FedRAMP
Pemerintah Federal Amerika Serikat telah memberlakukan Federal Risk and Authorization Management Program (FedRAMP), sebuah program tingkat pemerintah yang menyediakan pendekatan standar terkait penilaian keamanan, otorisasi, dan pemantauan berkelanjutan pada produk dan layanan cloud. Kongres menyusun FedRAMP pada tahun 2022, sebagai “program tingkat Pemerintah yang menyediakan pendekatan standar dan dapat digunakan kembali terkait penilaian keamanan dan otorisasi untuk produk dan layanan cloud computing yang memproses informasi yang tidak bersifat rahasia yang digunakan oleh lembaga pemerintah.”
Semua model layanan dan deployment cloud yang digunakan oleh lembaga pemerintah federal, selain cloud pribadi lokal tertentu, harus memenuhi semua persyaratan FedRAMP sesuai dengan tingkat dampak risiko (Low, Moderate, atau High).
Pelanggan yang perlu menghosting layanan yang diotorisasi FedRAMP di Google Cloud harus menggunakan Assured Workloads agar mematuhi Tingkat Dampak FedRAMP Moderate atau High. Lihat di bawah ini untuk mengetahui info lebih lanjut.
Kepatuhan Google Cloud terhadap FedRAMP
Dewan FedRAMP (sebelumnya disebut sebagai Dewan Otorisasi Bersama) adalah lembaga pemerintah utama untuk FedRAMP, dan meliputi Departemen Pertahanan (DoD), Departemen Keamanan Dalam Negeri (DHS), Administrasi Layanan Umum (GSA), dan lembaga pemerintah lain yang ditentukan oleh GSA Administrator dan direktur FedRAMP.
Dewan FedRAMP telah menerbitkan Authority to Operate (ATO) FedRAMP Moderate dan FedRAMP High untuk infrastruktur Google Cloud dan Penawaran Layanan Google Cloud (CSO) khusus. Google Cloud secara rutin mengirimkan layanan tambahan kepada Dewan untuk mendapatkan persetujuan FedRAMP Moderate dan FedRAMP High.
Google Cloud menyediakan bukti kepatuhan terhadap FedRAMP tambahan secara langsung kepada pelanggan yang telah memiliki perjanjian kerahasiaan (NDA) dengan kami. Dokumen yang tersedia berdasarkan NDA meliputi:
- Customer Responsibility Matrix (CRM) FedRAMP
- Rencana Keamanan Sistem (SSP) Google Cloud
- Laporan uji penetrasi dan dokumen lainnya
Tim penjualan kami atau perwakilan Google Cloud Anda dapat membantu memberikan akses ke dokumentasi lengkap ini. Pelanggan pemerintah juga dapat meminta paket FedRAMP Google melalui FedRAMP Program Management Office menggunakan formulir permintaan paket tersebut.
Untuk pelanggan yang membeli melalui partner Google, persyaratan dan ketentuan pembelian ditentukan oleh partner kami.
Kepatuhan Google Workspace terhadap FedRAMP
Google Workspace mematuhi berbagai standar global dan pemerintah federal Amerika Serikat terkait privasi dan keamanan cloud. Selain mempertahankan otorisasi FedRAMP High, Google Workspace juga telah mendapatkan sertifikasi ISO 27017, 27018, 27001, serta diaudit sesuai standar American Institute of Certified Public Accountants (AICPA) dan Service Organization Control (SOC).
Data FedRAMP High di Google Cloud VMware Engine (GCVE)
Pada akhir 2023, FedRAMP Program Management Office (PMO) telah menyelesaikan peninjauan terhadap High Readiness Assessment Report (RAR) untuk Google Cloud VMware Engine (GCVE) yang diberikan oleh organisasi penilaian pihak ketiga (3PAO). Berdasarkan hasil positif peninjauan tersebut, tanpa adanya kelemahan kemampuan yang signifikan, GCVE telah diterima sebagai penawaran berstatus FedRAMP High Ready (ID Paket FedRAMP FR2405153785).
Perolehan status FedRAMP High Ready ini menunjukkan kepada Pemerintah Federal Amerika Serikat bahwa GCVE memiliki kemungkinan besar untuk memperoleh Otorisasi FedRAMP. GCVE juga telah mendapatkan sertifikasi ISO 27017, 27018, 27001, PCI-DSS serta diaudit sesuai standar American Institute of Certified Public Accountants (AICPA) dan Service Organization Control (SOC).
Menghosting Workload FedRAMP Moderate dan High di Google Cloud
Investasi Google Cloud yang sangat mengutamakan keamanan untuk infrastruktur kami memastikan bahwa kontrol keamanan sudah terintegrasi dan dikonfigurasikan sebelumnya untuk memungkinkan pelanggan mencapai berbagai tingkat kepatuhan tanpa arsitektur cloud pemerintah tradisional yang terisolasi.
Pelanggan yang ingin men-deploy solusi mereka menggunakan Google Cloud pada lingkungan FedRAMP Moderate dan High harus menggunakan Assured Workloads. Dengan Assured Workloads, pelanggan dapat dengan yakin mengamankan dan mengonfigurasi workload yang sensitif guna mendukung persyaratan kepatuhan dan keamanan untuk menggunakan layanan Google Cloud. Assured Workloads tidak mengandalkan infrastruktur fisik yang berbeda dari pusat data cloud publiknya. Sebagai gantinya, produk ini menghadirkan Cloud Komunitas yang Software-Defined yang menawarkan keuntungan dari segi biaya, kecepatan, dan inovasi.
Layanan yang diotorisasi FedRAMP tersedia melalui Assured Workloads yang menerapkan kontrol keamanan FedRAMP dan memungkinkan pelanggan menggunakan kemampuan Google Cloud untuk memenuhi kebutuhan organisasi mereka. Assured Workloads juga menyediakan visibilitas terhadap status kepatuhan workload FedRAMP melalui Assured Workloads Monitoring. Alat ini dapat membantu Anda menemukan dan memperbaiki pelanggaran terhadap kepatuhan, serta menyediakan pengesahan kontrol kepada auditor atas status kepatuhan Anda.
Selain kontrol yang dipenuhi oleh infrastruktur Google Cloud dengan ATO FedRAMP High, Assured Workloads juga menerapkan kontrol kunci FedRAMP High secara default untuk pelanggan yang menangani data pemerintah dengan FedRAMP High :
- Menetapkan batasan lokasi data pelanggan FedRAMP High hanya untuk Amerika Serikat.
- Membatasi staf dukungan teknis hanya untuk personel yang ditentukan oleh FedRAMP dan berlokasi di Amerika Serikat.
- Menerapkan penggunaan enkripsi dalam penyimpanan dan enkripsi dalam pengiriman yang sesuai dengan FIPS-140-2
- Menerapkan kontrol akses personel yang disyaratkan FedRAMP untuk personel dengan akses rutin ke data pelanggan
- Membatasi developer untuk hanya menggunakan produk dan layanan yang mematuhi FedRAMP
- Segmentasi logis dalam cakupan batasan kepatuhan untuk mendukung persyaratan FedRAMP Moderate dan High
Menghosting Data FedRAMP Moderate dan High di Google Workspace
Google Workspace mempertahankan ATO FedRAMP High, yang dapat dimanfaatkan pelanggan untuk menghosting data FedRAMP Moderate dan High. Pelanggan yang ingin men-deploy Google Workspace di lingkungan FedRAMP Moderate dan High harus mengaktifkan layanan yang diotorisasi FedRAMP serta sesuai dengan otorisasi yang terkait. Pelajari cara mengaktifkan atau menonaktifkan layanan Google Workspace.
Selain itu, edisi Google Workspace Business dan Enterprise memiliki kontrol keamanan bawaan dan set fitur yang memungkinkan pelanggan memenuhi FedRAMP High dan menyelaraskan ATO mereka sendiri. Pengguna Google Workspace dapat mengonfigurasi lingkungan mereka untuk mematuhi kontrol residensi data FedRAMP dengan menggunakan kebijakan Region Data.
Proses untuk Mendapatkan Authority to Operate (ATO) FedRAMP
Pelanggan yang perlu menghosting data pemerintah di Google Cloud mungkin juga perlu mendapatkan Authority to Operate (ATO) mereka sendiri. Organisasi perlu mempertimbangkan tonggak pencapaian berikut untuk mendapatkan ATO di Google Cloud:
- Menentukan apakah data dalam cakupan memerlukan FedRAMP Moderate atau FedRAMP High
- Memilih Assured Workloads (FedRAMP Moderate memerlukan Paket Gratis dan FedRAMP High memerlukan langganan premium) untuk layanan Google Cloud yang termasuk dalam cakupan
- Menentukan batasan FedRAMP Anda dalam Google Cloud
- Mengonfigurasikan workload Anda sesuai dengan model tanggung jawab bersama, Customer Responsibility Matrix, layanan Google Cloud yang termasuk dalam cakupan, dan pedoman FedRAMP
- Menjalani audit dengan organisasi penilaian pihak ketiga (3PAO)
- Mengirimkan paket Anda kepada Dewan FedRAMP atau Lembaga Pemerintah Federal untuk ditinjau dan diotorisasi
Untuk mengetahui informasi selengkapnya tentang proses ATO, buka situs FedRAMP. Untuk mendapatkan dukungan tambahan mengenai ATO FedRAMP dari Google Cloud, kunjungi halaman Google Cloud Consulting kami.