FedRAMP
Il Governo Federale degli Stati Uniti ha istituito il Federal Risk and Authorization Management Program (FedRAMP), un programma a livello governativo che fornisce un approccio standardizzato riguardo a valutazione, autorizzazione e monitoraggio continuo della sicurezza per prodotti e servizi cloud. Nel 2022, il Congresso ha codificato il FedRAMP come "un programma a livello governativo che fornisce un approccio standardizzato e riutilizzabile alla valutazione e all'autorizzazione della sicurezza per i prodotti e i servizi di cloud computing che trattano informazioni non classificate utilizzate dalle agenzie".
Tutti i modelli di servizio e i deployment su cloud delle agenzie federali, eccetto alcuni cloud privati on-premise, devono soddisfare i requisiti FedRAMP secondo il livello di impatto del rischio appropriato (Low, Moderate o High).
I clienti interessati a ospitare servizi autorizzati da FedRAMP su Google Cloud devono utilizzare Assured Workloads per rispettare il livello di impatto moderato o elevato di FedRAMP. Vedi sotto per maggiori informazioni.
Conformità FedRAMP di Google Cloud
Il FedRAMP Board (precedentemente noto come Joint Authorization Board) è l'organo direttivo principale della FedRAMP e include il Department of Defense (DoD), il Department of Homeland Security (DHS), il General Services Administration (GSA) e altre agenzie come stabilito dall'amministratore di GSA e dal direttore di FedRAMP.
Il FedRAMP Board ha rilasciato FedRAMP Moderate e FedRAMP High Authority to Operate (ATO) per l'infrastruttura Google Cloud e per specifiche offerte di servizi Google Cloud (CSO). Google Cloud invia regolarmente al Board servizi aggiuntivi per le approvazioni FedRAMP Moderate e High.
Google Cloud fornisce ulteriori prove di conformità FedRAMP direttamente ai clienti che dispongono già di un accordo di non divulgazione (NDA). La documentazione disponibile ai sensi dell'NDA include:
- Matrice delle responsabilità del cliente (CRM) di FedRAMP
- Piano di sicurezza del sistema (SSP) di Google Cloud
- Report sui test di penetrazione e altri documenti
Il nostro team di vendita o il tuo rappresentante di Google Cloud possono aiutarti ad accedere a questa documentazione estesa. I clienti governativi possono richiedere anche il pacchetto FedRAMP di Google tramite il FedRAMP Program Management Office utilizzando il relativo modulo di richiesta.
Per i clienti che effettuano l'acquisto tramite un partner Google, i termini e le condizioni di acquisto dipendono dai nostri partner.
Conformità FedRAMP di Google Workspace
Google Workspace è conforme a vari standard globali e del Governo federale degli Stati Uniti per la privacy e la sicurezza del cloud. Oltre a mantenere un'autorizzazione FedRAMP High, Google Workspace ha anche ottenuto la certificazione ISO 27017, 27018, 27001, ed è controllato in base agli standard SOC (Service Organization Control) dell'AICPA (American Institute of Certified Public Accountants.
Dati FedRAMP High su Google Cloud VMware Engine (GCVE)
Alla fine del 2023, il Program Management Office (PMO) di FedRAMP ha completato la revisione del Google Cloud VMware Engine (GCVE) High Readiness Assessment Report (RAR) fornito da un'organizzazione di valutazione di terze parti (3PAO). In base ai risultati positivi della revisione, in assenza di punti deboli nelle capacità, GCVE è stato accettato come offerta FedRAMP High Ready (ID pacchetto FedRAMP FR2405153785).
Il raggiungimento di FedRAMP High Ready dimostra al governo federale degli Stati Uniti che GCVE ha un'alta probabilità di ottenere un'autorizzazione FedRAMP. GCVE ha anche ottenuto la certificazione ISO 27017, 27018, 27001, PCI-DSS ed è controllato in base agli standard SOC (Service Organization Control) dell'American Institute of Certified Public Accountants (AICPA).
Hosting di carichi di lavoro FedRAMP Moderate e High su Google Cloud
L'investimento di Google Cloud nella sicurezza predefinita per la nostra infrastruttura garantisce che i controlli di sicurezza siano integrati e preconfigurati per consentire ai clienti di raggiungere vari livelli di conformità senza una tradizionale architettura cloud governativa isolata.
I clienti che vogliono eseguire il deployment delle proprie soluzioni utilizzando Google Cloud nei propri ambienti FedRAMP Moderate e High devono utilizzare Assured Workloads. Assured Workloads consente ai clienti di proteggere e configurare in modo sicuro carichi di lavoro sensibili per supportare i requisiti di conformità e sicurezza utilizzando i servizi Google Cloud. Assured Workloads non si basa su un'infrastruttura fisica distinta dai data center nel cloud pubblico. Al contrario, offre una Community Cloud software-defined che offre vantaggi in termini di costi, velocità e innovazione.
I servizi autorizzati FedRAMP resi disponibili tramite Assured Workloads implementano i controlli di sicurezza di FedRAMP e consentono ai clienti di utilizzare le funzionalità di Google Cloud per soddisfare le loro esigenze organizzative. Assured Workloads offre inoltre visibilità sullo stato di conformità dei carichi di lavoro FedRAMP tramite il monitoraggio di Assured Workloads. Questo strumento può aiutarti a individuare e risolvere le violazioni della conformità e a fornire attestati di controllo ai revisori del tuo stato di conformità.
Oltre ai controlli soddisfatti dall'infrastruttura Google Cloud FedRAMP High ATO, Assured Workloads implementa per impostazione predefinita i seguenti controlli chiave FedRAMP High per i clienti che gestiscono dati governativi FedRAMP High:
- Imposta sistemi di protezione per limitare la posizione dei dati dei clienti FedRAMP High agli Stati Uniti
- Limita il personale di assistenza tecnica al solo personale esperto FedRAMP con sede negli Stati Uniti
- Applica la crittografia at-rest e in transito conforme allo standard FIPS-140-2
- Implementa i controlli dell'accesso del personale richiesti da FedRAMP per coloro che hanno accesso di routine ai dati dei clienti
- Consente agli sviluppatori l'utilizzo esclusivo di prodotti e servizi conformi a FedRAMP
- Segmentazione logica del confine di conformità in ambito per supportare i requisiti FedRAMP Moderate e High
Hosting di dati FedRAMP Moderate e High su Google Workspace
Google Workspace gestisce un ATO FedRAMP High, che i clienti possono sfruttare per ospitare i dati FedRAMP Moderate e High. I clienti che vogliono eseguire il deployment di Google Workspace nei propri ambienti FedRAMP Moderate e High devono abilitare i servizi autorizzati FedRAMP che soddisfano le rispettive autorizzazioni. Scopri come attivare o disattivare un servizio per Google Workspace.
Inoltre, le versioni Business ed Enterprise di Google Workspace dispongono di controlli di sicurezza e di set di funzionalità integrati che consentono ai clienti di soddisfare i requisiti FedRAMP High e allineare il proprio ATO. Gli utenti di Google Workspace possono configurare i propri ambienti per soddisfare i controlli di residenza dei dati di FedRAMP utilizzando un criterio per la regione di dati.
Procedura per ottenere l'autorizzazione a operare (ATO) FedRAMP
I clienti interessati a ospitare dati governativi su Google Cloud potrebbero essere interessati anche a ottenere l'autorizzazione a operare (ATO). Le organizzazioni dovrebbero prendere in considerazione i seguenti obiettivi per ottenere un'ATO su Google Cloud:
- Determinare se i dati in ambito richiedono FedRAMP Moderate o FedRAMP High
- Selezionare Assured Workloads (FedRAMP Moderate è il livello gratuito e FedRAMP High richiede un abbonamento premium) per i servizi Google Cloud inclusi nell'ambito
- Definire il confine di FedRAMP all'interno di Google Cloud
- Configurare i carichi di lavoro in base al modello di responsabilità condivisa, alla matrice delle responsabilità del cliente, ai servizi Google Cloud inclusi nell'ambito e alle linee guida FedRAMP.
- Esecuzione di un audit con un'organizzazione di valutazione di terze parti (3PAO)
- Invio del pacchetto al FedRAMP Board o all'agenzia federale per la revisione e l'autorizzazione
Per ulteriori informazioni sulla procedura ATO, consulta il sito web FedRAMP. Per ulteriore assistenza su FedRAMP ATO da parte di Google Cloud, visita la nostra pagina di Google Cloud Consulting.