Cette page a été traduite par l'API Cloud Translation.

Conseils d'implémentation de FedRAMP sur Google Cloud

Ce document explique comment Google Cloud répond à vos besoins de conformité FedRAMP et vous redirige vers des ressources pour configurer les services afin de répondre aux exigences FedRAMP. Ce document s'adresse au personnel chargé de la sécurité, de la conformité et de l'informatique, qui est responsable de l'implémentation et de la conformité FedRAMP surGoogle Cloud.

Selon le modèle de responsabilité partagée, vous êtes responsable de la compréhension de vos exigences de conformité et de sécurité, et de la configuration appropriée de votre environnementGoogle Cloud . Lorsque vous implémentez la compatibilité avec FedRAMP, nous vous recommandons vivement de consulter un conseiller juridique indépendant concernant vos responsabilités FedRAMP.

À propos de FedRAMP

Le framework Federal Risk and Authorization Management Program (FedRAMP) a été établi par le gouvernement fédéral américain pour standardiser l'évaluation de la sécurité, l'autorisation et la surveillance continue des produits et services cloud dans toutes les agences gouvernementales. En 2022, le Congrès a codifié le FedRAMP en tant que "programme gouvernemental qui fournit une approche standardisée et réutilisable de l'évaluation et de l'autorisation de sécurité pour les produits et services de cloud computing qui traitent des informations non classifiées utilisées par des autorités administratives".

En 2025, FedRAMP a commencé une révision importante du programme dans le cadre de l'initiative FedRAMP 20x. Ces modifications visent à adopter une surveillance et une application automatisées des bonnes pratiques de sécurité commerciale afin de répondre aux exigences de sécurité minimales pour les systèmes d'information fédéraux. FedRAMP abandonne la documentation coûteuse, inefficace et compilée manuellement au profit de rapports de sécurité axés sur les données et menés par l'industrie. Pour en savoir plus sur la façon dont Google soutient l'initiative FedRAMP 20x, consultez Accélérer FedRAMP 20x : comment Google Cloud automatise la conformité.

FedRAMP est basé sur la norme SP 800-53 du National Institute of Standards and Technology (NIST), complétée par des contrôles et des améliorations de contrôles FedRAMP. Tous les déploiements et modèles de service cloud des agences fédérales, à l'exception de certains clouds privés sur site, doivent répondre aux exigences du programme FedRAMP correspondant à leur niveau d'impact (faible, modéré ou élevé) en fonction des consignes NIST FIPS 199. Le nombre de contrôles NIST SP 800-53 dans la référence correspondante augmente à mesure que le niveau d'impact augmente. Par exemple, le modèle de référence modéré FedRAMP comporte 325 contrôles, tandis que le modèle de référence élevé FedRAMP en comporte 421.

FedRAMP est un programme d'évaluation et d'autorisation, et non une certification ou une accréditation ponctuelle. Elle inclut une surveillance continue pour garantir l'efficacité des contrôles de sécurité dans une offre de services cloud, en s'adaptant à l'évolution des paysages de menaces et aux changements d'environnement système.

Google Cloud Autorisation FedRAMP

Le FedRAMP Board (anciennement connu sous le nom de Joint Authorization Board ou JAB) est le principal organe directeur de FedRAMP. La commission FedRAMP comprend des DSI du ministère de la Défense (DoD), du ministère de la Sécurité intérieure (DHS) et de l'administration des services généraux (GSA).

La commission FedRAMP a attribué un agrément provisoire d'exploitation (P-ATO) au niveau d'impact élevé à Google Cloud et à l'infrastructure commune Google (GCI) sous-jacente. Google Cloud soumet régulièrement à la commission FedRAMP des services supplémentaires en vue d'obtenir l'autorisation au niveau d'impact élevé. L'autorisation FedRAMP au niveau d'impact élevé représente le plus haut niveau de conformité FedRAMP.

Le modèle de référence modéré du programme FedRAMP est un sous-ensemble du modèle de référence élevé. Par conséquent, une autorisation FedRAMP au niveau d'impact élevé offre une couverture complète pour toutes les exigences de contrôle FedRAMP au niveau d'impact modéré.

Pour en savoir plus sur la conformité Google Cloud FedRAMP, consultez Conformité FedRAMP.

Services concernés par l'audit

Google Cloud dispose d'un agrément provisoire d'exploitation (P-ATO) FedRAMP au niveau d'impact élevé complet qui couvre plus de 150 services cloud. Ce champ d'application vous permet de créer un large éventail d'applications sur Google Cloud et de poursuivre votre ATO FedRAMP en héritant des contrôles de sécurité de la plate-forme Google Cloud sous-jacente. Par exemple, vous pouvez utiliser des modèles de machine learning (ML) et des services d'intelligence artificielle (IA), y compris des agents d'IA, de l'IA générative et de l'IA multimodale dans vos déploiements Google Cloud.

Pour en savoir plus sur le champ d'application de l'audit FedRAMP pour Google Cloud , consultez Services FedRAMP concernés et la place de marchéGoogle Cloud FedRAMP.

IA et LLM

Google Cloud peut vous aider à respecter les exigences de conformité FedRAMP pour les charges de travail qui incluent des modèles de ML et des applications d'IA. Vous pouvez utiliser des services autorisésGoogle Cloud FedRAMP tels que Generative AI on Vertex AI et Vertex AI Inference : Batch and Online pour interagir avec plus de 200 grands modèles de langage (LLM) propriétaires, tiers et Open Source disponibles dans notre Model Garden. Pour en savoir plus, consultez la page Modèles compatibles avec Model Garden.

Les LLM individuels ne sont pas autorisés de manière indépendante dans le cadre de FedRAMP et aucune trace de leur autorisation n'est disponible sur la place de marché FedRAMP. À la place, la place de marché reflète les autorisations pour les services cloud tels que l'IA générative sur Vertex AI et Vertex AI Inference : par lot et en ligne, que Google soumet pour approbation. Toutefois, l'infrastructure cloud sous-jacente utilisée pour le déploiement des LLM doit respecter les exigences de conformité FedRAMP, y compris l'infrastructure utilisée pour la surveillance continue. Cette exigence est remplie pour les modèles gérés par Google, tels que les LLM propriétaires de Google (par exemple, la famille de modèles Gemini) et les modèles partenaires d'Anthropic, qui prennent tous en charge le débit provisionné. Par conséquent, l'utilisation des services Vertex AI autorisés par FedRAMP au niveau d'impact élevé permet d'interagir avec ces modèles compatibles dans un environnement FedRAMP au niveau d'impact élevé.

Google continue d'implémenter des dispositions de surveillance pour un plus grand nombre de LLM hébergés sur une infrastructure gérée par Google. Bien que Google soit responsable de l'autorisation de l'infrastructure de diffusion et des conteneurs personnalisés pour déployer des modèles Open Source, la sécurité de ces modèles relève de votre responsabilité.

Pour en savoir plus sur les LLM auto-déployés, consultez Présentation des modèles auto-déployés. Si vous déployez des LLM dans votre propre infrastructure de locataire Google Cloud , assurez-vous que votre évaluation ATO FedRAMP couvre cette infrastructure, et non les LLM individuels. Par exemple, vous devez respecter les exigences de surveillance continue pour l'infrastructureGoogle Cloud que vous provisionnez pour le déploiement de LLM. Vous pouvez collaborer avec votre organisme tiers d'évaluation (3PAO) et Google pour obtenir votre ATO.

Obtenir votre ATO FedRAMP

En raison des modifications apportées à FedRAMP 20x, la seule voie disponible pour obtenir l'autorisation FedRAMP est l'ATO Rev. 5 Agency. Vous devez collaborer avec Google et votre 3PAO pour effectuer les étapes menant à une ATO. Pour en savoir plus sur le processus d'obtention d'une ATO par une agence, y compris pour accéder à des ressources importantes telles que le guide d'autorisation des agences, consultez le site Web de FedRAMP.

Si vous souhaitez utiliser les services Google Cloud pour respecter vos obligations de conformité FedRAMP au niveau d'impact élevé, vous devez utiliser Data Boundary pour FedRAMP au niveau d'impact élevé. Le modèle de référence modéré du programme FedRAMP est un sous-ensemble du modèle de référence élevé. Par conséquent, si vous souhaitez obtenir une ATO FedRAMP au niveau d'impact modéré pour une solution déployée surGoogle Cloud, vous pouvez utiliser n'importe quel service Google Cloud autorisé par FedRAMP au niveau d'impact élevé dans les limites de votre autorisation FedRAMP au niveau d'impact modéré. Vous devrez évaluer moins de contrôles pour une ATO FedRAMP de niveau modéré que pour une ATO FedRAMP de niveau élevé.

Pour vous aider à obtenir votre autorisation d'exploitation FedRAMP, Google peut vous fournir les documents de conformitéGoogle Cloud FedRAMP au niveau d'impact élevé suivants dans le cadre d'un accord de non-divulgation (NDA) :

Matrice de responsabilités du client (CRM) : descriptions détaillées de vos responsabilités lors de l'implémentation des contrôles NIST SP 800-53 dans la base de référence des contrôles FedRAMP High.
Plan de sécurité du système (SSP) : limite d'autorisation de sécurité et architecture du système. Ce document fournit également des descriptions détaillées des exigences de contrôle NIST SP 800-53 et des détails d'implémentation des contrôles Google Cloud applicables au niveau de référence de contrôle FedRAMP High.

Notre équipe commerciale ou votre représentant Google Cloud peuvent vous aider à accéder à notre documentation. Si vous représentez une agence gouvernementale fédérale, vous pouvez également demander le package FedRAMP de Google via le bureau de gestion du programme FedRAMP à l'aide de son formulaire de demande.

Conseils et automatisation

Google fournit de la documentation et des solutions d'automatisation pour vous aider à respecter vos obligations de conformité avec FedRAMP, comme décrit dans cette section.

Guides sur le mappage des contrôles

Contrairement à la CRM Google Cloud FedRAMP à niveau d'impact élevé, les guides de mappage des contrôles (CMG, Control Mapping Guides) sont spécifiques à chaque service. Ces guides fournissent une couverture détaillée des contrôles pour les services Google Cloud afin que vous puissiez les configurer pour répondre aux exigences FedRAMP au niveau d'impact élevé. Les CMG traitent les contrôles NIST SP 800-53 pertinents qui nécessitent une configuration technique de votre part. Les CMG clarifient également les étapes à suivre pour un service spécifique (et tous les servicesGoogle Cloud et Google Workspace associés), afin de garantir la transparence de ces responsabilités.

Les CMG sont disponibles pour certains services Google Cloud , y compris BigQuery, Looker Studio Pro, l'IA générative sur Vertex AI, Vertex AI Search, Cloud Logging, Compute Engine, Identity and Access Management (IAM) et plus encore. Contactez notre équipe commerciale ou votre représentant Google Cloudpour accéder à cette documentation en vertu d'un accord de non-divulgation (NDA).

Guides d'implémentation FedRAMP (niveau d'impact élevé)

Les guides d'implémentation FedRAMP au niveau d'impact élevé sont destinés à couvrir les API spécifiques aux services qui sont dans le champ d'application FedRAMP au niveau d'impact élevé, y compris les fonctionnalités et les champs de données des services concernés qui conviennent au stockage des données protégées. Par exemple, ces guides décrivent les API spécifiques aux services qui répondent aux exigences FedRAMP au niveau d'impact élevé et fournissent des détails de configuration supplémentaires que vous utilisez avec le serviceGoogle Cloud spécifique pour les charges de travail FedRAMP au niveau d'impact élevé. Ces configurations ne sont pas appliquées par défaut et doivent être gérées par vous.

Des guides d'implémentation FedRAMP High sont disponibles pour certains services Google Cloud, y compris Apigee, BigQuery, Cloud Key Management Service, Logging, Google Kubernetes Engine (GKE), l'IA générative sur Vertex AI, Vertex AI Search, Cloud Storage et plus encore. Contactez notre équipe commerciale ou votre représentantGoogle Cloud pour accéder à cette documentation dans le cadre d'un accord de confidentialité.

Résidence des données et conformité avec la norme SA-9(5)

Google Cloud fournit des engagements contractuels sur la résidence des données pour les services régionaux, ce qui vous permet de configurer un service pour qu'il utilise un emplacement de données spécifique. Ces engagements permettent de s'assurer que vos données FedRAMP à niveau d'impact élevé sont stockées dans une région des États-Unis, y restent et ne sont pas déplacées vers une autre région en dehors des États-Unis. Voici quelques exemples de données FedRAMP à niveau d'impact élevé : données appartenant aux forces de l'ordre, aux services d'urgence, aux services financiers, aux systèmes de santé et de santé publique, ou à l'un des 16 secteurs d'infrastructures critiques.

Certains services Google Cloud ne sont pas régionaux ou sont mondiaux par conception. Ils ne vous permettent pas de spécifier la région dans laquelle le service est déployé. Cette approche de conception est nécessaire pour que les services mondiaux fonctionnent correctement. Certains de ces services non régionaux ou mondiaux ne sont pas impliqués dans le traitement, la transmission ni le stockage de vos données FedRAMP au niveau d'impact élevé. Les fonctionnalités de résidence des données pour les services non régionaux ou mondiaux sont limitées.

En juillet 2020, FedRAMP a publié une mise à jour du contrôle SA-9(5) de référence FedRAMP High afin de limiter l'emplacement géographique des services d'informations sur les données à fort impact aux États-Unis ou dans les territoires sous juridiction américaine. Après cette mise à jour, certains services Google Cloud ont été signalés sur la place de marché FedRAMP avec un astérisque et la précision suivante : "Les services signalés par un astérisque (*) ne répondent pas à l'exigence SA-9(5). Pour en savoir plus, veuillez consulter la lettre JAB P-ATO."

Certains Google Cloud services signalés sur la place de marché FedRAMP comme ne répondant pas aux exigences SA-9(5) n'ont pas encore été examinés par notre 3PAO en vue d'être renvoyés à la commission FedRAMP avec des preuves SA-9(5) mises à jour. Google s'efforce activement de traiter ces demandes visant à supprimer les clarifications SA-9(5) du FedRAMP Marketplace. Pour en savoir plus sur l'état de ces services, consultez l'onglet SA-9(5) dans le document CRM FedRAMP à niveau d'impact élevé.

Alors que le processus de réévaluation des services Google Cloudautorisés FedRAMP au niveau d'impact élevé avec la clarification SA-9(5) est en cours, Google vous recommande de mettre en œuvre des contrôles d'atténuation, comme décrit dans les consignes RMF, pour répondre aux restrictions géographiques des données FedRAMP au niveau d'impact élevé. Par exemple, vous devez utiliser le chiffrement des données pour établir un contrôle exclusif sur les données FedRAMP au niveau d'impact élevé, comme expliqué dans le reste de cette section.

Souveraineté numérique et résidence des données

Google met l'accent sur la souveraineté numérique, un concept qui sécurise les données, quel que soit leur emplacement physique. Cette approche s'appuie sur Assured Workloads et les clouds communautaires définis par logiciel. Elle contraste avec la souveraineté physique conventionnelle qui met l'accent sur la résidence des données.Les contrôles de souveraineté numérique Google Cloud offrent une protection renforcée des données.

La souveraineté numérique vous donne autorité sur la protection des données, ce qui vous évite de dépendre des assurances des fournisseurs de services cloud ou des évaluateurs tiers. La souveraineté numérique implique que vous contrôlez seul l'accès à vos données grâce à la propriété exclusive des clés de chiffrement des données.

Conformément aux consignes RMF, Google vous recommande de mettre en place des contrôles d'atténuation pour faire face au risque d'accès aux données FedRAMP High lors de leur transit par l'infrastructure réseau ou de leur stockage potentiel dans une région cloud non américaine. Le principal mécanisme de restriction d'accès est le chiffrement des données en transit et au repos.

Pour protéger vos données FedRAMP à niveau d'impact élevé et limiter l'accès à vos utilisateurs autorisés uniquement, vous pouvez utiliser des clés de chiffrement gérées par le client, le chiffrement des données au repos et le chiffrement des données en transit. Les sections suivantes décrivent les technologies de chiffrement des données disponibles dans Google Cloud. Le chiffrement des données permet d'empêcher la lecture de vos données FedRAMP High en transit ou l'accès à ces données par d'autres locataires et le personnel Google lorsqu'elles sont stockées au repos.

Clés de chiffrement gérées par le client

Les clés de chiffrement gérées par le client (CMEK) dans Cloud KMS vous permettent de posséder et de contrôler les clés qui protègent vos données au repos dansGoogle Cloud. Un service Google Cloudqui peut utiliser vos clés dispose d'une intégration de CMEK. Vous pouvez gérer ces CMEK directement ou via Cloud KMS Autokey. Les services compatibles avec les intégrations CMEK utilisent vos clés Cloud KMS pour chiffrer ou encapsuler vos clés de chiffrement de données (DEK). L'encapsulation des DEK avec des clés de chiffrement de clés (KEK) est appelée chiffrement encapsulé. Pour en savoir plus, consultez Bonnes pratiques d'utilisation des CMEK. Pour obtenir la liste des services compatibles avec les CMEK, consultez Services compatibles.

Avec Cloud External Key Manager (Cloud EKM), vous pouvez utiliser des clés de chiffrement que vous gérez en externe en dehors de Google Cloud pour protéger les données dans Google Cloud. Vous pouvez protéger les données au repos dans les services d'intégration de CMEK compatibles ou en appelant directement l'API Cloud Key Management Service.

Google offre les garanties suivantes concernant la sécurité des clés de chiffrement dans Cloud KMS :

Le matériel de clé déchiffré ne peut pas être exporté ni affiché, que ce soit via l'interface API ou une autre interface utilisateur.
Le personnel Google n'a pas accès au matériel de clé client non chiffré. De plus, le matériel de clé est chiffré à l'aide d'une clé principale KMS dans Keystore, et cette clé n'est pas accessible au personnel Google.
Sur un module de sécurité matérielle (HSM), le matériel de clé n'est jamais accessible dans un état déchiffré par les tâches de l'API Cloud KMS. Les HSM mis à votre disposition dans Google Cloud sont validés FIPS 140.
Les opérateurs système Google ne peuvent pas accéder au matériel de clé client, l'utiliser ni l'extraire dans le cadre de leurs tâches, comme défini dans les procédures opérationnelles standards.

La certification FIPS 140 est requise pour l'autorisation FedRAMP. Par exemple, le contrôle SC-13 Cryptographic Protection impose l'utilisation d'une cryptographie validée par FIPS ou approuvée par la NSA. Google vous fournit des modules de chiffrement pour les données au repos et en transit, qui sont validés FIPS 140.

Chiffrement des données au repos

Google Cloud chiffre les données au repos par défaut. Google Cloud fournit un chiffrement côté serveur transparent pour les services de stockage à l'aide d'un chiffrement par bloc symétrique AES-256 validé FIPS 140. Vous pouvez également créer vos propres clés de chiffrement que vous gérez avec Cloud KMS et stockez dans des HSM basés sur le cloud ou externes.

Cloud HSM vous permet d'héberger des clés de chiffrement et d'effectuer des opérations cryptographiques dans un cluster de modules HSM validés FIPS 140. Cloud HSM utilise Cloud KMS comme interface pour vous donner accès aux fonctionnalités d'intégration CMEK et aux autres fonctionnalités fournies par Cloud KMS. Comme Google Cloudutilise une cryptographie validée FIPS 140, vos données chiffrées ne sont accessibles qu'aux utilisateurs qui possèdent votre CMEK.

Google Cloud est également compatible avec les clés gérées par le client pour chiffrer les disques associés aux machines virtuelles. De plus, Google Cloud est compatible avec le chiffrement côté client, qui vous permet de chiffrer les données dans votre propre environnement d'application avant de les envoyer vers le cloud.

Chiffrement des données en transit

Google Cloud est compatible avec le chiffrement des données en transit, comme suit :

Le chiffrement transparent s'applique à l'ensemble du backbone réseau contrôlé par Google pour le trafic réseau entre les régions de centres de données et les zones de disponibilité. Ce chiffrement est implémenté au niveau de la couche physique de liaison de données (couche 2 de la pile réseau) à l'aide de Media Access Control Security (MACsec).
Le trafic de VM à VM au sein d'un réseau de cloud privé virtuel (VPC) et de réseaux VPC appairés est chiffré de manière transparente.
Au niveau de la couche application, Google vous permet d'utiliser le protocole TLS (Transport Layer Security) pour chiffrer les données en transit. De plus, les points de terminaison de service sont compatibles avec TLS pour créer une connexion HTTPS sécurisée lors des appels d'API.
Les connexions entre le VPC et votre infrastructure sur site sont disponibles à l'aide de Cloud VPN, qui crée un tunnel chiffré sécurisé sur Internet ou via des circuits privés directs.

Le chiffrement des données en transit inclut le chiffrement en transit entre l'utilisateur final et Google, ainsi que le chiffrement en transit au sein des réseaux Google. Pour en savoir plus, consultez Chiffrement en transit pourGoogle Cloud.

Étapes suivantes

Pour commencer à obtenir l'autorisation FedRAMP pour votre déploiementGoogle Cloud , consultez les ressources suivantes :

Conseils d'implémentation de FedRAMP sur Google Cloud Restez organisé à l'aide des collections Enregistrez et classez les contenus selon vos préférences.