FedRAMP

美國聯邦政府設立了聯邦風險與授權管理計畫 (FedRAMP)，這項計畫適用於整個政府機構，提供一套標準化做法供相關人員對雲端產品和服務進行安全性評估、授權和持續監控。除了特定內部部署私人雲端，所有聯邦機構的雲端部署作業和服務模型都必須符合相應風險影響等級 (低等、中等或高等) 的 FedRAMP 要求。

Google Cloud 具有 FedRAMP 高等風險暫時性授權，可透過 FedRAMP JAB 在 5 個地區中執行 (P-ATO) 17 個 Google Cloud 產品。此外，我們也具備中等風險暫時性授權，可以在 17 個地區中執行 (P-ATO) 64 個 Google Cloud Platform (GCP) 產品；並具有中等風險授權可執行 (ATO) 27 個 G Suite 產品。

如要瞭解 Google 的 FedRAMP 狀態，請前往美國聯邦政府的網站：FedRAMP 市集。

在 FedRAMP 涵蓋範圍內 Google Cloud 服務

Google Cloud Platform (GCP) 服務 (FedRAMP 高等)

FedRAMP 高等風險等級授權涵蓋的所有 GCP 服務，也在 FedRAMP 中等風險等級授權的涵蓋範圍內。

Cloud Key Management Service

Google Kubernetes Engine (原稱 Google Container Engine)

Persistent Disk

Admin Settings API

Apps Email Audit API

Calendar Resource API

Directory API (已取代 Provisioning API)

Domain Shared Contacts API

Email Settings API

Enterprise License Manager API

Groups Migration API

Groups Settings API

Reports API

Reseller API

Android 和 Chrome 裝置管理

Google 日曆

Chrome 同步 (僅適用於 G Suite 教育版網域)

Google Classroom

Cloud Identity (包含自動佈建)

Cloud Search (包含第三方功能)

聯絡人

Directory Sync

Google 文件

各種文件 API

Apps Activity API

Calendar API

Contacts API

Drive REST API (已取代 Documents List API)

Gmail REST API (已取代 Email Migration API)

Sheets API

Sites API

Tasks API

繪圖

Google 雲端硬碟

Google 表單

G Suite 安全中心 (僅適用於 G Suite Enterprise 和 G Suite Enterprise 教育版網域)

Gmail (包含 Talk)

Google Tasks

網路論壇企業版

Google Chat (包含傳統版 Hangouts 機器人、Google 雲端硬碟機器人與 Meet 機器人)

Google Hangouts

Google Meet (包含直播)

安全 LDAP

傳統版協作平台

需要符合 FedRAMP 規範的客戶，應僅於下列 FedRAMP 授權的地區中執行工作負載

全部展開

地區	高基準	中基準
奧勒岡州 (us-west1)	X	X
洛杉磯 (us-west2)	X	X
鹽湖城 (us-west3)	X	X
愛荷華州 (us-central1)	X	X
南卡羅來納州 (us-east1)	X	X
北維吉尼亞州 (us-east4)	X	X
蒙特婁 (northamerica-northeast1)		X
聖保羅 (southamerica-east1)		X
比利時 (europe-west1)		X
倫敦 (europe-west2)		X
法蘭克福 (europe-west3)		X
荷蘭 (europe-west4)		X
芬蘭 (europe-north1)		X
孟買 (asia-south1)		X
新加坡 (asia-southeast1)		X
台灣 (asia-east1)		X
東京 (asia-northeast1)		X
雪梨 (australia-southeast1)		X

常見問題

如何確保使用 Google Cloud 的解決方案符合 FedRAMP 法規遵循？

FedRAMP 允許使用 FedRAMP 授權的基礎架構、平台和服務，對雲端服務供應商 (CSP) 進行不同等級的繼承作業。針對控管與繼承的初步分析最後會決定您身為 CSP 所應承擔的法規遵循責任。例如，如果您的機構偏好建構應用程式的整個堆疊，當授權主管機關進行評估時，您就必須承擔更多的客戶責任/義務。如果您使用平台式服務 (PaaS) 或軟體式服務 (SaaS)，則法規遵循負擔就可能有所減輕。

當您選定 FedRAMP 授權的服務後，您可以參閱服務專用的設定指南，或直接與我們專業服務團隊的 FedRAMP 專家聯絡，讓他們協助你設定解決方案。

Google 在沒有 GovCloud 服務的情況下如何提供 FedRAMP 授權的服務？

Google 是最早在商業公用雲端服務上符合 FedRAMP 高等風險授權規範的超大規模商用雲端服務供應商之一，也是現今市場上最大的 FedRAMP 服務提供商之一。在過去，超大規模的服務提供商已將自家的「govcloud」與商用雲端產品分開，以遵守 FedRAMP 高等風險授權規範。這會導致服務品質下降、服務可用性降低，並使營運成本提高。借助 GCP 的 FedRAMP 高等風險授權，處理高影響力工作負載的政府機構就能以更快的速度來採用所需技術，並達到與商用客戶相同的規模。此外，GCP 的 FedRAMP 高等授權還可刺激美國政府公用雲端市場甚為需要的市場競爭，為公共部門提供更多的技術組合和雲端服務供應商選擇，並計劃持續擴展授權的產品範圍。

《FedRAMP 條款及細則》是由我們的公共部門採購合作夥伴 Carahsoft 提供，因此，如果您想要瞭解 Google Cloud 上的 FedRAMP，請在這裡與他們聯絡。

Google Cloud FedRAMP 實作指南

NIST 網路安全架構和 Google Cloud

Google Cloud 部署指南

Google Cloud 安全性模型

FedRAMP 範本