Vai a
FedRAMP

FedRAMP

Il Governo Federale degli Stati Uniti ha istituito il Federal Risk and Authorization Management Program (FedRAMP), un programma a livello governativo che fornisce un approccio standardizzato riguardo a valutazione, autorizzazione e monitoraggio continuo della sicurezza per prodotti e servizi cloud. Nel 2022, il Congresso ha codificato il FedRAMP come "un programma a livello governativo che fornisce un approccio standardizzato e riutilizzabile alla valutazione e all'autorizzazione della sicurezza per i prodotti e i servizi di cloud computing che trattano informazioni non classificate utilizzate dalle agenzie".

Tutti i modelli di servizio e i deployment su cloud delle agenzie federali, eccetto alcuni cloud privati on-premise, devono soddisfare i requisiti FedRAMP secondo il livello di impatto del rischio appropriato (Low, Moderate o High).

I clienti interessati a ospitare servizi autorizzati da FedRAMP su Google Cloud devono utilizzare Assured Workloads per rispettare il livello di impatto moderato o elevato di FedRAMP. Vedi sotto per maggiori informazioni.

Conformità FedRAMP di Google Cloud

Il FedRAMP Board (precedentemente noto come Joint Authorization Board) è l'organo direttivo principale della FedRAMP e include il Department of Defense (DoD), il Department of Homeland Security (DHS), il General Services Administration (GSA) e altre agenzie come stabilito dall'amministratore di GSA e dal direttore di FedRAMP.

Il FedRAMP Board ha rilasciato FedRAMP Moderate e FedRAMP High Authority to Operate (ATO) per l'infrastruttura Google Cloud e per specifiche offerte di servizi Google Cloud (CSO). Google Cloud invia regolarmente al Board servizi aggiuntivi per le approvazioni FedRAMP Moderate e High.

Google Cloud fornisce ulteriori prove di conformità FedRAMP direttamente ai clienti che dispongono già di un accordo di non divulgazione (NDA). La documentazione disponibile ai sensi dell'NDA include:

  • Matrice delle responsabilità del cliente (CRM) di FedRAMP
  • Piano di sicurezza del sistema (SSP) di Google Cloud
  • Report sui test di penetrazione e altri documenti

Il nostro team di vendita o il tuo rappresentante di Google Cloud possono aiutarti ad accedere a questa documentazione estesa. I clienti governativi possono richiedere anche il pacchetto FedRAMP di Google tramite il FedRAMP Program Management Office utilizzando il relativo modulo di richiesta

Per i clienti che effettuano l'acquisto tramite un partner Google, i termini e le condizioni di acquisto dipendono dai nostri partner.

Conformità FedRAMP di Google Workspace

Google Workspace è conforme a vari standard globali e del Governo federale degli Stati Uniti per la privacy e la sicurezza del cloud. Oltre a mantenere un'autorizzazione FedRAMP High, Google Workspace ha anche ottenuto la certificazione ISO 27017, 27018, 27001, ed è controllato in base agli standard SOC (Service Organization Control) dell'AICPA (American Institute of Certified Public Accountants.

Dati FedRAMP High su Google Cloud VMware Engine (GCVE)

Alla fine del 2023, il Program Management Office (PMO) di FedRAMP ha completato la revisione del Google Cloud VMware Engine (GCVE) High Readiness Assessment Report (RAR) fornito da un'organizzazione di valutazione di terze parti (3PAO). In base ai risultati positivi della revisione, in assenza di punti deboli nelle capacità, GCVE è stato accettato come offerta FedRAMP High Ready (ID pacchetto FedRAMP FR2405153785).

Il raggiungimento di FedRAMP High Ready dimostra al governo federale degli Stati Uniti che GCVE ha un'alta probabilità di ottenere un'autorizzazione FedRAMP. GCVE ha anche ottenuto la certificazione ISO 27017, 27018, 27001, PCI-DSS ed è controllato in base agli standard SOC (Service Organization Control) dell'American Institute of Certified Public Accountants (AICPA).

Hosting di carichi di lavoro FedRAMP Moderate e High su Google Cloud

L'investimento di Google Cloud nella sicurezza predefinita per la nostra infrastruttura garantisce che i controlli di sicurezza siano integrati e preconfigurati per consentire ai clienti di raggiungere vari livelli di conformità senza una tradizionale architettura cloud governativa isolata. 

I clienti che vogliono eseguire il deployment delle proprie soluzioni utilizzando Google Cloud nei propri ambienti FedRAMP Moderate e High devono utilizzare Assured Workloads. Assured Workloads consente ai clienti di proteggere e configurare in modo sicuro carichi di lavoro sensibili per supportare i requisiti di conformità e sicurezza utilizzando i servizi Google Cloud. Assured Workloads non si basa su un'infrastruttura fisica distinta dai data center nel cloud pubblico. Al contrario, offre una Community Cloud software-defined che offre vantaggi in termini di costi, velocità e innovazione.

I servizi autorizzati FedRAMP resi disponibili tramite Assured Workloads implementano i controlli di sicurezza di FedRAMP e consentono ai clienti di utilizzare le funzionalità di Google Cloud per soddisfare le loro esigenze organizzative. Assured Workloads offre inoltre visibilità sullo stato di conformità dei carichi di lavoro FedRAMP tramite il monitoraggio di Assured Workloads. Questo strumento può aiutarti a individuare e risolvere le violazioni della conformità e a fornire attestati di controllo ai revisori del tuo stato di conformità.

Oltre ai controlli soddisfatti dall'infrastruttura Google Cloud FedRAMP High ATO, Assured Workloads implementa per impostazione predefinita i seguenti controlli chiave FedRAMP High per i clienti che gestiscono dati governativi FedRAMP High: 

  1. Imposta sistemi di protezione per limitare la posizione dei dati dei clienti FedRAMP High agli Stati Uniti
  2. Limita il personale di assistenza tecnica al solo personale esperto FedRAMP con sede negli Stati Uniti
  3. Applica la crittografia at-rest e in transito conforme allo standard FIPS-140-2
  4. Implementa i controlli dell'accesso del personale richiesti da FedRAMP per coloro che hanno accesso di routine ai dati dei clienti 
  5. Consente agli sviluppatori l'utilizzo esclusivo di prodotti e servizi conformi a FedRAMP
  6. Segmentazione logica del confine di conformità in ambito per supportare i requisiti FedRAMP Moderate e High

Hosting di dati FedRAMP Moderate e High su Google Workspace

Google Workspace gestisce un ATO FedRAMP High, che i clienti possono sfruttare per ospitare i dati FedRAMP Moderate e High. I clienti che vogliono eseguire il deployment di Google Workspace nei propri ambienti FedRAMP Moderate e High devono abilitare i servizi autorizzati FedRAMP che soddisfano le rispettive autorizzazioni. Scopri come attivare o disattivare un servizio per Google Workspace

Inoltre, le versioni Business ed Enterprise di Google Workspace dispongono di controlli di sicurezza e di set di funzionalità integrati che consentono ai clienti di soddisfare i requisiti FedRAMP High e allineare il proprio ATO. Gli utenti di Google Workspace possono configurare i propri ambienti per soddisfare i controlli di residenza dei dati di FedRAMP utilizzando un criterio per la regione di dati.

Procedura per ottenere l'autorizzazione a operare (ATO) FedRAMP

I clienti interessati a ospitare dati governativi su Google Cloud potrebbero essere interessati anche a ottenere l'autorizzazione a operare (ATO). Le organizzazioni dovrebbero prendere in considerazione i seguenti obiettivi per ottenere un'ATO su Google Cloud:

  • Determinare se i dati in ambito richiedono FedRAMP Moderate o FedRAMP High
  • Selezionare Assured Workloads (FedRAMP Moderate è il livello gratuito e FedRAMP High richiede un abbonamento premium) per i servizi Google Cloud inclusi nell'ambito
  • Definire il confine di FedRAMP all'interno di Google Cloud
  • Configurare i carichi di lavoro in base al modello di responsabilità condivisa, alla matrice delle responsabilità del cliente, ai servizi Google Cloud inclusi nell'ambito e alle linee guida FedRAMP.
  • Esecuzione di un audit con un'organizzazione di valutazione di terze parti (3PAO)
  • Invio del pacchetto al FedRAMP Board o all'agenzia federale per la revisione e l'autorizzazione

Per ulteriori informazioni sulla procedura ATO, consulta il sito web FedRAMP. Per ulteriore assistenza su FedRAMP ATO da parte di Google Cloud, visita la nostra pagina di Google Cloud Consulting

Domande frequenti

La recente bozza di memorandum FedRAMP dell'Office of Management and Budget, che approva un moderno approccio al cloud basato sulla separazione logica e sul software anziché sulla separazione fisica, è un ottimo passo nella giusta direzione. Google Cloud è un pioniere di questo approccio e ritiene che consenta ai clienti di scalare e innovare in modo sicuro.

FedRAMP consente vari livelli di ereditarietà per i provider di servizi cloud (CSP) che utilizzano infrastrutture, piattaforme e servizi autorizzati dal programma FedRAMP. Questa analisi iniziale del controllo rispetto all'ereditarietà determinerà in sostanza il tuo livello di responsabilità nei confronti della conformità in qualità di CSP. 

Ad esempio, se la tua organizzazione preferisce creare l'intero stack della tua applicazione, genererai anche maggiori responsabilità/obblighi per il cliente nel corso della valutazione da parte del funzionario che concede l'autorizzazione. Se utilizzi Platform as a Service o Software as a Service, è probabile che l'onere di conformità sia inferiore.

Dopo che avrai selezionato i servizi autorizzati FedRAMP, Google potrà aiutarti a definire la tua soluzione mediante guide di configurazione specifiche per i servizi o l'impegno diretto con gli esperti FedRAMP nella nostra Organizzazione Google Cloud Consulting.

Google è uno dei primi provider di servizi cloud commerciali iperscalabili ad avere ottenuto la certificazione FedRAMP High per un'offerta commerciale di cloud pubblico ed è uno dei maggiori provider di servizi FedRAMP oggi disponibili sul mercato. In passato, i provider iperscalabili separavano le offerte "govcloud" dalle proprie offerte cloud commerciali per soddisfare i requisiti FedRAMP High. Questo approccio può garantire la conformità, ma gli ambienti separati spesso non offrono tutti i vantaggi che l'infrastruttura cloud di Google può offrire.

L'autorizzazione FedRAMP High di Google Cloud consente agli enti statali che elaborano carichi di lavoro ad alto impatto di adottare la tecnologia a una velocità molto più elevata e con la stessa scalabilità dei clienti commerciali e di sfruttare l'esclusiva infrastruttura cloud pubblica di Google, incluse le sue funzionalità e la sue capacità. Con Assured Workloads o Assured Controls, i clienti possono proteggere e configurare con sicurezza carichi di lavoro sensibili nel cloud per supportare i propri requisiti di conformità e sicurezza. Scegli le impostazioni di sicurezza e Google potrà applicare i controlli cloud necessari. 

Di seguito è riportato l'elenco delle versioni di Google Workspace autorizzate da FedRAMP. Ecco la guida alla configurazione per eseguire il deployment di Google Workspace per supportare la conformità ai controlli di sicurezza di FedRAMP High. 

Sì, Assured Workloads è obbligatorio per ottenere l'ATO FedRAMP Moderate o FedRAMP High. Assured Workloads offre a Google Cloud la possibilità di identificare i carichi di lavoro federali dei clienti e di applicare misure tecniche di protezione per adattarsi a qualsiasi modifica della regolamentazione federale. Google Cloud si è impegnata a mantenere i requisiti di conformità FedRAMP, inclusi quelli introdotti nella revisione 5 NIST 800-53 e in eventuali release future per i carichi di lavoro in esecuzione all'interno di Assured Workloads.

Inoltre, Assured Workloads è l'unico modo con cui Google Cloud può soddisfare i requisiti avanzati di assistenza e residenza dei dati di FedRAMP High. Assured Workloads non è applicabile a Google Workspace, che dispone di propri controlli.

Uno dei vantaggi dell'utilizzo di Google Cloud per i carichi di lavoro governativi è la presenza di una serie di controlli obbligatori già attivi nella nostra infrastruttura sottostante e in Assured Workloads. Di conseguenza, quando invii il tuo pacchetto al FedRAMP Board per l'autorizzazione, includi anche la SSP di Google, che delinea i controlli gestiti da Google Cloud. Contatta il tuo team di vendita per ottenere una copia della SSP di Google Cloud (è necessario un NDA).

Il gruppo StateRAMP (State Risk and Authorization Management Program) è un'organizzazione non profit che ha definito la certificazione StateRAMP. Come FedRAMP, è basato sul framework NIST 800-53 ed è modellato in parte su FedRAMP. StateRAMP si affida anche a 3PAO autorizzati FedRAMP per effettuare le valutazioni. Google Cloud è pronto a supportare i clienti governativi StateRAMP con funzionalità avanzate di residenza e assistenza per i dati tramite Assured Workloads.

Il Marketplace di FedRAMP gestisce un elenco di 3PAO qualificati.

L'SSP di Google Cloud copre le risorse di proprietà di Google per i test di penetrazione e i clienti possono ereditare questo controllo utilizzando Google Cloud. Durante la valutazione 3PAO dovrà essere condotto anche un test di penetrazione nell'ambiente FedRAMP del cliente creato utilizzando Google Cloud.

FedRAMP consente vari livelli di ereditarietà per i provider di servizi cloud (CSP) che utilizzano infrastrutture, piattaforme e servizi autorizzati dal programma FedRAMP. Questa analisi iniziale del controllo rispetto all'ereditarietà determinerà in sostanza il tuo livello di responsabilità nei confronti della conformità in qualità di CSP. 

Ad esempio, se la tua organizzazione preferisce creare l'intero stack della tua applicazione, genererai anche maggiori responsabilità/obblighi per il cliente nel corso della valutazione da parte del funzionario che concede l'autorizzazione. Se utilizzi Platform as a Service o Software as a Service, è probabile che l'onere di conformità sia inferiore.

Dopo che avrai selezionato i servizi autorizzati FedRAMP, Google potrà aiutarti a definire la tua soluzione mediante guide di configurazione specifiche per i servizi o l'impegno diretto con gli esperti FedRAMP nella nostra Organizzazione Google Cloud Consulting.

Assured Workloads è una funzionalità di Google Cloud che i clienti possono utilizzare per attivare configurazioni di progetto specifiche al fine di soddisfare i propri regimi di conformità. I clienti possono impostare i criteri dell'organizzazione per soddisfare i requisiti di conformità in autonomia, senza utilizzare anche Assured Workloads. I prodotti si integrano in modo discreto con Assured Workloads e applicano autonomamente i criteri dell'organizzazione.

La console Google Cloud è una semplice interfaccia utente basata sul web che contiene funzionalità per assistere i clienti nel deployment. Si tratta di un framework, non di un servizio, basato sull'infrastruttura Google Cloud che fornisce ai clienti un'interfaccia per gestire i propri asset Google Cloud. I clienti di Cloud Console interagiscono direttamente con le singole API dei servizi Google Cloud e utilizzano le API dei servizi per eseguire il rendering della UI. La console Cloud in sé non dispone di un'API con cui i clienti possono interagire. I clienti interagiscono direttamente con le API dei singoli servizi Google Cloud. La console Cloud utilizza queste API di servizio per eseguire il rendering dell'UI.

Servizi inclusi nell'ambito

ID pacchetto FedRAMP FR1805751477

*Tieni presente che tutti i servizi Google Cloud coperti da FedRAMP High sono coperti anche da FedRAMP Moderate

*Nota: le piattaforme FedRAMP Moderate e FedRAMP High implementano controlli che limitano le connessioni TLS 1.1/1.0 a livello di dominio.

App Engine

Assured Workloads

BigQuery

Cloud Bigtable

Cloud DNS

Cloud HSM

Cloud Identity

Cloud Key Management Service

Cloud Logging

Cloud Spanner

Cloud SQL

Cloud Storage

Compute Engine

Container Registry

Dataflow

Dataproc

Firestore

Google Kubernetes Engine

Console di amministrazione (incluso SDK Admin, Directory Sync)

Identity & Access Management (IAM)

Memorystore for Memcache

Memorystore for Redis

Persistent Disk

Pub/Sub

Sensitive Data Protection (incluso Cloud Data Loss Prevention)

Virtual Private Cloud

ID pacchetto FedRAMP FR1805751477

*Tieni presente che tutti i servizi Google Cloud coperti da FedRAMP High sono coperti anche da FedRAMP Moderate

*Nota: le piattaforme FedRAMP Moderate e FedRAMP High implementano controlli che limitano le connessioni TLS 1.1/1.0 a livello di dominio.

Gestore contesto accesso

Access Transparency

Servizio di addestramento e previsione di AI Platform (in precedenza Cloud Machine Learning Engine)

Anthos Identity Service

Apigee

AutoML Natural Language

AutoML Tables

AutoML Translation

AutoML Video Intelligence

AutoML Vision

BeyondCorp Enterprise

BigQuery Data Transfer Service

Autorizzazione binaria

Care Studio (Cloud Healthcare Search)

CCAI Insights

Certificate Authority Service

Chronicle SIEM (in precedenza Chronicle Security)

API Cloud Billing

Cloud Build

Cloud CDN

Cloud Composer

Cloud Data Fusion

Cloud Deployment Manager

Cloud Endpoints

Cloud Error Reporting

Cloud External Key Manager

Cloud Functions

Cloud Functions for Firebase

API Cloud Healthcare

Cloud IDS

Cloud Interconnect

Cloud Life Sciences (in precedenza Google Genomics)

Cloud Load Balancing

Cloud Monitoring

Cloud NAT (Network Address Translation)

API Cloud Natural Language

Cloud Profiler

Router Cloud

Cloud Run (completamente gestito)

Cloud Run for Anthos

Cloud Scheduler

Cloud SDK

Cloud Shell

Cloud Source Repositories

Cloud Storage for Firebase

Cloud Tasks

Cloud Trace (in precedenza Stackdriver Trace)

Cloud Translation

API Cloud Vision

Cloud VPN

Config Management

Connetti

Contact Center AI (CCAI)

Data Catalog

Database Migration Service

Datalab

Datastore

Datastream

Dialogflow

Document AI

Earth Engine

Filestore (livelli HDD base e SSD base)

Game Servers

GKE Hub

App Google Cloud

Google Cloud Armor

Google Cloud CLI

Console Google Cloud

Google Cloud Marketplace

Google Cloud Identity Aware Proxy

Identity Platform

IoT Core

Key Access Justifications (KAJ)

Looker Studio (incluso Pro, in precedenza Google Data Studio)

Network Connectivity Center

Network Service Tiers

API Resource Manager

Secret Manager

Security Command Center (incluso Web Security Scanner) (in precedenza Cloud Security Scanner)

Sensitive Data Protection (incluso Cloud Data Loss Prevention)

Service Directory

Service Infrastructure (in precedenza Service Control; include l'API Service Management e l'API Service Consumer Management)

Service Mesh

Speech-to-Text

Storage Transfer Service

Talent Solution

Text-to-Speech

Traffic Director

API Video Intelligence

Blocchi note gestiti dall'utente di Vertex AI Workbench (in precedenza AI Platform Notebooks)

Controlli di servizio VPC

API Web Risk

Workflows

Federazione delle identità della forza lavoro

*Nota: le piattaforme FedRAMP Moderate e FedRAMP High implementano controlli che limitano le connessioni TLS 1.1/1.0 a livello di dominio.

Google Workspace Business Plus

Google Workspace Business Standard

Google Workspace Enterprise Plus

Google Workspace Enterprise Standard

*Nota: le piattaforme FedRAMP Moderate e FedRAMP High implementano controlli che limitano le connessioni TLS 1.1/1.0 a livello di dominio.

Google Workspace Business Starter

Google Workspace Enterprise Essentials

Google Workspace Enterprise Plus

Google Workspace for Education

Google Workspace for Education Fundamentals

Google Workspace for Education Plus

Google Workspace for Education Standard

Google Workspace for Government

Google Workspace for Nonprofits

Versione Google Workspace Frontline

Teaching and Learning Upgrade

ID pacchetto FedRAMP F1206081364

*Tieni presente che la Console di amministrazione e Cloud Identity fanno ora parte del pacchetto Servizi Google (FR1805751477)

*Nota: le piattaforme FedRAMP Moderate e FedRAMP High implementano controlli che limitano le connessioni TLS 1.1/1.0 a livello di dominio.

Calendar

Documenti

Drive

Moduli

Gmail

Google Chat

Google Meet

Keep

Nuova versione di Sites

Fogli

Presentazioni

Vault

Servizi Google Workspace (FedRAMP Moderate)

ID pacchetto FedRAMP F1206081364

*Tieni presente che la Console di amministrazione e Cloud Identity fanno ora parte del pacchetto Servizi Google (FR1805751477)

*Nota: le piattaforme FedRAMP Moderate e FedRAMP High implementano controlli che limitano le connessioni TLS 1.1/1.0 a livello di dominio.

Gestione dispositivi Android e Chrome

API Apps Activity

Sincronizzazione Chrome (solo per i domini Google Workspace for Education)

Classroom

Cloud Search (incluse terze parti)

Contatti

API Calendar

API Contacts

API di Documenti

Disegni

API REST Drive (ha sostituito API Documents List)

API REST Gmail (ha sostituito API per la migrazione email)

Live streaming di Google Meet

Google Tasks

Google Voice

Centro sicurezza Google Workspace (solo per domini Enterprise Plus e Google Workspace for Education Plus)

Groups for Business

Jamboard

LDAP sicuro

API Fogli

API Sites

API Tasks

Tutte le regioni Google Cloud coperte da FedRAMP High sono coperte anche da FedRAMP Moderate.

Oregon (us-west1) - FedRAMP High

Los Angeles (us-west2) - FedRAMP High

Salt Lake City (us-west3) - FedRAMP High

Las Vegas (us-west4) - FedRAMP High

Iowa (us-central1) - FedRAMP High

Oklahoma (us-central2) - FedRAMP High

Carolina del Sud (us-east1) - FedRAMP High

Virginia del Nord (us-east4) - FedRAMP High

Columbus (us-east5) - FedRAMP High

Dallas (us-south1) - FedRAMP High

Montreal (northamerica-northeast1) - FedRAMP Moderate

San Paolo (southamerica-east1) - FedRAMP Moderate

Belgio (europe-west1) - FedRAMP Moderate

Londra (europe-west2) - FedRAMP Moderate

Francoforte (europe-west3) - FedRAMP Moderate

Paesi Bassi (europe-west4) - FedRAMP Moderate

Finlandia (europe-north1) - FedRAMP Moderate

Mumbai (asia-south1) - FedRAMP Moderate

Singapore (asia-southeast1) - FedRAMP Moderate

Taiwan (asia-east1) - FedRAMP Moderate

Tokyo (asia-northeast1) - FedRAMP Moderate

Sydney (australia-southeast1) - FedRAMP Moderate

Zurigo (europe-west6) - FedRAMP Moderate

Varsavia (europe-central2) - FedRAMP Moderate

Giacarta (asia-southeast2) - FedRAMP Moderate

Osaka (asia-northeast2) - FedRAMP Moderate

Seul (asia-northeast3) - FedRAMP Moderate

Offerte correlate

NIST 800-53
NIST 800-53
Guarda quali servizi Google Cloud sono stati sottoposti a una valutazione indipendente di terze parti e operano in conformità ai controlli dello standard NIST 800-53
ISO 27001
ISO 27001
La famiglia di norme ISO/IEC 27000 contribuisce a proteggere le informazioni. La piattaforma Google Cloud e Google Workspace sono conformi allo standard ISO/IEC 27001.
ISO 27017
ISO 27017
ISO/IEC 27017:2015 fornisce linee guida per i controlli di sicurezza delle informazioni. La piattaforma Google Cloud e Google Workspace sono conformi allo standard ISO/IEC 27017.
ISO 27018
ISO 27018
ISO/IEC 27018 riguarda la protezione delle informazioni che consentono l'identificazione personale (PII) nei cloud pubblici. La piattaforma Google Cloud e Google Workspace sono conformi allo standard ISO/IEC 27018.

Fai il prossimo passo

Inizia a creare su Google Cloud con 300 $ di crediti gratuiti e oltre 20 prodotti Always Free.

Inizia gratuitamente

Fai il prossimo passo

Inizia a creare su Google Cloud con 300 $ di crediti gratuiti e oltre 20 prodotti Always Free.

Inizia gratuitamente