looker Studio Pro, sebelumnya Google Data Studio)

Network Connectivity Center

Network Service Tiers

Resource Manager API

Secret Manager

Security Command Center (termasuk Web Security Scanner) (sebelumnya Cloud Security Scanner)

Sensitive Data Protection (termasuk Cloud Data Loss Prevention)

Direktori Layanan

Service Infrastructure (sebelumnya Service Control; termasuk Service Management API dan Service Consumer Management API)

Mesh Layanan

Speech-to-Text

Storage Transfer Service

Talent Solution

Text-to-Speech

Traffic Director

Video Intelligence API

Notebooks yang Dikelola Pengguna Vertex AI Workbench (sebelumnya Notebooks AI Platform)

Kontrol Layanan VPC

Web Risk API

Workflows

Workforce Identity Federation

*Catatan: Platform FedRAMP Moderate dan FedRAMP High menerapkan kontrol yang membatasi koneksi TLS 1.1/1.0 pada tingkat domain.

Google Workspace Business Plus

Google Workspace Business Standard

Google Workspace Enterprise Plus

Google Workspace Enterprise Standard

ID Paket FedRAMP F1206081364

*Perlu diperhatikan bahwa Konsol Admin dan Cloud Identity kini menjadi bagian dari paket Layanan Google (FR1805751477)

*Catatan: Platform FedRAMP Moderate dan FedRAMP High menerapkan kontrol yang membatasi koneksi TLS 1.1/1.0 pada tingkat domain.

Kalender

Dokumen

Drive

Formulir

Gmail

Google Chat

Google Meet

Keep

Sites Baru

Spreadsheet

Slide

Vault

Semua region Google Cloud yang tercakup dalam FedRAMP High juga tercakup dalam FedRAMP Moderate.

Oregon (us-west1) - FedRAMP High

Los Angeles (us-west2) - FedRAMP High

Salt Lake City (us-west3) - FedRAMP High

Las Vegas (us-west4) - FedRAMP High

Iowa (us-central1) - FedRAMP High

Oklahoma (us-central2) - FedRAMP High

South Carolina (us-east1) - FedRAMP High

Northern Virginia (us-east4) - FedRAMP High

Columbus (us-east5) - FedRAMP High

Dallas (us-south1) - FedRAMP High

Montreal (northamerica-northeast1) - FedRAMP Moderate

São Paulo (southamerica-east1) - FedRAMP Moderate

Belgia (europe-west1) - FedRAMP Moderate

London (europe-west2) - FedRAMP Moderate

Frankfurt (europe-west3) - FedRAMP Moderate

Belanda (europe-west4) - FedRAMP Moderate

Finlandia (europe-north1) - FedRAMP Moderate

Mumbai (asia-south1) - FedRAMP Moderate

Singapura (asia-southeast1) - FedRAMP Moderate

Taiwan (asia-east1) - FedRAMP Moderate

Tokyo (asia-northeast1) - FedRAMP Moderate

Sydney (australia-southeast1) - FedRAMP Moderate

Zurich (europe-west6) - FedRAMP Moderate

Warsawa (europe-central2) - FedRAMP Moderate

Jakarta (asia-southeast2) - FedRAMP Moderate

Osaka (asia-northeast2) - FedRAMP Moderate

Seoul (asia-northeast3) - FedRAMP Moderate