Weiter zu
Vorläufige Zulassung der U.S. Defense Information Systems Agency

Vorläufige Zulassung der U.S. Defense Information Systems Agency

Die United States Defense Information Systems Agency (DISA) verwaltet die Bewertung und Autorisierung von Cloud-Diensten für das US Department of Defense (DoD). Der DISA Cloud-Dienstsupport hat Google Cloud eine vorläufige Autorisierung des DoD Impact Level 5 (IL5) gewährt. Eine Autorisierung mit IL5 ermöglicht die Verarbeitung und Speicherung von kontrollierten, nicht klassifizierten Informationen und Informationen zum National Security System (NSS) mithilfe von Google Cloud-spezifischen Produkten.

Für die DISA IL2-, IL4- und IL5-PAs von Google Cloud müssen Kunden Assured Workloads und Premium-Support verwenden. Für DISA IL4 PA von Google Workspace müssen Kunden Assured Controls und Assured-Support verwenden. Weitere Informationen zum Konfigurationsprozess erhalten Sie von unserem Vertriebsteam.

DISA IL-Compliance von Google Cloud

DISA ist eine Agentur des DoD, die für die Entwicklung und Pflege des Leitfaden für Sicherheitsanforderungen (SRG) an Cloud Computing für DoD verantwortlich ist. Die Cloud Computing SRG definiert die grundlegenden Sicherheitsanforderungen, die von DoD verwendet werden, um den Sicherheitsstatus eines Cloud-Dienstangebots (CSO) zu bewerten, und unterstützt die Entscheidung, ein DoD PA zu gewähren, das einem Cloud-Dienstanbieter (CSP) das Hosten von DoD-Missionen erlaubt. Es enthält, ersetzt und widerruft das zuvor veröffentlichte DoD Cloud Security Model (CSM) und bildet das DoD Risk Management Framework (RMF) ab.

DISA leitet die DoD-Agenturen und -Abteilungen bei der Planung und Autorisierung der Verwendung eines CSO an. Außerdem werden die CSOs auf die Einhaltung der SRG geprüf – ein Genehmigungsverfahren, bei dem CSPs Unterlagen vorlegen können, aus denen hervorgeht, dass sie die DoD-Standards einhalten. Sie gibt gegebenenfalls DoD-PAs aus, sodass DoD-Agenturen und unterstützende Organisationen Cloud-Dienste nutzen können, ohne selbst einen vollständigen Genehmigungsprozess durchlaufen zu müssen. Das spart Zeit und Aufwand.

Im Jahr 2022 erhielt Google Cloud eine vorläufige Befugnis des IL5 und war damit einer der ersten Hyperscaler, die die DISA-Genehmigung für eine softwarebasierte Community-Cloud erhielten. Ein softwarebasierter Isolationsansatz bietet im Vergleich zu herkömmlichen staatlichen Clouds mehr Flexibilität in Bezug auf regionale Bereitstellung, Skalierbarkeit und Kosten.

ILx-Paketanfragen (DoD-ILx-Pakete) basieren auf FedRAMP High-Paketen mit zusätzlichen DoD-spezifischen Kontrollen. ILx-Pakete sind nicht für die Freigabe durch Google autorisiert und müssen von DISA an andere Parteien zur Verfügung gestellt werden. Wenn eine Behörde Details zum DoD-PA-Paket benötigt, die über dem FedRAMP-P-ATO-Paket hinausgehen, kann sie sich unter DISA Ft Meade RE Mailbox Cloud-Team: disa.meade.re.mbx.cloud-team@mail.mil an die Cloud Assessment Division wenden.

Google Cloud und IL2

IL2-Daten umfassen nicht kontrollierte, nicht klassifizierte Informationen, d. h. alle Daten, die für die Veröffentlichung freigegeben wurden, sowie einige nicht klassifizierte Informationen mit niedriger Vertraulichkeit, die nicht als kontrollierte, nicht klassifizierte Informationen (controlled unclassified information, CUI) gelten. Diese Auswirkungsstufe ermöglicht eine Nicht-CUI-Kategorisierung basierend auf CNSSI 1253 Sicherheitskategorisierung und -steuerungsauswahl für National Security Systems bis zu niedrig Vertraulichkeit und Moderate Integrität (LMx).

Im Memo des DoD CIO vom 15. Dezember 2014 zu den aktualisierten Richtlinien für die Beschaffung und Nutzung kommerzieller Cloud Computing-Dienste heißt es: „FedRAMP dient als minimale Sicherheitsgrundlage für alle Cloud-Dienste des DoD.“ Die SRG verwendet die FedRAMP Moderate Baseline für alle IL-Informationen und zieht die High Baseline bei einigen in Betracht.

Paragraf 5.1.1, Verwendung der FedRAMP Security Controls durch den DoD der Cloud Computing SRG, beschreibt, dass IL2-Informationen in einem CSO gehostet werden können, der über mindestens eine vorläufige FedRAMP-Autorisierung (Moderate oder High) verfügt. Nur FedRAMP-Kontrollen mit mittlerer oder hoher Baseline werden auf DoD-IL2-PAs geprüft. Bei einem IL2 PA erlaubt das DoD die vollständige Gegenseitigkeit mit einer vom FedRAMP Joint Authorization Board (JAB) ausgestellten vorläufigen Betriebserlaubnis (P-ATO) der Stufen FedRAMP-Moderat oder -Hoch. Weitere Informationen zur FedRAMP-Compliance von Google Cloud finden Sie auf unserer FedRAMP-Seite

IL4- oder IL5-Arbeitslasten in Google Cloud hosten

IL4- und IL5-Arbeitslasten können über Assured Workloads bereitgestellt werden. Dies ermöglicht Sicherheitskontrollen, die höhere Anforderungen an Datenstandort und Support erfüllen. Assured Workloads erzwingt außerdem Sicherheitsvorkehrungen für Entwickler, die großen Organisationen die Einhaltung von Compliance erleichtern. 

Nachdem Sie Ihre IL4- oder IL5-autorisierten Dienste ausgewählt haben, kann Google Ihnen bei der Konfiguration Ihrer Lösung mithilfe von dienstspezifischen Konfigurationsleitfäden oder durch die direkte Zusammenarbeit mit IL4- und IL5-Experten in unserer Professional Services-Organisation helfen. Darüber hinaus stellt Google Kunden eine IL4-Springboard-Bereitstellungsanleitung mit Terraform-Code zur Verfügung.

Kunden, die ihre Lösungen mit Google Cloud in ihren IL4- und IL5-Umgebungen bereitstellen möchten, müssen Assured Workloads verwenden. Mit Assured Workloads können Kunden sensible Arbeitslasten mit Google Cloud-Diensten souverän schützen und konfigurieren, damit sie Compliance- und Sicherheitsanforderungen erfüllen. Assured Workloads stützt sich anders als seine öffentlichen Cloud-Rechenzentren nicht auf eine physische Infrastruktur. Stattdessen wird eine Software Defined Community Cloud bereitgestellt, die Kosten-, Geschwindigkeits- und Innovationsvorteile bietet. 

IL4- und IL5-autorisierte Dienste, die über Assured Workloads zur Verfügung gestellt werden, implementieren IL4- und IL5-Sicherheitskontrollen und ermöglichen es Kunden, die Funktionen von Google Cloud zu nutzen, um ihre organisatorischen Anforderungen zu erfüllen. Assured Workloads bietet über Assured Workloads-Monitoring außerdem Einblick in den Compliancestatus von IL4- und IL5-Arbeitslasten. Mit diesem Tool können Sie Complianceverstöße leichter erkennen und beheben und Auditoren Ihres Compliancestatus Kontrollattestierungen zur Verfügung stellen.

Zusätzlich zu den Kontrollen, die durch die vorläufige IL5-Befugnis der Google Cloud-Infrastruktur erfüllt werden, implementiert Assured Workloads standardmäßig die folgenden wichtigen IL4- und IL5-Kontrollen für Kunden, die mit IL4- und IL5-Regierungsdaten arbeiten: 

  1. Leitlinien festlegen, um den Speicherort von IL4- und IL5-Kundendaten auf die USA zu beschränken
  2. Beschränken Sie die Mitarbeiter des technischen Supports auf Mitarbeiter, die für IL4 und IL5 zugelassen sind und sich in den USA befinden.
  3. Verwendung einer FIPS-140-2-kompatiblen Verschlüsselung für ruhende Daten und Übertragung erzwingen.
  4. Implementieren Sie IL4- und IL5-erforderliche Mitarbeiterzugriffskontrollen für diejenigen, die routinemäßig Zugriff auf Kundendaten haben.
  5. Entwickler dürfen nur IL4- und IL5-konforme Produkte und Dienste verwenden.
  6. Logische Segmentierung der Grenzen des Geltungsbereichs zur Unterstützung der IL4- und IL5-Anforderungen.

Google Workspace und IL4

Google Workspace Enterprise Plus hat die Impact Level 4-Autorisierung des US-Verteidigungsministeriums (DOD) erhalten. Kunden, die Google Workspace als Lösung für Produktivität und Zusammenarbeit bereitstellen möchten, sollten das Add-on-Produktfeature Assured Controls mit denen Organisationen den Zugriff von Cloud-Dienstanbietern präzise steuern können verwenden.

Google Workspace Enterprise Plus mit Assured Controls enthält integrierte Sicherheitskontrollen und Features, die es DoD-Kunden ermöglichen, IL4-Compliance zu erreichen und eine eigene Authority to Operate (ATO) zu erstellen. Zu den wichtigsten Google Workspace-Funktionen, die die IL4-Compliance unterstützen, gehören:

  • Die Möglichkeit, Daten mithilfe von Speicherorten für Daten auf US-Regionen zu beschränken
  • Die Möglichkeit, Supportaktionen von Google-Mitarbeitern auf Personen in den USA zu beschränken, die Assured Controls Access Management verwenden
  • Erweiterte Verschlüsselung von ruhenden Daten und Daten bei der Übertragung, um die Anforderungen an die Verschlüsselung sensibler Daten zu erfüllen. Weitere Informationen finden Sie in unserem Whitepaper zur Verschlüsselung von Google Workspace.
  • Das Google Workspace-Sicherheitscenter bietet erweiterte Sicherheitsinformationen und -analysen für Sicherheitsprobleme in Ihrer Domain. 

Kunden des Verteidigungsministeriums können Google Workspace IL4-Dokumentation über eMASS oder über ihren DISA-Ansprechpartner anfordern. Hinweis: Google Workspace kann Kunden diese Dokumentation nicht direkt zur Verfügung stellen.

Betroffene Dienste

Google Cloud

BigQuery

Cloud HSM

Cloud Identity

Cloud Logging

Cloud Key Management Service

Cloud Storage

Compute Engine

Dataflow

Google Admin-Konsole

GKE

Identity and Access Management

Persistent Disk

Virtual Private Cloud

Artifact Registry

Cloud Composer

Cloud DNS

Cloud Functions

Cloud Interconnect

Cloud Monitoring

Cloud Router

Cloud Run

Cloud SQL

Cloud Tasks

Cloud VPN

Eventarc

Memorystore for Redis

Pub/Sub

Google Cloud

BigQuery

Cloud DNS

Cloud HSM

Cloud Identity

Cloud Interconnect

Cloud Key Management Service

Cloud Logging

Cloud Monitoring

Cloud Pub/Sub

Cloud Router

Cloud Storage

Cloud SQL

Cloud VPN

Compute Engine

Dataflow

Dataproc

Google Admin-Konsole

Google Kubernetes Engine

Identity and Access Management

Persistent Disk

Virtual Private Cloud

Google Kalender

Google Docs

Google Drive

Google Formulare

Gmail

Google Chat (einschließlich Google Drive Bot und Meet Bot)

Google Meet

Google Tabellen

Google Präsentationen

In den Implementierungsrichtlinien finden Kunden eine Liste der Workspace-Dienste, die für IL4 genehmigt sind. 

Google Zeichnungen

Sites (neu)

Google Kalender

Google Docs

Google Drive

Gmail

Google Meet

Google Tabellen

Google Präsentationen

Google Vault

App Engine

BigQuery

Cloud Bigtable

Cloud Composer

Cloud Functions

Cloud DNS

Cloud HSM

Cloud Identity

Cloud Interconnect

Cloud Key Management Service

Cloud Load Balancing

Cloud Logging

Cloud NAT

Cloud Run

Cloud Spanner

Cloud SQL

Cloud Storage 

Cloud VPN

Cloud Router

Compute Engine 

Dataflow

Dataproc

Filestore

Firestore

Admin-Konsole

Google Kubernetes Engine (GKE)

Identität und Zugriff verwalten

Memorystore for Memcache

Memorystore for Redis

Persistent Disk

Pub/Sub

Sensitive Data Protection (einschließlich Cloud Data Loss Prevention)

Speech-to-Text

Text-to-Speech

Virtual Private Cloud

Auf unserer FedRAMP-Complianceseite finden Sie eine Liste der Dienste, die unter IL2 fallen.

Cloud Load Balancing (L4-ILB)

Cloud Load Balancing (L7 ILB/XLB)

Cloud Load Balancing (Netzwerk-Load-Balancing)

Cloud Vision

Firestore

Häufig gestellte Fragen

Einer der Vorteile der Verwendung von Google Cloud für Behördenarbeitslasten besteht darin, dass eine Reihe erforderlicher Kontrollen bereits von der zugrunde liegenden Infrastruktur und von Assured Workloads übernommen werden. Wenn Sie also Ihr IL4- oder IL5-Paket zur Genehmigung einreichen, fügen Sie auch den SSP von Google bei, in dem die Kontrollen beschrieben sind, die Google für Sie übernimmt. Wenden Sie sich an Ihr Vertriebsteam, um eine Kopie der SSP von Google Cloud zu erhalten (Geheimhaltungsvereinbarung erforderlich).

In Google Cloud können Kunden Verschlüsselungsfunktionen, die bereits in autorisierten Produkten vorhanden sind, für ihre zugehörigen Daten (inaktive und verwendete Daten) nutzen. In den meisten Fällen sind kaum oder gar keine Maßnahmen erforderlich. Das Speichersystem und das Netzwerk von Google Cloud haben einen IL4- und einen IL5-PA, was die Verantwortung für Google Cloud-Kunden verringert.

Inaktive Daten, die in autorisierten Systemen gespeichert sind, werden automatisch mithilfe von FIPS 140-2-zertifizierten Bibliotheken (Zertifikat Nr. 3678, Zertifikat 3383 und 3384) verschlüsselt. Die in diesem System verwendeten Verschlüsselungsschlüssel werden ebenfalls gemäß NIST 800-57 gespeichert und geschützt. Außerdem werden sie im proprietären KMS-System von Google geschützt. Kunden können dieses System über Cloud KMS steuern.

Die Datenübertragung innerhalb einer Google Cloud-VPC ist auch unter IL4 und IL5 autorisiert und wird automatisch durch Verschlüsselung, Authentifizierung und Autorisierung geschützt. Für Verbindungen innerhalb einer VPC sind keine weiteren Maßnahmen erforderlich. Verbindungen zu Google APIs verwenden TLS 1.2 oder höher für die Verschlüsselung des Traffics. Kunden sind für andere Verbindungen in und aus der Umgebung (entweder auf Ebene 3 oder 7) verantwortlich, die über kundengesteuerte Ressourcen erfolgen (z.B. Cloud Load Balancer oder Cloud VPN.)

Google ist einer der ersten gewerblichen Hyperscale-Cloud-Anbieter, die IL4 und IL5 mit einem kommerziellen öffentlichen Cloud-Angebot erreichen, und einer der größten Anbieter von IL4- und IL5-Diensten.

Zugehörige Ressourcen

  • NIST SP 800-37 Risk Management Framework für Informationssysteme und Organisationen: Ein Systemlebenszyklus-Ansatz für Sicherheit und Datenschutz
  • NIST SP 800-53 Sicherheits- und Datenschutzkontrollen für Informationssysteme und Organisationen
  • NIST SP 800-59 Richtlinie zur Identifizierung eines Informationssystems als nationales Sicherheitssystem
  • NIST SP 800-171 Schutz von kontrollierten, nicht klassifizierten Informationen in nicht-bundesstaatlichen Systemen und Organisationen
  • CNSSI 1253 Sicherheitskategorisierung und Steuerungsauswahl für nationale Sicherheitssysteme

Ähnliche Produkte und Dienste

NIST 800-53
NIST 800-53
Hier finden Sie Informationen dazu, welche Google Cloud-Dienste von unabhängigen Dritten untersucht wurden und gemäß den Kontrollen aus NIST 800-53 arbeiten.
NIST 800-171
NIST 800-171
Hier finden Sie Informationen dazu, welche Google Cloud-Dienste von unabhängigen Dritten untersucht wurden, die bestätigt haben, dass diese Dienste die Kontrollen aus NIST 800-171 einhalten.
FedRAMP
FedRAMP
Google Cloud verwaltet FedRAMP High und FedRAMP Moderate P-ATOs für Google Cloud- und Google Workspace-Produkte.

Gleich loslegen

Profitieren Sie von einem Guthaben über 300 $, um Google Cloud und mehr als 20 „Immer kostenlos“-Produkte kennenzulernen.

Jetzt kostenlos starten

Gleich loslegen

Starten Sie Ihr nächstes Projekt, nutzen Sie interaktive Tutorials und verwalten Sie Ihr Konto.

Vertrieb kontaktieren