Linee guida per l'implementazione FedRAMP su Google Cloud

Last reviewed 2026-02-10 UTC

Questo documento chiarisce in che modo Google Cloud supporta le tue esigenze di conformità FedRAMP e ti indirizza alle risorse per la configurazione dei servizi in modo che soddisfino i requisiti FedRAMP. Questo documento è destinato al personale addetto alla sicurezza, alla conformità e all'IT responsabile dell'implementazione e della conformità FedRAMP su Google Cloud.

In base al modello di responsabilità condivisa, sei responsabile della comprensione dei requisiti di conformità e sicurezza e della configurazione appropriata del tuo Google Cloud ambiente. Quando implementi il supporto FedRAMP, ti consigliamo vivamente di richiedere una consulenza legale indipendente in merito alle tue responsabilità FedRAMP.

Informazioni su FedRAMP

Il framework del Federal Risk and Authorization Management Program (FedRAMP) è stato istituito dal governo federale degli Stati Uniti per standardizzare la valutazione della sicurezza, l'autorizzazione e il monitoraggio continuo dei prodotti e dei servizi cloud in tutte le agenzie governative. Nel 2022, il Congresso ha codificato FedRAMP come "un programma a livello governativo che fornisce un approccio standardizzato e riutilizzabile alla valutazione e all'autorizzazione della sicurezza per i prodotti e i servizi di cloud computing che trattano informazioni non classificate utilizzate dalle agenzie".

Nel 2025, FedRAMP ha avviato una revisione significativa del programma nell'ambito dell'iniziativa FedRAMP 20x. Queste modifiche mirano ad adottare il monitoraggio e l'applicazione automatizzati delle best practice di sicurezza commerciali per soddisfare i requisiti di sicurezza minimi per i sistemi informativi federali. FedRAMP sta abbandonando la documentazione costosa, inefficiente e compilata manualmente a favore di report sulla sicurezza basati sui dati e guidati dal settore. Per informazioni su come Google supporta l'iniziativa FedRAMP 20x, consulta Accelerating FedRAMP 20x: How Google Cloud is automating compliance.

FedRAMP si basa sullo standard National Institute of Standards and Technology (NIST) SP 800-53, integrato dai controlli e dai miglioramenti dei controlli FedRAMP. Tutti i modelli di servizio e i deployment su cloud delle agenzie federali, eccetto alcuni cloud privati on-premise, devono soddisfare i requisiti FedRAMP secondo il livello di impatto del rischio appropriato (Low, Moderate o High) in base alle linee guida NIST FIPS 199. Il numero di NIST SP 800-53 controlli nella base di riferimento corrispondente aumenta man mano che aumenta il livello di impatto. Ad esempio, la base di riferimento FedRAMP Moderate ha 325 controlli, mentre la base di riferimento FedRAMP High ne ha 421.

FedRAMP è un programma di valutazione e autorizzazione, non una certificazione o un accreditamento una tantum. Include il monitoraggio continuo per garantire l'efficacia dei controlli di sicurezza in un'offerta di servizi cloud, adattandosi all'evoluzione dei panorami delle minacce e alle modifiche dell'ambiente di sistema.

Google Cloud Autorizzazione FedRAMP

Il FedRAMP Board (precedentemente noto come Joint Authorization Board o JAB) è l'organo direttivo principale di FedRAMP. Il FedRAMP Board include i CIO del Dipartimento della Difesa (DoD), del Dipartimento della Sicurezza Nazionale (DHS) e della General Services Administration (GSA).

Il FedRAMP Board ha rilasciato un'autorizzazione provvisoria a operare (P-ATO) FedRAMP High a Google Cloud e all'infrastruttura comune di Google (GCI) sottostante. L'autorizzazione FedRAMP High rappresenta il livello più elevato per la conformità FedRAMP.

In seguito ai miglioramenti di FedRAMP 20x, la GSA è diventata l'agenzia di autorizzazione per Google Cloud, che invia regolarmente servizi aggiuntivi alla GSA per l'autorizzazione FedRAMP High. La base di riferimento dei controlli FedRAMP Moderate è un sottoinsieme della base di riferimento dei controlli FedRAMP High. Pertanto, un'autorizzazione FedRAMP High fornisce una copertura completa per tutti i requisiti di controllo FedRAMP Moderate.

Per ulteriori informazioni sulla conformità Google Cloud FedRAMP di, consulta Conformità FedRAMP.

Servizi inclusi nell'ambito dell'audit

Google Cloud mantiene una P-ATO FedRAMP High completa che copre più di 150 servizi cloud. Questo ambito ti consente di creare un'ampia gamma di applicazioni su Google Cloud e di ottenere l'ATO FedRAMP ereditando i controlli di sicurezza dalla piattaforma sottostante Google Cloud . Ad esempio, puoi utilizzare modelli di machine learning (ML) e servizi di intelligenza artificiale (AI), inclusi agenti AI, AI generativa e AI multimodale nei tuoi Google Cloud deployment.

Per ulteriori informazioni sull'ambito dell'audit Google Cloud FedRAMP, consulta Ambito di conformità di FedRAMP e DoD e il Google Cloud Marketplace di FedRAMP.

AI e LLM

Google Cloud può aiutarti a soddisfare i requisiti di conformità FedRAMP per i carichi di lavoro che includono modelli di ML e applicazioni di AI. Puoi utilizzare Google Cloud i servizi autorizzati FedRAMP, come AI generativa sulla piattaforma di agenti Gemini Enterprise e Inferenza della piattaforma di agenti Gemini Enterprise: batch e online per interagire con più di 200 modelli linguistici di grandi dimensioni (LLM) proprietari, di terze parti e open source che sono disponibili in Model Garden. Per ulteriori informazioni, consulta Modelli supportati da Model Garden.

I singoli LLM non sono autorizzati in modo indipendente ai sensi di FedRAMP e non è presente alcuna registrazione della loro autorizzazione nel Marketplace di FedRAMP. Il Marketplace riflette invece le autorizzazioni per i servizi cloud come AI generativa sulla piattaforma di agenti e Inferenza della piattaforma di agenti: batch e online, che Google invia per l'approvazione. Tuttavia, l'infrastruttura cloud sottostante utilizzata per il deployment degli LLM deve rispettare i requisiti di conformità FedRAMP, inclusa l'infrastruttura utilizzata per il monitoraggio continuo. Questo requisito è soddisfatto per i modelli gestiti da Google, come gli LLM proprietari di Google (ad esempio, la famiglia di modelliGemini) e i modelli dei partner di Anthropic, che supportano tutti il Throughput riservato. Di conseguenza, l'utilizzo dei servizi della piattaforma di agenti autorizzati FedRAMP High consente l'interazione con questi modelli supportati in un ambiente FedRAMP High.

Google continua a implementare le disposizioni di monitoraggio per un numero maggiore di LLM ospitati su un'infrastruttura gestita da Google. Sebbene Google sia responsabile dell'autorizzazione dell'infrastruttura di pubblicazione e dei container personalizzati per il deployment di modelli open source, la sicurezza dei modelli open source è di tua responsabilità.

Per ulteriori informazioni sugli LLM con deployment autonomo, consulta Panoramica dei modelli con deployment autonomo. Se esegui il deployment degli LLM nella tua infrastruttura tenant, assicurati che la valutazione ATO FedRAMP copra l'infrastruttura, non i singoli LLM. Google Cloud Ad esempio, devi soddisfare i requisiti di monitoraggio continuo per l' Google Cloud infrastruttura di cui esegui il provisioning per il deployment degli LLM. Puoi collaborare con la tua organizzazione di valutazione di terze parti (3PAO) e con Google per ottenere l'ATO.

Ottenere l'ATO FedRAMP

In base alle modifiche continue di FedRAMP 20x, il percorso disponibile per l'autorizzazione FedRAMP è l'ATO dell'agenzia Rev. 5. Devi collaborare con Google e la tua 3PAO per completare i passaggi che portano a un'ATO. Per informazioni sulla procedura ATO dell'agenzia, inclusi i link a risorse importanti come il playbook di autorizzazione dell'agenzia, consulta il sito web FedRAMP.

Se vuoi utilizzare i servizi per soddisfare gli obblighi di conformità FedRAMP High, devi utilizzare Data Boundary per FedRAMP High. Google Cloud La base di riferimento dei controlli FedRAMP Moderate è un sottoinsieme della base di riferimento dei controlli FedRAMP High. Pertanto, se vuoi un'ATO FedRAMP Moderate per una soluzione di cui è stato eseguito il deployment suGoogle Cloud, puoi utilizzare qualsiasi servizio autorizzato FedRAMP High nel tuo limite di autorizzazione FedRAMP Moderate. Google Cloud Dovrai valutare un numero inferiore di controlli per un'ATO FedRAMP Moderate rispetto ai controlli che devi valutare per l'ATO FedRAMP High.

Per aiutarti con l'ATO FedRAMP, Google può fornirti la seguente Google Cloud documentazione di conformità FedRAMP High ai sensi di un accordo di non divulgazione (NDA):

  • Matrice delle responsabilità del cliente (CRM): descrizioni dettagliate delle tue responsabilità durante l'implementazione dei controlli NIST SP 800-53 nella base di riferimento dei controlli FedRAMP High.
  • Piano di sicurezza del sistema (SSP): il limite di autorizzazione di sicurezza e l' architettura del sistema. Questo documento fornisce anche descrizioni approfondite dei requisiti di controllo NIST SP 800-53 e Google Cloud dei dettagli di implementazione dei controlli applicabili alla base di riferimento dei controlli FedRAMP High.

Il nostro team di vendita o il tuo Google Cloud rappresentante possono aiutarti ad accedere a questa documentazione. Se sei un ente statale federale, puoi anche richiedere il pacchetto FedRAMP di Google utilizzando il modulo di richiesta di accesso al pacchetto FedRAMP.

Guida e automazione

Google fornisce documentazione di guida e soluzioni di automazione per aiutarti a rispettare gli obblighi di conformità FedRAMP, come descritto in questa sezione.

Guide alla mappatura dei controlli

A differenza della CRM FedRAMP High completa, le guide alla mappatura dei controlli (CMG) sono specifiche per il servizio. Google Cloud Queste guide forniscono una copertura dettagliata dei controlli per i Google Cloud servizi, in modo che tu possa configurarli per soddisfare i requisiti FedRAMP High. Le CMG riguardano i controlli NIST SP 800-53 pertinenti che richiedono una configurazione tecnica da parte tua. Le CMG chiariscono anche i passaggi da seguire per un determinato servizio (e per tutti i servizi di supporto Google Cloud e Google Workspace), per garantire la trasparenza di queste responsabilità.

Le CMG sono disponibili per alcuni Google Cloud servizi, tra cui BigQuery, Data Studio Pro, AI generativa su Agent Platform, Ricerca di agenti su Agent Platform, Cloud Logging, Compute Engine, Identity and Access Management (IAM) e altri. Contatta il nostro team di vendita o il tuo Google Cloudrappresentante per ottenere l'accesso a questa documentazione ai sensi di un accordo di non divulgazione (NDA).

Guide all'implementazione di FedRAMP High

Le guide all'implementazione di FedRAMP High sono progettate per coprire le API specifiche del servizio che rientrano nell'ambito di FedRAMP High, incluse le funzionalità del servizio interessato e i campi dati adatti all'archiviazione di dati protetti. Ad esempio, queste guide descrivono le API specifiche del servizio che soddisfano i requisiti FedRAMP High e forniscono dettagli di configurazione aggiuntivi da utilizzare con il Google Cloud servizio specifico per i carichi di lavoro FedRAMP High. Queste configurazioni non vengono applicate per impostazione predefinita e devono essere gestite da te.

Le guide all'implementazione di FedRAMP High sono disponibili per alcuni Google Cloud servizi, tra cui Apigee, BigQuery, Cloud Key Management Service, Logging, Google Kubernetes Engine (GKE), AI generativa sulla piattaforma di agenti, Ricerca di agenti sulla piattaforma di agenti, Cloud Storage e altri. Contatta il nostro team di vendita o il tuo Google Cloud rappresentante per ottenere l'accesso a questa documentazione ai sensi di un NDA.

Residenza dei dati e conformità SA-9(5)

Quando esegui il deployment dell'applicazione su Google Cloud, i requisiti di residenza dei dati FedRAMP sono obbligatori solo dalla base di riferimento dei controlli FedRAMP High. Per applicare questi requisiti, devi scegliere il Data Boundary di Assured Workloads per FedRAMP High. Se stai cercando un'autorizzazione FedRAMP Moderate e scegli il confine dei dati di Assured Workloads per FedRAMP Moderate, non avrai controlli di residenza dei dati perché i requisiti non si applicano a te.

Google Cloud fornisce impegni contrattuali di residenza dei dati commitments per i servizi regionali, che ti consentono di configurare un servizio in modo che utilizzi una località specifica per i dati. Questi impegni contribuiscono a garantire che i dati FedRAMP High vengano archiviati in una regione degli Stati Uniti, rimangano negli Stati Uniti e non vengano spostati in un'altra regione al di fuori degli Stati Uniti. Alcuni esempi di FedRAMP High dati includono i dati appartenenti alle forze dell'ordine, ai servizi di emergenza, ai servizi finanziari servizi, ai sistemi sanitari e di sanità pubblica o a uno dei 16 critici settori infrastrutturali.

Alcuni Google Cloud servizi sono non regionali o globali per progettazione e non consentono di specificare la regione in cui viene eseguito il deployment del servizio. Questo approccio di progettazione è necessario per il corretto funzionamento dei servizi globali. Alcuni di questi servizi non regionali o globali non sono coinvolti nell'elaborazione, nella trasmissione o nell'archiviazione dei dati FedRAMP High. Le funzionalità di residenza dei dati per i servizi non regionali o globali sono limitate.

Nel luglio 2020, FedRAMP ha rilasciato un aggiornamento al controllo SA-9(5) della base di riferimento FedRAMP High per limitare la posizione geografica dei servizi di informazioni sui dati ad alto impatto agli Stati Uniti o ai territori sotto la giurisdizione statunitense. Dopo questo aggiornamento, alcuni Google Cloud servizi sono stati contrassegnati nel Marketplace di FedRAMP con un asterisco e la seguente chiarimento: "I servizi contrassegnati con un asterisco (*) non soddisfano il requisito SA-9(5). Per ulteriori informazioni, consulta la lettera P-ATO del JAB."

Alcuni Google Cloud servizi contrassegnati nel Marketplace di FedRAMP come non conformi ai requisiti SA-9(5) non sono ancora stati esaminati dalla nostra 3PAO per la nuova presentazione alla GSA con prove SA-9(5) aggiornate. Google sta attivamente perseguendo queste presentazioni volte a rimuovere le chiarificazioni SA-9(5) dal Marketplace di FedRAMP. Per ulteriori informazioni sullo stato di questi servizi, consulta la scheda SA-9(5) nel documento CRM FedRAMP High.

Mentre è in corso la procedura di rivalutazione dei servizi autorizzati FedRAMP High Google Cloud con la chiarificazione SA-9(5), Google consiglia di implementare i controlli di mitigazione descritti nelle linee guida RMF per risolvere le restrizioni geografiche dei dati FedRAMP High. Ad esempio, puoi utilizzare la crittografia dei dati per stabilire il controllo esclusivo sui dati FedRAMP High, come spiegato nel resto di questa sezione.

Sovranità digitale e residenza dei dati

Google sottolinea la sovranità digitale, un concetto che protegge i dati indipendentemente dalla posizione fisica. Questo approccio si basa su Assured Workloads e sul cloud di community software-defined. A differenza della sovranità fisica convenzionale che enfatizza la residenza dei dati, Google Cloud i controlli di sovranità digitale forniscono una protezione dei dati avanzata.

La sovranità digitale ti conferisce l'autorità sulla protezione dei dati, eliminando la necessità di affidarsi alle garanzie dei provider di servizi cloud o dei valutatori di terze parti. La sovranità digitale implica che hai il controllo esclusivo sull'accesso ai tuoi dati tramite la proprietà esclusiva delle chiavi di crittografia dei dati.

In conformità con le linee guida RMF, Google consiglia di implementare i controlli di mitigazione per risolvere il rischio di accesso ai dati FedRAMP High durante il transito nell'infrastruttura di rete o durante il potenziale spazio di archiviazione in una regione cloud non statunitense. Il meccanismo principale per la limitazione dell'accesso è la crittografia dei dati in transito e a riposo.

Per proteggere i dati FedRAMP High e limitare l'accesso solo agli utenti autorizzati, puoi utilizzare le chiavi di crittografia gestite dal cliente per la crittografia dei dati at-rest. Google Cloud fornisce anche la crittografia dei dati in transito. Le sezioni seguenti descrivono le tecnologie di crittografia dei dati che sono disponibili in Google Cloud. La crittografia dei dati impedisce la lettura dei dati FedRAMP High durante il transito o l'accesso da parte di altri tenant e del personale di Google durante l'archiviazione at-rest.

Chiavi di crittografia gestite dal cliente

Le chiavi di crittografia gestite dal cliente (CMEK) in ( Cloud KMS) ti offrono la proprietà e il controllo delle chiavi che proteggono i dati at-rest in Google Cloud. Un Google Cloud servizio che può utilizzare le tue chiavi ha un'integrazione CMEK. Puoi gestire queste CMEK direttamente o tramite Cloud KMS Autokey. I servizi che supportano le integrazioni CMEK utilizzano le chiavi Cloud KMS per criptare o eseguire il wrapping delle chiavi di crittografia dei dati (DEK). Il wrapping delle DEK con le chiavi di crittografia delle chiavi (KEK) è chiamato crittografia envelope. Per ulteriori informazioni, consulta Best practice per l'utilizzo delle CMEK. Per un elenco dei servizi che supportano CMEK, consulta Servizi compatibili.

Con Cloud External Key Manager (Cloud EKM) puoi utilizzare le chiavi di crittografia gestite esternamente a per proteggere i dati all'interno di Google Cloud. Google Cloud Puoi proteggere i dati at-rest nei servizi di integrazione CMEK supportati o chiamando direttamente l' API Cloud Key Management Service.

Google offre le seguenti garanzie in merito alla sicurezza delle chiavi di crittografia in Cloud KMS:

  • Il materiale delle chiavi decriptato non può essere esportato o visualizzato tramite l'interfaccia dell'API o un'altra interfaccia utente.
  • Il personale di Google non può accedere al materiale delle chiavi del cliente non criptato. Inoltre, il materiale delle chiavi viene criptato con una chiave master KMS in Keystore e la chiave master KMS non è accessibile al personale di Google.
  • Su un modulo di sicurezza hardware (HSM), i job dell'API Cloud KMS non accedono mai al materiale delle chiavi in uno stato decriptato. Gli HSM resi disponibili in Google Cloud sono convalidati FIPS 140.
  • Gli operatori di sistema di Google non possono accedere, utilizzare o estrarre il materiale delle chiavi del cliente durante l'esecuzione delle loro attività, come definito nelle procedure operative standard.

La convalida FIPS 140 è obbligatoria per l'autorizzazione FedRAMP. Ad esempio, il controllo di protezione crittografica SC-13 impone l'utilizzo della crittografia convalidata FIPS 140 o della crittografia approvata dalla NSA. Google ti fornisce moduli crittografici per la crittografia dei dati at-rest e in transito con la convalida FIPS 140.

Crittografia dei dati at-rest

Google Cloud cripta i dati at rest per impostazione predefinita. Google Cloud fornisce la crittografia lato server trasparente per i servizi di archiviazione utilizzando un cifrario a blocchi simmetrico AES-256 convalidato FIPS 140. Puoi anche creare le tue chiavi di crittografia gestite con Cloud KMS e archiviarle in HSM basati su cloud o esterni.

Cloud HSM consente di ospitare chiavi di crittografia ed eseguire operazioni crittografiche in un cluster di HSM convalidati FIPS 140. Cloud HSM utilizza Cloud KMS come frontend per darti accesso alle funzionalità di integrazione CMEK e ad altre funzionalità fornite da Cloud KMS. Poiché Google Cloud utilizza una crittografia convalidata FIPS 140 efficace, i tuoi dati criptati sono accessibili solo agli utenti che possiedono la tua CMEK.

Google Cloud supporta anche le chiavi gestite dal cliente per la crittografia dei dischi collegati alle macchine virtuali. Inoltre, Google Cloud supporta la crittografia lato client in cui puoi criptare i dati all'interno del tuo ambiente applicativo prima di inviarli al cloud.

Crittografia dei dati in transito

Google Cloud fornisce il supporto per la crittografia dei dati in transito, come segue:

  • La crittografia trasparente si verifica nel backbone di rete controllato da Google del traffico di rete tra le regioni dei data center e le zone di disponibilità. Questa crittografia viene implementata a livello di collegamento dati fisico (livello 2 nello stack di rete) utilizzando Media Access Control Security (MACsec).
  • Il traffico da VM a VM all'interno di una rete Virtual Private Cloud (VPC) e di reti VPC in peering viene criptato in modo trasparente.
  • A livello di applicazione, Google ti consente di utilizzare Transport Layer Security (TLS) per la crittografia dei dati in transito. Inoltre, gli endpoint di servizio supportano TLS per creare una connessione HTTPS sicura quando effettui chiamate API.
  • Le connessioni tra VPC e l'infrastruttura on-premise sono disponibili tramite Cloud VPN, che crea un tunnel criptato sicuro su internet o tramite circuiti privati diretti.

La crittografia dei dati in transito include la crittografia in transito tra l'utente finale e Google e la crittografia in transito all'interno delle reti Google. Per ulteriori informazioni, consulta Crittografia in transito per Google Cloud.

Passaggi successivi

Per iniziare a utilizzare l'autorizzazione FedRAMP per il tuo Google Cloud deployment, esamina quanto segue: