Autorizzazione provvisoria della Defense Information Systems Agency degli Stati Uniti

DISA è un'agenzia del Dipartimento della Difesa (DoD) responsabile dello sviluppo e della gestione della Guida ai requisiti di sicurezza per il cloud computing del DoD (SRG, DoD Cloud Computing Security Requirements Guide). L'SRG sul Cloud Computing definisce i requisiti di sicurezza di base utilizzati dal Dipartimento della difesa per valutare la security posture di un'offerta di servizi cloud (CSO, cloud service offering), supportando la decisione di concedere un'autorizzazione provvisoria del DoD che consenta a un provider di servizi cloud (CSP, cloud service provider) di ospitare missioni del Dipartimento della Difesa. Incorpora, prevale su e annulla il DoD Cloud Security Model (CSM) pubblicato in precedenza e si associa al DoD Risk Management Framework (RMF).

DISA guida le agenzie e i dipartimenti del Dipartimento della difesa nella pianificazione e autorizzazione all'uso di un'offerta di servizi cloud. Inoltre, valuta la conformità delle offerte di servizi cloud alla SRG, una procedura di autorizzazione in base alla quale i CSP possono fornire documentazione che ne illustri la conformità agli standard DoD. Emette autorizzazioni provvisorie di DoD quando appropriato, in modo che le agenzie del Dipartimento della difesa e le organizzazioni di supporto possano utilizzare i servizi cloud senza dover affrontare in modo autonomo un processo di approvazione completo, risparmiando tempo e fatica.

Nel 2022, Google Cloud ha ricevuto un'autorizzazione provvisoria IL5, diventando così uno dei primi hyperscaler a ricevere l'approvazione DISA per un community cloud software-defined. Un approccio di isolamento software-defined si traduce in maggiore flessibilità rispetto ai cloud governativi tradizionali in termini di deployment, scalabilità e costi per regione.

Richieste di pacchetti ILx I pacchetti DoD ILx si basano su pacchetti FedRAMP High con controlli aggiuntivi specifici per DoD. I pacchetti ILx non sono autorizzati a essere condivisi da Google e devono essere forniti da DISA ad altre parti. Se un ente governativo sta cercando informazioni sul pacchetto di autorizzazione provvisoria DoD riguardo ciò che è compreso nel pacchetto FedRAMP P-ATO, può contattare la Cloud Assessment Division (Divisione di valutazione cloud) al seguente indirizzo: DISA Ft Meade RE Mailbox Cloud Team: disa.meade.re.mbx.cloud-team@mail.mil

I dati di IL2 includono informazioni non classificate non controllate, ovvero tutti i dati cancellati per la release pubblica e alcune informazioni non classificate a bassa riservatezza che non sono designate come informazioni non classificate controllate (CUI, controlled unclassified information). Questo livello di impatto consente una classificazione non-CUI basata su CNSSI 1253 Security Categorization and Control Selection for National Security Systems (Categorizzazione di sicurezza e selezione dei controlli per i sistemi di sicurezza nazionale) fino a un valore basso di riservatezza e di integrità moderata (LMx).

La nota del CIO DoD del 15 dicembre 2014 relativa all'aggiornamento delle linee guida sull'acquisizione e l'uso di servizi di cloud computing commerciali afferma che, "FedRAMP will serve as the minimum security baseline for all DoD cloud services (FedRAMP fungerà da base di sicurezza minima per tutti i servizi cloud DoD)." L'SRG utilizza la base di riferimento FedRAMP Moderate come livello di impatto IL per tutte le informazioni e considera parzialmente la base di riferimento High.

La Sezione 5.1.1, DoD use of FedRAMP Security Controls (Utilizzo dei controlli di sicurezza FedRAMP in DoD) di Cloud Computing SRG, descrive che le informazioni di IL2 possono essere ospitate in un CSO che possieda almeno un'autorizzazione provvisoria FedRAMP Moderate o High. Per le autorizzazioni provvisorie DoD IL2, verranno valutati solo i controlli FedRAMP con base di riferimento Moderate o High. Per un'autorizzazione provvisoria IL2, il DoD consente la piena reciprocità con l'autorizzazione provvisoria FedRAMP Moderate o High (P-ATO) rilasciata dalla Joint Authorization Board (JAB) della FedRAMP. Per saperne di più sulla conformità di Google Cloud a FedRAMP, consulta la nostra pagina FedRAMP. 

È possibile eseguire il deployment dei carichi di lavoro IL4 e IL5 tramite Assured Workloads, che abilita controlli di sicurezza che soddisfano i requisiti di residenza e supporto dei dati elevati. Assured Workloads applica inoltre in modo forzato sistemi di protezione per gli sviluppatori che aiutano le organizzazioni di grandi dimensioni a mantenere la conformità. 

Dopo che hai selezionato i servizi autorizzati IL4 o IL5, Google può aiutarti a configurare la tua soluzione tramite guide alla configurazione specifiche per i servizi o l'impegno diretto con esperti di IL4 e IL5 nella nostra organizzazione di Servizi professionali. Inoltre, Google fornisce ai clienti una guida al deployment del lancio di IL4 con codice Terraform.

I clienti che vogliono eseguire il deployment delle proprie soluzioni utilizzando Google Cloud nei propri ambienti IL4 e IL5 devono utilizzare Assured Workloads. Assured Workloads consente ai clienti di proteggere e configurare in modo sicuro carichi di lavoro sensibili per supportare i requisiti di conformità e sicurezza utilizzando i servizi Google Cloud. Assured Workloads non si basa su un'infrastruttura fisica distinta dai data center nel cloud pubblico. Al contrario, offre una Community Cloud software-defined che offre vantaggi in termini di costi, velocità e innovazione. 

I servizi autorizzati IL4 e IL5 resi disponibili tramite Assured Workloads implementano i controlli di sicurezza IL4 e IL5 e consentono ai clienti di utilizzare le funzionalità di Google Cloud per soddisfare le esigenze della propria organizzazione. Assured Workloads offre inoltre visibilità sullo stato di conformità dei carichi di lavoro IL4 e IL5 tramite monitoraggio di Assured Workloads. Questo strumento può aiutarti a individuare e risolvere le violazioni della conformità e a fornire attestati di controllo ai revisori del tuo stato di conformità.

In aggiunta ai controlli con requisiti soddisfatti dall'autorizzazione provvisoria IL5 dell'infrastruttura Google Cloud, Assured Workloads implementa per impostazione predefinita i seguenti controlli chiave IL4 e IL5 per i clienti che gestiscono dati governativi IL4 e IL5: 

1. Imposta sistemi di protezione per limitare la località dei dati dei clienti IL4 e IL5 agli Stati Uniti
2. Limita il personale di assistenza tecnica al personale con assegnazione di livello IL4 e IL5 con sede negli Stati Uniti
3. Applica la crittografia at-rest e in transito conforme allo standard FIPS-140-2.
4. Implementa i controlli di accesso del personale necessari per IL4 e IL5, per chi ha accesso di routine ai dati dei clienti.
5. Limita l'utilizzo degli sviluppatori ai soli prodotti e servizi conformi a IL4 e IL5.
6. Segmentazione logica del limite di conformità nell'ambito, per supportare i requisiti IL4 e IL5.

La versione Google Workspace Enterprise Plus ha ottenuto l'autorizzazione Impact Level 4 del Dipartimento della difesa (DOD) degli Stati Uniti. I clienti che vogliono eseguire il deployment di Google Workspace per la loro soluzione di produttività e collaborazione devono utilizzare la funzionalità aggiuntiva del prodotto Assured Controls che consentirà alle organizzazioni di controllare con precisione l'accesso dei provider di servizi cloud.

Google Workspace Enterprise Plus con Assured Controls include controlli di sicurezza e set di funzionalità integrati che consentono ai clienti del Dipartimento della difesa (DoD) di ottenere la conformità a IL4 e rilasciare la propria Authority to Operate (ATO). Le principali funzionalità di Google Workspace che supportano la conformità IL4 includono:

• La possibilità di limitare i dati alle regioni degli Stati Uniti solo utilizzando le regioni di dati
• La possibilità di limitare le azioni dell'assistenza del personale Google ai soli soggetti statunitensi utilizzando Assured Controls Access Management
• Crittografia avanzata dei dati inattivi e at-rest per soddisfare le esigenze di crittografia dei dati sensibili. Scopri di più nel nostro articolo sulla crittografia di Google Workspace.
• Centro sicurezza Google Workspace, che fornisce informazioni e dati analitici avanzati sulla sicurezza per i problemi di sicurezza che interessano il dominio. 

I clienti del Dipartimento della Difesa possono richiedere la documentazione IL4 relativa a Google Workspace tramite eMASS o tramite il referente DISA. Tieni presente che Google Workspace non può fornire questa documentazione direttamente ai clienti.

• Panoramica di Assured Workloads
• Guidance and Terraform for Deploying an IL4 Assured Workloads Environment
• NIST Cybersecurity Framework e Google Cloud
• Google Cloud Deployment Guide
• Modello di sicurezza di Google Cloud
• DoD Instruction 8510.01 DoD Risk Management Framework (RMF) for DoD Information Technology (IT)

• Controlled unclassified information (CUI) Registry ed elenco categorie CUI

• NIST SP 800-37 Risk Management Framework for Information Systems and Organizations: A System Life Cycle Approach for Security and Privacy
• NIST SP 800-53 Security and Privacy Controls for Information Systems and Organizations
• NIST SP 800-59 Guideline for Identifying an Information System as a National Security System
• NIST SP 800-171 Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations
• CNSSI 1253 Security Categorization and Control Selection for National Security Systems