Conseils d'implémentation de FedRAMP sur Google Cloud

Ce document explique comment Google Cloud répond à vos besoins de conformité FedRAMP et vous redirige vers des ressources pour configurer les services afin de répondre aux exigences FedRAMP. Ce document est destiné au personnel chargé de la sécurité, de la conformité et de l'informatique qui est responsable de la mise en œuvre du programme FedRAMP et de la conformité avec celui-ci sur Google Cloud.

Selon le modèle de responsabilité partagée, vous êtes responsable de la compréhension de vos exigences en matière de conformité et de sécurité, et de la configuration appropriée de votre Google Cloud environnement. Lorsque vous mettez en œuvre la compatibilité avec le programme FedRAMP, nous vous recommandons vivement de demander un avis juridique indépendant concernant vos responsabilités FedRAMP.

À propos du programme FedRAMP

Le framework Federal Risk and Authorization Management Program (FedRAMP) a été créé par le gouvernement fédéral des États-Unis pour standardiser l'évaluation de la sécurité, l'autorisation et la surveillance continue des produits et services cloud dans toutes les agences gouvernementales. En 2022, le Congrès a codifié le programme FedRAMP en tant que "programme gouvernemental qui fournit une approche standardisée et réutilisable de l'évaluation et de l'autorisation de sécurité pour les produits et services de cloud computing qui traitent des informations non classifiées utilisées par des agences".

En 2025, le programme FedRAMP a commencé à faire l'objet d'une révision importante dans le cadre de l'initiative FedRAMP 20x. Ces modifications visent à adopter une surveillance et une application automatisées des bonnes pratiques de sécurité commerciales afin de répondre aux exigences de sécurité minimales pour les systèmes d'information fédéraux. Le programme FedRAMP abandonne la documentation coûteuse, inefficace et compilée manuellement au profit de rapports de sécurité basés sur les données et menés par le secteur. Pour savoir comment Google soutient l'initiative FedRAMP 20x, consultez Accélérer le programme FedRAMP 20x: comment Google Cloud automatise la conformité.

Le programme FedRAMP est basé sur la norme NIST SP 800-53 du National Institute of Standards and Technology (NIST), complétée par des contrôles et des améliorations de contrôle FedRAMP. Tous les déploiements et modèles de service cloud des agences fédérales, à l'exception de certains clouds privés sur site, doivent répondre aux exigences FedRAMP correspondant à leur niveau d'impact (faible, modéré ou élevé) en fonction des consignes NIST FIPS 199. Le nombre de NIST SP 800-53 contrôles dans la base de référence correspondante augmente à mesure que le niveau d'impact augmente. Par exemple, la base de référence FedRAMP au niveau d'impact modéré comporte 325 contrôles, tandis que la base de référence FedRAMP au niveau d'impact élevé en comporte 421.

Le programme FedRAMP est un programme d'évaluation et d'autorisation, et non une certification ou une accréditation unique. Il inclut une surveillance continue pour garantir l'efficacité des contrôles de sécurité dans une offre de services cloud, en s'adaptant à l'évolution des paysages de menaces et aux modifications de l'environnement système.

Google Cloud Autorisation FedRAMP

La commission FedRAMP (anciennement "Commission mixte d'autorisation" [JAB ; Joint Authorization Board]) est l'organisme gouvernemental principal du programme FedRAMP. La commission FedRAMP comprend des responsables de l'information du département de la Défense (DoD), du département de la Sécurité intérieure (DHS) et de l'Administration générale des services (GSA).

La commission FedRAMP a attribué un agrément provisoire d'exploitation (P-ATO) au niveau d'impact élevé à Google Cloud et à l'infrastructure commune Google (GCI) sous-jacente. L'autorisation FedRAMP au niveau d'impact élevé représente le plus haut niveau de conformité FedRAMP.

Suite aux améliorations apportées au programme FedRAMP 20x, la GSA est devenue l'agence d'autorisation pour Google Cloud, qui soumet régulièrement des services supplémentaires à la GSA pour obtenir l'autorisation FedRAMP au niveau d'impact élevé. Le modèle de référence modéré du programme FedRAMP est un sous-ensemble du modèle de référence élevé. Par conséquent, une autorisation FedRAMP au niveau d'impact élevé offre une couverture complète pour toutes les exigences de contrôle FedRAMP au niveau d'impact modéré.

Pour en savoir plus sur la conformité Google Cloud FedRAMP, consultez la page Conformité FedRAMP.

Services couverts par l'audit

Google Cloud dispose d'un agrément provisoire d'exploitation (P-ATO) FedRAMP au niveau d'impact élevé complet qui couvre plus de 150 services cloud. Ce champ d'application vous permet de créer un large éventail d'applications sur Google Cloud et de demander votre agrément d'exploitation FedRAMP en héritant des contrôles de sécurité de la plate-forme sous-jacente Google Cloud . Par exemple, vous pouvez utiliser des modèles de machine learning (ML) et des services d'intelligence artificielle (IA), y compris des agents d'IA, de l'IA générative et de l'IA multimodale dans vos Google Cloud déploiements.

Pour en savoir plus sur le champ d'application de l'audit Google Cloud FedRAMP, consultez les pages Programmes de conformité FedRAMP et DoD et Google Cloud FedRAMP Marketplace.

IA et LLM

Google Cloud peut vous aider à répondre aux exigences de conformité FedRAMP pour les charges de travail qui incluent des modèles de ML et des applications d'IA. Vous pouvez utiliser Google Cloud des services autorisés par le programme FedRAMP, tels que l'IA générative sur Vertex AI et Vertex AI Inference : Batch and Online, pour interagir avec plus de 200 grands modèles de langage (LLM) propriétaires, tiers et Open Source qui sont disponibles dans notre Model Garden. Pour en savoir plus, consultez la page Modèles compatibles avec Model Garden.

Les LLM individuels ne sont pas autorisés indépendamment dans le cadre du programme FedRAMP, et leur autorisation n'est pas enregistrée dans le FedRAMP Marketplace. Au lieu de cela, le Marketplace reflète les autorisations pour les services cloud tels que l'IA générative sur Vertex AI et Vertex AI Inference : Batch and Online, que Google soumet à approbation. Toutefois, l'infrastructure cloud sous-jacente utilisée pour le déploiement de LLM doit respecter les exigences de conformité FedRAMP, y compris l'infrastructure utilisée pour la surveillance continue. Cette exigence est remplie pour les modèles gérés par Google, tels que les LLM propriétaires de Google (par exemple, la famille de modèles Gemini) et les modèles partenaires d' Anthropic, qui sont tous compatibles avec le débit provisionné. Par conséquent, l'utilisation de services Vertex AI autorisés par le programme FedRAMP au niveau d'impact élevé permet d'interagir avec ces modèles compatibles dans un environnement FedRAMP au niveau d'impact élevé.

Google continue de mettre en œuvre des dispositions de surveillance pour davantage de LLM hébergés sur une infrastructure gérée par Google. Bien que Google soit responsable de l'autorisation de l'infrastructure de diffusion et des conteneurs personnalisés pour déployer des modèles Open Source, la sécurité des modèles Open Source est de votre responsabilité.

Pour en savoir plus sur les LLM auto-déployés, consultez la page Présentation des modèles auto-déployés. Si vous déployez des LLM dans votre propre Google Cloud infrastructure de locataire, assurez-vous que votre évaluation de l'agrément d'exploitation FedRAMP couvre cette infrastructure, et non les LLM individuels. Par exemple, vous devez répondre aux exigences de surveillance continue pour l' Google Cloud infrastructure que vous provisionnez pour le déploiement de LLM. Vous pouvez collaborer avec votre organisme tiers d'évaluation (3PAO) et Google pour obtenir votre agrément d'exploitation.

Obtenir votre agrément d'exploitation FedRAMP

En fonction des modifications en cours du programme FedRAMP 20x, le chemin d'accès disponible à l'autorisation FedRAMP est l'agrément d'exploitation de l'agence Rev. 5 ATO. Vous devez collaborer avec Google et votre 3PAO pour suivre les étapes menant à un agrément d'exploitation. Pour en savoir plus sur le processus d'agrément d'exploitation de l'agence, y compris des liens vers des ressources importantes telles que le guide d'autorisation de l'agence, consultez le site Web du programme FedRAMP.

Si vous souhaitez utiliser Google Cloud les services pour répondre à vos obligations de conformité FedRAMP au niveau d'impact élevé, vous devez utiliser le périmètre de données pour FedRAMP au niveau d'impact élevé. Le modèle de référence modéré du programme FedRAMP est un sous-ensemble du modèle de référence élevé. Par conséquent, si vous souhaitez obtenir un agrément d'exploitation FedRAMP au niveau d'impact modéré pour une solution déployée sur Google Cloud, vous pouvez utiliser n'importe quel Google Cloud service autorisé par le programme FedRAMP au niveau d'impact élevé dans les limites de votre autorisation FedRAMP au niveau d'impact modéré. Vous devrez évaluer moins de contrôles pour un agrément d'exploitation FedRAMP au niveau d'impact modéré que pour un agrément d'exploitation FedRAMP au niveau d'impact élevé.

Pour vous aider à obtenir votre agrément d'exploitation FedRAMP, Google peut vous fournir les documents de conformité FedRAMP au niveau d'impact élevé suivants dans le cadre d'un accord de non-divulgation (NDA) :Google Cloud

• Matrice de responsabilités du client (CRM) : descriptions détaillées de vos responsabilités lors de la mise en œuvre des contrôles NIST SP 800-53 dans la base de référence FedRAMP au niveau d'impact élevé.
• Plan de sécurité système (SSP) : limite d'autorisation de sécurité et architecture du système. Ce document fournit également des descriptions détaillées des exigences de contrôle NIST SP 800-53 et Google Cloud des détails de mise en œuvre des contrôles applicables à la base de référence FedRAMP au niveau d'impact élevé.

Notre équipe commerciale ou votre Google Cloud représentant peuvent vous aider à accéder à cette documentation. Si vous êtes une agence gouvernementale fédérale, vous pouvez également demander le package FedRAMP de Google à l'aide du formulaire de demande d'accès au package FedRAMP.

Conseils et automatisation

Google fournit une documentation d'aide et des solutions d'automatisation pour vous aider à respecter vos obligations de conformité FedRAMP, comme décrit dans cette section.

Guides de mappage des contrôles

Contrairement à la CRM FedRAMP au niveau d'impact élevé complète Google Cloud , les guides de mappage des contrôles (CMG) sont spécifiques à un service. Ces guides fournissent une couverture détaillée des contrôles pour les Google Cloud services afin que vous puissiez configurer les services pour répondre aux exigences FedRAMP au niveau d'impact élevé. Les CMG traitent des contrôles NIST SP 800-53 pertinents qui nécessitent une configuration technique de votre part. Les CMG clarifient également les étapes à suivre pour un service particulier (ainsi que pour tous les services Google Workspace et d'assistance Google Cloud ), afin de garantir la transparence de ces responsabilités.

Les CMG sont disponibles pour certains Google Cloud services, y compris BigQuery, Data Studio Pro, l'IA générative sur Vertex AI, Vertex AI Search, Cloud Logging, Compute Engine, Identity and Access Management (IAM), et plus encore. Contactez notre équipe commerciale ou votre Google Cloud représentant pour accéder à cette documentation dans le cadre d'un accord de non-divulgation (NDA).

Guides d'implémentation FedRAMP au niveau d'impact élevé

Les guides d'implémentation FedRAMP au niveau d'impact élevé sont destinés à couvrir les API spécifiques aux services qui sont inclus dans le champ d'application FedRAMP au niveau d'impact élevé, y compris les fonctionnalités de service et les champs de données concernés qui conviennent au stockage de données protégées. Par exemple, ces guides décrivent les API spécifiques aux services qui répondent aux exigences FedRAMP au niveau d'impact élevé et fournissent des détails de configuration supplémentaires que vous utilisez avec le Google Cloud service particulier pour les charges de travail FedRAMP au niveau d'impact élevé. Ces configurations ne sont pas appliquées par défaut et doivent être gérées par vous.

Les guides d'implémentation FedRAMP au niveau d'impact élevé sont disponibles pour certains Google Cloud services, y compris Apigee, BigQuery, Cloud Key Management Service, Logging, Google Kubernetes Engine (GKE), l'IA générative sur Vertex AI, Vertex AI Search, Cloud Storage, et plus encore. Contactez notre équipe commerciale ou votre Google Cloud représentant pour accéder à cette documentation dans le cadre d' un accord de non-divulgation.

Résidence des données et conformité SA-9(5)

Lorsque vous déployez votre application sur Google Cloud, les exigences de résidence des données FedRAMP ne sont obligatoires que pour la base de référence FedRAMP au niveau d'impact élevé. Pour appliquer ces exigences, vous devez choisir le périmètre de données Assured Workloads pour FedRAMP au niveau d'impact élevé. Si vous demandez une autorisation FedRAMP au niveau d'impact modéré et que vous choisissez le périmètre de données Assured Workloads pour FedRAMP au niveau d'impact modéré, vous ne disposerez pas de contrôles de résidence des données, car les exigences ne s'appliquent pas à vous.

Google Cloud fournit des engagements contractuels de résidence des données pour les services régionaux, ce qui vous permet de configurer un service pour utiliser un emplacement de données spécifique. Ces engagements permettent de s'assurer que vos données FedRAMP au niveau d'impact élevé sont stockées dans une région des États-Unis, qu'elles y restent et qu'elles ne seront pas déplacées vers une autre région en dehors des États-Unis. Parmi les exemples de données FedRAMP au niveau d'impact élevé , citons les données appartenant aux forces de l'ordre, aux services d'urgence, aux services financiers , aux systèmes de santé et de santé publique, ou à l'un des 16 secteurs d'infrastructure critiques.

Certain Google Cloud services sont non régionaux ou mondiaux par conception et ne vous permettent pas de spécifier la région dans laquelle le service est déployé. Cette approche de conception est nécessaire pour que les services mondiaux fonctionnent correctement. Certains de ces services non régionaux ou mondiaux ne sont pas impliqués dans le traitement, la transmission ou le stockage de vos données FedRAMP au niveau d'impact élevé. Les fonctionnalités de résidence des données pour les services non régionaux ou mondiaux sont limitées.

En juillet 2020, le programme FedRAMP a publié une mise à jour du contrôle SA-9(5) de la base de référence FedRAMP au niveau d'impact élevé afin de limiter l'emplacement géographique des services d'information sur les données à fort impact aux États-Unis ou aux territoires sous juridiction américaine. Après cette mise à jour, certainsservices ont été signalés dans le FedRAMP Marketplace avec un astérisque et la clarification suivante : "Les services signalés par un astérisque (*) ne répondent pas à l'exigence SA-9(5). Google Cloud Pour en savoir plus, veuillez consulter la lettre JAB P-ATO."

Certains Google Cloud services signalés dans le FedRAMP Marketplace comme ne répondant pas aux exigences SA-9(5) n'ont pas encore été examinés par notre 3PAO en vue d'une nouvelle soumission à la GSA avec des preuves SA-9(5) mises à jour. Google s'efforce activement de supprimer les clarifications SA-9(5) du FedRAMP Marketplace. Pour en savoir plus sur l'état de ces services, consultez l'onglet SA-9(5) dans le document CRM FedRAMP au niveau d'impact élevé.

Pendant le processus de réévaluation des services autorisés par le programme FedRAMP au niveau d'impact élevé Google Cloud avec la clarification SA-9(5), Google vous recommande de mettre en œuvre des contrôles d'atténuation, comme décrit dans les consignes RMF, pour répondre aux restrictions géographiques des données FedRAMP au niveau d'impact élevé. Par exemple, vous pouvez utiliser le chiffrement des données pour établir un contrôle exclusif sur les données FedRAMP au niveau d'impact élevé, comme expliqué dans le reste de cette section.

Souveraineté numérique et résidence des données

Google met l'accent sur la souveraineté numérique, un concept qui sécurise les données, quel que soit leur emplacement physique. Cette approche repose sur Assured Workloads et le cloud communautaire défini par logiciel. Contrairement à la souveraineté physique conventionnelle qui met l'accent sur la résidence des données, Google Cloud les contrôles de souveraineté numérique offrent une protection renforcée des données.

La souveraineté numérique vous donne le pouvoir de protéger les données, ce qui élimine le besoin de dépendre des assurances des fournisseurs cloud ou des évaluateurs tiers. La souveraineté numérique implique que vous contrôlez seul l'accès à vos données grâce à la propriété exclusive des clés de chiffrement des données.

Conformément aux consignes RMF guidelines, Google vous recommande de mettre en œuvre des contrôles d'atténuation pour réduire le risque d'accès aux données FedRAMP au niveau d'impact élevé lors de leur transit dans l'infrastructure réseau ou lors d'un stockage potentiel dans une région cloud non américaine. Le principal mécanisme de restriction d'accès est le chiffrement des données en transit et au repos.

Pour protéger vos données FedRAMP au niveau d'impact élevé et limiter l'accès à vos seuls utilisateurs autorisés, vous pouvez utiliser des clés de chiffrement gérées par le client pour le chiffrement des données au repos. Google Cloud fournit également le chiffrement des données en transit. Les sections suivantes décrivent les technologies de chiffrement des données qui sont à votre disposition dans Google Cloud. Le chiffrement des données permet d'empêcher la lecture de vos données FedRAMP au niveau d'impact élevé lors de leur transit ou l'accès à celles-ci par d'autres locataires et le personnel de Google lorsqu'elles sont stockées au repos.

Clés de chiffrement gérées par le client

Les clés de chiffrement gérées par le client (CMEK) dans ( Cloud KMS) vous donnent la propriété et le contrôle des clés qui protègent vos données au repos dans Google Cloud. Un Google Cloud service qui peut utiliser vos clés dispose d'une intégration de CMEK. Vous pouvez gérer ces CMEK directement ou via la fonction de clé automatique Cloud KMS. Les services compatibles avec les intégrations de CMEK utilisent vos clés Cloud KMS pour chiffrer ou encapsuler vos clés de chiffrement des données (DEK). L'encapsulation des DEK avec des clés de chiffrement de clé (KEK) est appelée chiffrement d'enveloppe. Pour en savoir plus, consultez les bonnes pratiques d'utilisation des CMEK. Pour obtenir la liste des services compatibles avec les CMEK, consultez la page Services compatibles.

Avec Cloud External Key Manager (Cloud EKM), vous pouvez utiliser des clés de chiffrement que vous gérez en externe en dehors Google Cloud pour protéger les données dans Google Cloud. Vous pouvez protéger les données au repos via les services d'intégration de CMEK compatibles ou en appelant directement l'API Cloud Key Management Service.

Google offre les assurances suivantes concernant la sécurité des clés de chiffrement dans Cloud KMS :

• Le matériel de clé déchiffré ne peut pas être exporté ni affiché, que ce soit via l'interface API ou une autre interface utilisateur.
• Le personnel de Google ne peut pas accéder au matériel de clé client non chiffré. De plus, le matériel de clé est chiffré avec une clé principale KMS dans Keystore, et la clé principale KMS n'est pas accessible au personnel de Google.
• Sur un module de sécurité matérielle (HSM), le matériel de clé n'est jamais accessible dans un état déchiffré par les tâches de l'API Cloud KMS. Les HSM mis à votre disposition dans Google Cloud sont certifiés FIPS 140
• Les opérateurs système de Google ne peuvent pas accéder au matériel de clé client, l'utiliser ni l'extraire dans le cadre de leurs tâches, comme défini dans les procédures opérationnelles standards.

La certification FIPS 140 est requise pour l'autorisation FedRAMP. Par exemple, le contrôle de protection cryptographique SC-13 exige l'utilisation d'une cryptographie certifiée FIPS 140 ou d'une cryptographie approuvée par la NSA. Google vous fournit des modules de chiffrement pour le chiffrement des données au repos et en transit qui sont certifiés FIPS 140.

Chiffrement des données au repos

Google Cloud chiffre les données au repos par défaut. Google Cloud fournit un chiffrement côté serveur transparent pour les services de stockage à l'aide d'un chiffrement par bloc symétrique AES-256 certifié FIPS 140. Vous pouvez également créer vos propres clés de chiffrement que vous gérez avec Cloud KMS et stocker dans des HSM basés sur le cloud ou externes.

Cloud HSM vous permet d'héberger des clés de chiffrement et d'effectuer des opérations de cryptographie dans un cluster de HSM certifiés FIPS 140. Cloud HSM utilise Cloud KMS comme interface pour vous donner accès aux fonctionnalités d'intégration de CMEK et à d'autres fonctionnalités fournies par Cloud KMS. Comme Google Cloud utilise une cryptographie certifiée FIPS 140 robuste, vos données chiffrées ne sont accessibles qu'aux utilisateurs qui possèdent votre CMEK.

Google Cloud est également compatible avec les clés gérées par le client pour le chiffrement des disques associés aux machines virtuelles. De plus, Google Cloud est compatible avec le chiffrement côté client, qui vous permet de chiffrer les données dans votre propre environnement d'application avant de les envoyer au cloud.

Chiffrement des données en transit

Google Cloud est compatible avec le chiffrement des données en transit, comme suit :

• Le chiffrement transparent se produit sur le réseau fédérateur contrôlé par Google du trafic réseau entre les régions de centres de données et les zones de disponibilité. Ce chiffrement est mis en œuvre au niveau de la couche de liaison de données physique (couche 2 de la pile réseau) à l'aide de Media Access Control Security (MACsec).
• Le trafic de VM à VM au sein d'un réseau de cloud privé virtuel (VPC) et de réseaux VPC appairés est chiffré de manière transparente.
• Au niveau de la couche application, Google vous permet d'utiliser le protocole TLS (Transport Layer Security) pour le chiffrement des données en transit. De plus, les points de terminaison de service prennent en charge TLS pour créer une connexion HTTPS sécurisée lors des appels d'API.
• Les connexions entre le VPC et votre infrastructure sur site sont disponibles à l'aide de Cloud VPN, qui crée un tunnel chiffré sécurisé sur Internet ou via des circuits privés directs.

Le chiffrement des données en transit inclut le chiffrement en transit entre l'utilisateur final et Google, ainsi que le chiffrement en transit au sein des réseaux Google. Pour en savoir plus, consultez la page Chiffrement en transit pour Google Cloud.

Étape suivante

Pour commencer à utiliser l'autorisation FedRAMP pour votre Google Cloud déploiement, consultez les ressources suivantes :

• Programmes de conformité FedRAMP et DoD
• Configurer des réseaux pour FedRAMP et DoD dans Google Cloud
• Offre de conformité FedRAMP sur Google Cloud
• Répondez aux exigences réglementaires, de conformité et de confidentialité
• Responsabilités partagées et partage de sort sur Google Cloud
• Périmètre de données avec Assured Workloads
• Produits compatibles par package de contrôle
• Entrée FedRAMP Marketplace pour Google Cloud
• Initiative FedRAMP 20x
• Autorisation d'agence FedRAMP Rev 5
• Documents et modèles FedRAMP
• NIST SP 800-53 : Contrôles de sécurité et de confidentialité pour les organisations et les systèmes d'information
• NIST SP 800-37 : Framework de gestion des risques pour les organisations et les systèmes d'information : une approche du cycle de vie du système pour la sécurité et la protection de la vie privée
• NIST FIPS 199 : Normes de catégorisation de la sécurité des informations et des systèmes d'information fédéraux