美國國防資訊系統局暫時性授權
美國國防資訊系統局 (DISA) 負責管理美國國防部 (DoD) 的雲端服務評估和授權作業。DISA 雲端服務支援團隊授予 Google Cloud「DoD 影響等級 5 (IL5)」暫時性授權 (PA)。在 IL5 授權下,可以使用 Google Cloud 特定產品處理及儲存受管制的未分類資訊和國家安全系統 (NSS) 資訊。
Google Cloud 的 DISA IL2、IL4 和 IL5 PA 規定客戶必須使用 Assured Workloads 和 Premium 支援服務。根據 Google Workspace 的 DISA IL4 PA,客戶必須使用安全控管與安全支援。如要進一步瞭解設定程序,請與我們的銷售團隊聯絡。
快速連結
Google Cloud 的 DISA IL 法規遵循
DISA 是隸屬於 DoD 的機構,負責開發及維護 DoD 雲端運算安全性要求指南 (SRG)。雲端運算 SRG 定義了 DoD 用來評估雲端服務 (CSO) 安全防護機制的基準安全性要求,支援授予 DoD PA,可讓雲端服務供應商 (CSP) 託管 DoD 任務。此 SRG 結合、取代及撤銷先前發布的 DoD 雲端安全性模型 (CSM),並與 DoD 風險管理架構 (RMF) 對應。
DISA 可引導 DoD 機關和部門規劃及授權使用 CSO。也會評估 CSO 是否符合 SRG 規定。在這樣的授權流程中,CSP 可以提供說明文件,概述自身符合 DoD 標準的法規遵循作業。並會在適當的情況下發出 DoD PA,讓 DoD 機構和支援機構可使用雲端服務,不必自行完成全面審核程序,可節省時間和精力。
Google Cloud 在 2022 年獲得 IL5 臨時授權,因此成為最早在軟體定義社群雲端服務方面獲得 DISA 核准的超大規模公司之一。採用軟體定義隔離方法,在區域部署、擴充性和費用方面,比傳統政府雲端更有彈性。
ILx 套件要求:DoD ILx 套件是以 FedRAMP 高等風險套件為基礎,並具有額外的 DoD 專屬控制項。ILx 套件未獲授權,無法由 Google 共用,必須由 DISA 提供給任何其他方。如果政府機關想要瞭解 DoD PA 套件詳細資料,特別是 FedRAMP P-ATO 套件的涵蓋範圍,可以使用下列資訊與雲端評估部門聯絡:DISA Ft Meade RE Mailbox Cloud Team:disa.meade.re.mbx.cloud-team@mail.mil
Google Cloud 和 IL2
IL2 資料包含未控管的未分類資訊以及部分低機密性未分類資訊;前者所有的資料皆獲准供公開發布,而後者是未指定為受控管的未分類資訊 (CUI)。這個影響等級適用於根據 CNSSI 1253「Security Categorization and Control Selection for National Security Systems」(國家安全系統的安全分類和控管選項) 進行的非 CUI 分類,上限最高至低機密性和中等完整性 (L-M-x)。
在 2014 年 12 月 15 日 DoD 資訊長備忘錄中,於《客戶開發與使用商用雲端運算服務的最新指南》指出「FedRAMP 將成為所有 DoD 雲端服務的最低安全性基準」。SRG 使用 FedRAMP 中等風險基準做為所有資訊 IL,並對某些資訊採用高等風險基準。
第 5.1.1 節在雲端運算 SRG 有關「DoD 使用 FedRAMP 安全性控管機制」部分指出,IL2 資訊可能會託管於至少持有 FedRAMP 中等風險或高等風險暫時性授權的 CSO。只會針對 FedRAMP 中等風險或高等風險基準控制項評估是否符合 DoD IL2 PA。DoD 允許 IL2 PA 與 FedRAMP 中等風險或高等風險暫時性執行授權 (P-ATO) 之間的完全對等性;後者是由 FedRAMP 聯合授權委員會 (JAB) 所核發。如要進一步瞭解 Google Cloud 的 FedRAMP 法規遵循資訊,請參閱我們的 FedRAMP 網頁。
在 Google Cloud 中託管 IL4 或 IL5 工作負載
IL4 和 IL5 工作負載可透過 Assured Workloads 部署,其中啟用的安全性控管機制符合更嚴苛的資料落地和支援規定。Assured Workloads 也會強制執行開發人員防護機制,協助大型機構遵循法規。
當您選取 IL4 或 IL5 授權的服務之後,可以透過 Google 服務專屬的設定指南,或是直接與我們專業服務團隊的 IL4 和 IL5 專家聯絡,協助您設定解決方案。另外,Google 也為客戶提供 Terraform 程式碼的 IL4 Springboard 部署指南。
如果客戶想在 IL4 和 IL5 環境中使用 Google Cloud 部署解決方案,就必須採用 Assured Workloads。Assured Workloads 讓客戶使用 Google Cloud 服務,安心地設定機密工作負載並確保安全性,藉此滿足法規遵循與安全性需求。與公有雲端資料中心不同,Assured Workloads 不採用實體基礎架構。而是提供軟體定義社群雲端,具備成本效益、速度和創新優勢。
透過 Assured Workloads 提供的 IL4 和 IL5 授權服務會實作 IL4 和 IL5 安全性控管機制,並讓客戶使用 Google Cloud 的功能來滿足機構需求。Assured Workloads 能讓您透過 Assured Workloads 監控,掌握 IL4 和 IL5 工作負載的法規遵循狀態。這項工具可協助貴機構找出並解決違反法規的問題,以及為貴機構的法規遵循狀態稽核人員提供控管認證。
除了 Google Cloud 基礎架構 IL5 臨時授權支援的控管功能之外,Assured Workloads 預設也實作下列重要的 IL4 和 IL5 控管機制,可協助處理 IL4 和 IL5 政府資料的客戶:
- 設定防護機制,將 IL4 和 IL5 客戶資料位置限制為美國
- 將技術支援人員限縮為美國境內根據 IL4 和 IL5 裁決的人員
- 強制使用符合 FIPS-140-2 規範的靜態和傳輸中資料加密。
- 針對具備客戶資料常規存取權的人員,導入 IL4 和 IL5 要求的人員存取權控管機制。
- 限制開發人員僅使用符合 IL4 和 IL5 標準的產品和服務。
- 針對範圍內法規遵循邊界的邏輯區隔,以支援 IL4 和 IL5 規範。
Google Workspace 與 IL4
Google Workspace Enterprise Plus 版本已取得美國國防部 (DoD) 影響等級 4 授權。客戶如果想要為工作效率與協作解決方案部署 Google Workspace,應使用外掛程式產品功能安全控管,讓機構能精確控管雲端服務供應商的存取權。
Google Workspace Enterprise Plus 具備安全控管功能,內建安全性控管機制與功能集,可讓 DoD 客戶符合 IL4 規範,並核發自身的執行授權 (ATO)。支援 IL4 法規遵循的 Google Workspace 主要功能包括:
- 透過資料地區將資料限制在美國區域
- 透過安全控管的存取管理功能,限制只有身分是美國自然人的 Google 員工能夠採取支援行動
- 針對靜態資料和傳輸中資料的進階資料加密,藉此滿足機密資料的加密需求。詳情請參閱 Google Workspace 加密說明文件。
- Google Workspace 安全中心針對影響網域的安全性問題,提供進階安全性資訊和數據分析。
國防部門客戶可透過 eMASS 或 DISA 聯絡人,索取 Google Workspace IL4 說明文件。請注意,Google Workspace 無法直接向客戶提供這份說明文件。
相關資源
- Assured Workloads 總覽
- 部署 IL4 Assured Workloads 環境的相關指南和 Terraform
- NIST 網路安全架構和 Google Cloud
- Google Cloud 部署指南
- Google Cloud 安全性模型
- DoD Instruction 8510.01「DoD Risk Management Framework (RMF) for DoD Information Technology (IT)」(DoD 資訊科技 (IT) 適用的 DoD 風險管理架構 (RMF))
- NIST SP 800-37「Risk Management Framework for Information Systems and Organizations: A System Life Cycle Approach for Security and Privacy」(資訊系統和機構的風險管理架構:確保安全性與隱私權的系統生命週期方法)
- NIST SP 800-53「Security and Privacy Controls for Information Systems and Organizations」(資訊系統和機構的安全性與隱私權控管)
- NIST SP 800-59「Guideline for Identifying an Information System as a National Security System」(識別資訊系統做為國家安全系統的指南)
- NIST SP 800-171「Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations」(保護非聯邦系統和機構中受管制的未分類資訊)
- CNSSI 1253「Security Categorization and Control Selection for National Security Systems」(國家安全系統的安全分類和控管選項)