במסמך הזה מוסבר איך Google Cloud תומך בדרישות התאימות ל-FedRAMP, ומפנים אתכם למקורות מידע להגדרת שירותים בהתאם לדרישות FedRAMP. המסמך הזה מיועד לאנשי אבטחה, תאימות ו-IT שאחראים על יישום התאימות ל-FedRAMP ב-Google Cloud.
בהתאם למודל האחריות המשותפת, אתם אחראים להבין את דרישות התאימות והאבטחה שלכם ולהגדיר אתGoogle Cloud הסביבה שלכם בהתאם. כשמטמיעים תמיכה ב-FedRAMP, מומלץ מאוד לקבל ייעוץ משפטי בלתי תלוי בנוגע לאחריות שלכם במסגרת FedRAMP.
מידע על FedRAMP
מסגרת התוכנית הפדרלית לניהול סיכונים והרשאות (FedRAMP) הוקמה על ידי הממשל הפדרלי בארה"ב כדי ליצור סטנדרטיזציה של הערכת האבטחה, ההרשאה והמעקב השוטף של מוצרים ושירותים בענן בכל הרשויות הממשלתיות. בשנת 2022, הקונגרס קבע את FedRAMP כ "תוכנית כלל-ממשלתית שמספקת גישה סטנדרטית וניתנת לשימוש חוזר להערכת אבטחה והרשאה למוצרים ולשירותים של מחשוב ענן שמבצעים עיבוד של מידע לא מסווג שמשמש סוכנויות".
בשנת 2025, התחלנו ב-FedRAMP לשנות באופן משמעותי את התוכנית כחלק מיוזמת FedRAMP 20x. השינויים האלה נועדו לאמץ ניטור ואכיפה אוטומטיים של שיטות מומלצות לאבטחה מסחרית, כדי לעמוד בדרישות האבטחה המינימליות של מערכות מידע פדרליות. FedRAMP עובר מתיעוד יקר, לא יעיל ומורכב ידנית לדיווח אבטחה מבוסס-נתונים בהובלת התעשייה. מידע על התמיכה של Google ביוזמת FedRAMP 20x מופיע במאמר האצת FedRAMP 20x: איך Google Cloud מבצעת אוטומציה של התאימות.
FedRAMP מבוסס על התקן SP 800-53 של המכון הלאומי לתקנים וטכנולוגיה (NIST), בתוספת אמצעי בקרה ושיפורים של FedRAMP. כל הפריסות בענן של סוכנויות פדרליות ומודלים של שירותים, מלבד עננים פרטיים מסוימים מקומיים, צריכים לעמוד בדרישות FedRAMP ברמת ההשפעה המתאימה על הסיכון (נמוכה, בינונית או גבוהה) על סמך ההנחיות של NIST FIPS 199. מספר אמצעי הבקרה של NIST SP 800-53 בערך הבסיס המתאים עולה ככל שרמת ההשפעה עולה. לדוגמה, בסיס FedRAMP Moderate כולל 325 אמצעי בקרה, ואילו בסיס FedRAMP High כולל 421 אמצעי בקרה.
FedRAMP היא תוכנית להערכה ולאישור, ולא אישור או הסמכה חד-פעמיים. היא כוללת ניטור רציף כדי להבטיח את היעילות של אמצעי בקרת האבטחה בשירותי ענן, והיא מותאמת לשינויים בסביבת המערכת ולשינויים בנוף האיומים.
Google Cloud אישור FedRAMP
המועצה של FedRAMP (לשעבר Joint Authorization Board או JAB) היא הגוף המנהל העיקרי של FedRAMP. המועצה של FedRAMP כוללת מנהלי מידע (CIO) ממשרד ההגנה (DoD), ממשרד ביטחון המולדת (DHS) וממינהל השירותים הכלליים (GSA).
מועצת FedRAMP הנפיקה ל- Google Cloud ולתשתית המשותפת הבסיסית של Google (GCI) אישור זמני (P-ATO) לפעילות בהתאם לתקן FedRAMP High. אישור FedRAMP High מייצג את הרף הגבוה ביותר של תאימות ל-FedRAMP.
בעקבות שיפורים ב-FedRAMP 20x, GSA הפכה לסוכנות המאשרת עבור Google Cloud, שמגישה באופן שוטף שירותים נוספים ל-GSA לקבלת אישור FedRAMP High. הבסיס לשליטה ב-FedRAMP Moderate הוא קבוצת משנה של הבסיס לשליטה ב-FedRAMP High. לכן, אישור FedRAMP High מספק כיסוי מקיף לכל דרישות הבקרה של FedRAMP Moderate.
מידע נוסף על Google Cloud תאימות ל-FedRAMP זמין במאמר תאימות ל-FedRAMP.
שירותים בהיקף הביקורת
Google Cloud maintains a comprehensive FedRAMP High P-ATO that covers more than 150 cloud services. ההיקף הזה מאפשר לכם ליצור מגוון רחב של אפליקציות ב- Google Cloud ולקבל אישור הפעלה (ATO) של FedRAMP על ידי שימוש באמצעי אבטחה מהפלטפורמה הבסיסית של Google Cloud . לדוגמה, אתם יכולים להשתמש במודלים של למידת מכונה (ML) ובשירותי בינה מלאכותית (AI), כולל סוכני AI, AI גנרטיבי ו-AI מולטימודאלי בפריסות שלכם ב- Google Cloud.
מידע נוסף על היקף הביקורת של FedRAMP זמין במאמרים היקף התאימות ל-FedRAMP ול-DoD וב- Google Cloud FedRAMP Marketplace. Google Cloud
AI ו-LLM
Google Cloud יכול לעזור לכם לעמוד בדרישות התאימות של FedRAMP לעומסי עבודה שכוללים מודלים של ML ויישומי AI. אתם יכולים להשתמש בשירותים שאושרו על ידי FedRAMP, כמו AI גנרטיבי ב-Vertex AI ו Vertex AI Inference: Batch and Online, כדי ליצור אינטראקציה עם יותר מ-200 מודלים גדולים של שפה (LLM) של צד ראשון, צד שלישי וקוד פתוח שזמינים ב-Model Garden.Google Cloud מידע נוסף זמין במאמר בנושא מודלים שנתמכים ב-Model Garden.
מודלים גדולים של שפה (LLM) לא מאושרים באופן עצמאי במסגרת FedRAMP, ואין רישום של האישור שלהם ב-FedRAMP Marketplace. במקום זאת, ב-Marketplace מוצגים אישורים לשירותי ענן כמו AI גנרטיבי ב-Vertex AI ו-Vertex AI Inference: Batch ו-Online, ש-Google שולחת לאישור. עם זאת, תשתית הענן הבסיסית שמשמשת לפריסת LLM צריכה לעמוד בדרישות התאימות של FedRAMP, כולל התשתית שמשמשת לניטור מתמשך. הדרישה הזו מתקיימת במודלים שמנוהלים על ידי Google, כמו מודלים של LLM של צד ראשון של Google (לדוגמה, משפחת המודלים של Gemini) ומודלים של שותפים מ-Anthropic, שכולם תומכים בהקצאת משאבים לפי התפוקה שנקבעה. לכן, שימוש בשירותי Vertex AI שאושרו על ידי FedRAMP High מאפשר אינטראקציה עם המודלים הנתמכים האלה בסביבת FedRAMP High.
Google ממשיכה להטמיע אמצעי מעקב עבור מודלים נוספים של LLM שמתארחים בתשתית שמנוהלת על ידי Google. למרות ש-Google אחראית לאישור של תשתית ההצגה ושל קונטיינרים בהתאמה אישית לפריסת מודלים בקוד פתוח, אתם אחראים לאבטחת המודלים בקוד פתוח.
מידע נוסף על מודלים של LLM שמוטמעים באופן עצמאי זמין במאמר סקירה כללית על מודלים שמוטמעים באופן עצמאי. אם אתם פורסים מודלים של LLM בתשתית של הדייר שלכם ב- Google Cloud FedRAMP, ודאו שההערכה של ה-ATO שלכם מכסה את התשתית הזו, ולא את מודלי ה-LLM הנפרדים. לדוגמה, אתם צריכים לעמוד בדרישות של ניטור רציף שלGoogle Cloud התשתית שאתם מקצים לפריסת LLM. אתם יכולים לשתף פעולה עם ארגון צד שלישי להערכה (3PAO) ועם Google כדי להשיג את אישור ההפעלה (ATO).
קבלת אישור הפעלה (ATO) של FedRAMP
בהתאם לשינויים שמתבצעים ב-FedRAMP 20x, הדרך לקבלת אישור FedRAMP היא באמצעות Rev. 5 Agency ATO. כדי להשלים את השלבים שמובילים ל-ATO, צריך לעבוד עם Google ועם 3PAO. מידע על תהליך ה-ATO של הסוכנות, כולל קישורים למקורות מידע חשובים כמו מדריך ההרשאות של הסוכנות, זמין באתר FedRAMP.
אם אתם רוצים להשתמש בשירותים כדי לעמוד בדרישות התאימות ל-FedRAMP High, אתם צריכים להשתמש ב-Data Boundary for FedRAMP High. Google Cloud הבסיס של בקרת FedRAMP Moderate הוא קבוצת משנה של הבסיס של בקרת FedRAMP High. לכן, אם אתם רוצים לקבל אישור ATO ברמת FedRAMP Moderate לפתרון שמוטמע ב-Google Cloud, אתם יכולים להשתמש בכל שירות של Google Cloud שאושר ברמת FedRAMP High בגבול ההרשאה שלכם ברמת FedRAMP Moderate. כדי לקבל אישור ATO של FedRAMP Moderate, צריך להעריך פחות אמצעי בקרה בהשוואה לאמצעי הבקרה שצריך להעריך כדי לקבל אישור ATO של FedRAMP High.
כדי לעזור לכם לקבל אישור הפעלה (ATO) של FedRAMP, Google יכולה לספק לכם את המסמכים הבאים בנושא תאימות ל-FedRAMP High במסגרת הסכם סודיות (NDA):Google Cloud
- מטריצת אחריות הלקוח (CRM): תיאורים מפורטים של האחריות שלכם כשמטמיעים את אמצעי הבקרה של NIST SP 800-53 בבסיס אמצעי הבקרה של FedRAMP High.
- תוכנית אבטחת מערכת (SSP): גבול הרשאת האבטחה והארכיטקטורה של המערכת. במסמך הזה מפורטים גם תיאורים של דרישות הבקרה של NIST SP 800-53 ופרטים על הטמעה של אמצעי בקרה שרלוונטיים לבסיס הבקרה של FedRAMP High. Google Cloud
צוות המכירות שלנו או הנציג שלכם יכולים לעזור לכם לקבל גישה לתיעוד הזה. Google Cloudאם אתם נציגים של סוכנות ממשלתית פדרלית, אתם יכולים גם לבקש את חבילת FedRAMP של Google באמצעות טופס הבקשה לגישה לחבילת FedRAMP.
הנחיות ופעולות אוטומטיות
Google מספקת מסמכי הדרכה ופתרונות אוטומציה שיעזרו לכם לעמוד בדרישות התאימות של FedRAMP, כפי שמתואר בקטע הזה.
הגדרת מדריכי מיפוי
בניגוד ל-CRM המקיף של Google Cloud FedRAMP High, מדריכי מיפוי אמצעי הבקרה (CMG) הם ספציפיים לשירות. במדריכים האלה מוסבר בפירוט איך לשלוט בשירותים של Google Cloud כדי שתוכלו להגדיר אותם בהתאם לדרישות של FedRAMP High. ה-CMG מתייחסים לאמצעי הבקרה הרלוונטיים של NIST SP 800-53 שדורשים הגדרה טכנית מצדכם. בנוסף, ה-CMG מפרט את השלבים שצריך לבצע בשירות מסוים (ובכל שירות תומך שלGoogle Cloud ו-Google Workspace), כדי להבטיח שהאחריות הזו תהיה שקופה.
קבוצות CMG זמינות לשירותים נבחרים Google Cloud , כולל BigQuery, Looker Studio Pro, Generative AI ב-Vertex AI, חיפוש מבוסס-Vertex AI, Cloud Logging, Compute Engine, ניהול זהויות והרשאות גישה (IAM) ועוד. כדי לקבל גישה למסמכים האלה במסגרת הסכם סודיות (NDA), אפשר לפנות לצוות המכירות או לנציג Google Cloud.
מדריכי הטמעה של FedRAMP High
מדריכי ההטמעה של FedRAMP High מיועדים לכיסוי של ממשקי API ספציפיים לשירות שנמצאים בהיקף של FedRAMP High, כולל תכונות שירות מושפעות ושדות נתונים שמתאימים לאחסון נתונים מוגנים. לדוגמה, במדריכים האלה מתוארים ממשקי API ספציפיים לשירות שעומדים בדרישות של FedRAMP High, ומסופקים פרטים נוספים על ההגדרה שבהם משתמשים עם השירות הספציפי Google Cloudעבור עומסי עבודה של FedRAMP High. התצורות האלה לא נאכפות כברירת מחדל, ואתם צריכים לנהל אותן.
מדריכי הטמעה של FedRAMP High זמינים לשירותים נבחרים Google Cloud, כולל Apigee, BigQuery, Cloud Key Management Service, Logging, Google Kubernetes Engine (GKE), Generative AI ב-Vertex AI, חיפוש מבוסס-Vertex AI, Cloud Storage ועוד. כדי לקבל גישה למסמכים האלה במסגרת הסכם סודיות, צריך לפנות לצוות המכירות או לנציגGoogle Cloud .
המיקום של נתונים ותאימות לתקן SA-9(5)
כשפורסים את האפליקציה ב- Google Cloud, הדרישות בנוגע למיקום הנתונים ב-FedRAMP חלות רק על בסיס הבקרה FedRAMP High. כדי לאכוף את הדרישות האלה, צריך לבחור באפשרות Assured Workloads Data Boundary for FedRAMP High. אם אתם מנסים לקבל הרשאה ברמת FedRAMP Moderate ובחרתם ב-Assured Workloads Data Boundary for FedRAMP Moderate, לא יהיו לכם אמצעי בקרה על מיקום הנתונים כי הדרישות לא חלות עליכם.
Google Cloud מספקת התחייבויות חוזיות לגבי מיקום הנתונים בשירותים אזוריים, שמאפשרות לכם להגדיר שירות לשימוש במיקום נתונים ספציפי. ההתחייבויות האלה עוזרות להבטיח שהנתונים שלכם ברמת FedRAMP High מאוחסנים באזור בארצות הברית, יישארו בארצות הברית ולא יועברו לאזור אחר מחוץ לארצות הברית. דוגמאות לנתונים ברמת FedRAMP High כוללות נתונים ששייכים לרשויות אכיפת החוק, לשירותי חירום, לשירותים פיננסיים, למערכות בריאות ולמערכות בריאות הציבור, או לכל אחד מ-16 הסקטורים של התשתית הקריטית.
שירותים מסוימים Google Cloud הם לא אזוריים או גלובליים, ואי אפשר לציין את האזור שבו השירות נפרס. הגישה הזו נדרשת כדי שהשירותים הגלובליים יפעלו בצורה תקינה. חלק מהשירותים האלה, שהם לא אזוריים או גלובליים, לא מעורבים בעיבוד, בהעברה או באחסון של נתוני FedRAMP High שלכם. היכולות של שמירת נתונים במקום מסוים בשירותים לא אזוריים או גלובליים הן מוגבלות.
ביולי 2020, FedRAMP פרסמה עדכון לבסיס הנתונים של FedRAMP High SA-9(5) כדי להגביל את המיקום הגיאוגרפי של שירותי מידע על נתונים בעלי השפעה גבוהה לארצות הברית או לטריטוריות שנמצאות תחת סמכות השיפוט של ארה"ב. אחרי העדכון הזה, חלק מהשירותים סומנו בFedRAMP Marketplace בכוכבית וההבהרה הבאה: 'שירותים שמסומנים בכוכבית (*) לא עומדים בדרישה SA-9(5)'. Google Cloud מידע נוסף זמין במכתב בנושא JAB P-ATO".
שירותים מסוימים Google Cloud שסומנו ב-FedRAMP Marketplace ככאלה שלא עומדים בדרישות SA-9(5) עדיין לא נבדקו על ידי 3PAO לצורך הגשה מחדש ל-GSA עם הוכחות מעודכנות לעמידה בדרישות SA-9(5). Google פועלת באופן פעיל כדי להסיר את ההבהרות בנושא SA-9(5) מ-FedRAMP Marketplace. מידע נוסף על הסטטוס של השירותים האלה זמין בכרטיסייה SA-9(5) במסמך FedRAMP High CRM.
בזמן שאנחנו בודקים מחדש את השירותים שאושרו על ידי FedRAMP High Google Cloud בהתאם להבהרה SA-9(5), Google ממליצה להטמיע אמצעי בקרה לצמצום הסיכון, כפי שמתואר בהנחיות RMF, כדי לטפל בהגבלות הגיאוגרפיות על נתונים ברמת FedRAMP High. לדוגמה, אפשר להשתמש בהצפנת נתונים כדי לקבל שליטה בלעדית על נתונים ברמת FedRAMP High, כמו שמוסבר בהמשך הקטע הזה.
ריבונות דיגיטלית ומיקום הנתונים
Google מדגישה את הריבונות הדיגיטלית, קונספט שמבטיח את אבטחת הנתונים ללא קשר למיקום הפיזי. הגישה הזו מתבססת על Assured Workloads ועל ענן קהילתי מוגדר באמצעות תוכנה. בניגוד לריבונות פיזית רגילה שמתמקדת במיקום הנתונים, Google Cloud אמצעי הבקרה של הריבונות הדיגיטלית מספקים הגנה משופרת על הנתונים.
ריבונות דיגיטלית מעניקה לכם סמכות על הגנה על נתונים, ומבטלת את הצורך להסתמך על הבטחות מספקי ענן או ממעריכים של צד שלישי. ריבונות דיגיטלית פירושה שיש לכם שליטה בלעדית על הגישה לנתונים שלכם באמצעות בעלות בלעדית על מפתחות הצפנה של הנתונים.
בהתאם להנחיות של RMF, Google ממליצה להטמיע אמצעי בקרה לצמצום הסיכון לגישה לנתונים ברמת FedRAMP High בזמן שהם מועברים בתשתית הרשת או במהלך אחסון פוטנציאלי באזור ענן שאינו בארה"ב. המנגנון העיקרי להגבלת הגישה הוא הצפנת נתונים בזמן ההעברה ובמצב מנוחה.
כדי להגן על הנתונים שלכם ברמת FedRAMP High ולהגביל את הגישה רק למשתמשים מורשים, אתם יכולים להשתמש במפתחות הצפנה בניהול הלקוח להצפנת נתונים במצב מנוחה. Google Cloud מספקת גם הצפנת נתונים במעבר. בקטעים הבאים מתוארות טכנולוגיות הצפנת הנתונים שזמינות לכם ב- Google Cloud. הצפנת נתונים עוזרת למנוע קריאה של נתונים ברמת FedRAMP High בזמן ההעברה או גישה אליהם על ידי דיירים אחרים ועובדי Google בזמן שהם מאוחסנים במצב מנוחה.
מפתחות הצפנה בניהול הלקוח
מפתחות הצפנה בניהול הלקוח (CMEK) ב-(Cloud KMS) מאפשרים לכם להיות הבעלים של המפתחות שמגנים על הנתונים באחסון ב- Google Cloudולשלוט בהם.Google Cloud שירות שיכול להשתמש במפתחות שלכם כולל שילוב CMEK. אפשר לנהל את מפתחות ה-CMEK האלה ישירות או דרך Cloud KMS Autokey. שירותים שתומכים בשילובים של CMEK משתמשים במפתחות Cloud KMS שלכם כדי להצפין או לארוז את מפתחות ההצפנה של הנתונים (DEK). אריזת מפתחות DEK באמצעות מפתחות להצפנת מפתחות הצפנה (KEK) נקראת הצפנת מעטפת. מידע נוסף זמין במאמר שיטות מומלצות לשימוש במפתחות CMEK. רשימת השירותים שתומכים ב-CMEK מופיעה במאמר שירותים תואמים.
בעזרת Cloud External Key Manager (Cloud EKM) אפשר להשתמש במפתחות הצפנה שמנוהלים חיצונית מחוץ ל- Google Cloud כדי להגן על נתונים בתוך Google Cloud. אתם יכולים להגן על נתונים באחסון בשירותים נתמכים לשילוב CMEK או על ידי קריאה ישירה ל-Cloud Key Management Service API.
Google מציעה את ההבטחות הבאות לגבי האבטחה של מפתחות ההצפנה ב-Cloud KMS:
- אי אפשר לייצא ולהציג חומר מפתח מפוענח דרך ממשק ה-API וגם לא באמצעות ממשק משתמש אחר.
- לאנשי Google אין גישה לחומרי מפתחות של לקוחות שלא מוצפנים. בנוסף, חומר המפתח מוצפן באמצעות מפתח מאסטר של KMS ב-Keystore, ולצוות של Google אין גישה למפתח המאסטר של KMS.
- במודול אבטחה לחומרה (HSM), אף פעם לא מתבצעת גישה לחומר מפתח במצב מפוענח, על ידי משימות ב-Cloud KMS API. ה-HSM שזמינים לכם ב- Google Cloud עברו אימות FIPS 140.
- לאופרטורים של מערכות Google אין גישה לחומרי מפתחות של לקוחות, והם לא יכולים להשתמש בהם או לחלץ אותם כשהם מבצעים את המשימות שלהם, כפי שמוגדר בתהליכי ההפעלה הרגילים.
אימות FIPS 140 נדרש לאישור FedRAMP. לדוגמה, אמצעי הבקרה SC-13 Cryptographic Protection מחייב שימוש בקריפטוגרפיה שאומתה על ידי FIPS 140 או בקריפטוגרפיה שאושרה על ידי NSA. Google מספקת לכם מודולים קריפטוגרפיים להצפנת נתונים במנוחה ובמעבר, עם אימות FIPS 140.
הצפנה במנוחה
Google Cloud encrypts data at rest by default. Google Cloud provides transparent server-side encryption for storage services using a FIPS 140 validated AES-256 symmetric block cipher. אתם יכולים גם ליצור מפתחות הצפנה משלכם, לנהל אותם באמצעות Cloud KMS ולאחסן אותם ב-HSM מבוסס-ענן או חיצוני.
Cloud HSM מאפשר לכם לארח מפתחות הצפנה ולבצע פעולות קריפטוגרפיות באשכול של מודולי HSM עם אימות FIPS. שירות Cloud HSM משתמש ב-Cloud KMS כקצה קדמי כדי לתת לכם גישה ליכולות שילוב של CMEK ולתכונות אחרות ש-Cloud KMS מספק. כי Google Cloudמשתמשים בקריפטוגרפיה חזקה מאומתת FIPS 140, כך שרק משתמשים שיש להם את מפתח ה-CMEK שלכם יכולים לגשת לנתונים המוצפנים.
Google Cloud תומך גם במפתחות בניהול הלקוח לצורך הצפנה של דיסקים שמצורפים למכונות וירטואליות. בנוסף, Google Cloud תומך בהצפנה מצד הלקוח, שמאפשרת להצפין נתונים בסביבת האפליקציה שלכם לפני שאתם שולחים אותם לענן.
הצפנת נתונים בזמן ההעברה
Google Cloud מספקת תמיכה בהצפנת נתונים בזמן ההעברה, באופן הבא:
- ההצפנה השקופה מתרחשת בכל עמוד השדרה של הרשת שנמצאת בשליטת Google, בתעבורת הרשת בין אזורים של מרכזי נתונים ואזורי זמינות. ההצפנה הזו מיושמת בשכבת קישור הנתונים הפיזית (שכבה 2 במערך הרשת) באמצעות אבטחת בקרת גישה למדיה (MACsec).
- תעבורת נתונים מ-VM ל-VM בתוך רשת של ענן וירטואלי פרטי (VPC) ורשתות VPC שמקושרות לרשתות שכנות, מוצפנת באופן שקוף.
- בשכבת האפליקציה, Google מאפשרת להשתמש בTransport Layer Security (TLS) להצפנת נתונים בזמן ההעברה. בנוסף, נקודות הקצה של השירות תומכות ב-TLS כדי ליצור חיבור HTTPS מאובטח כשמבצעים קריאות ל-API.
- אפשר ליצור חיבורים בין VPC לבין התשתית המקומית באמצעות Cloud VPN, שיוצר מנהרה מאובטחת ומוצפנת באינטרנט או באמצעות מעגלים פרטיים ישירים.
הצפנה של נתונים במעבר כוללת הצפנה במעבר בין משתמש הקצה לבין Google, והצפנה במעבר בתוך הרשתות של Google. מידע נוסף זמין במאמר בנושא הצפנה במעבר ב-Google Cloud.
המאמרים הבאים
כדי להתחיל בתהליך קבלת אישור FedRAMP לפריסה שלכם, כדאי לעיין במידע הבא: Google Cloud
- היקף התאימות ל-FedRAMP ול-DoD
- הגדרת רשתות ל-FedRAMP ול-DoD ב-Google Cloud
- הצעה לתאימות ל-FedRAMP ב- Google Cloud
- עמידה בדרישות רגולטוריות, בדרישות תאימות ובדרישות פרטיות
- אחריות משותפת וגורל משותף ב-Google Cloud
- גבולות נתונים באמצעות Assured Workloads
- מוצרים נתמכים לפי חבילת בקרה
- הרישום של Google Cloudב-FedRAMP Marketplace
- FedRAMP 20x Initiative
- FedRAMP Rev 5 Agency Authorization
- מסמכים ותבניות של FedRAMP
- NIST SP 800-53: Security and Privacy Controls for Information Systems and Organizations
- NIST SP 800-37: Risk Management Framework for Information Systems and Organizations: A System Life Cycle Approach for Security and Privacy
- NIST FIPS 199: תקנים לסיווג אבטחה של מידע פדרלי ומערכות מידע