Panduan penerapan FedRAMP di Google Cloud

Dokumen ini menjelaskan cara Google Cloud mendukung kebutuhan kepatuhan FedRAMP Anda dan mengarahkan Anda ke resource untuk mengonfigurasi layanan agar memenuhi persyaratan FedRAMP. Dokumen ini dirancang untuk personel keamanan, kepatuhan, dan IT yang bertanggung jawab atas penerapan dan kepatuhan FedRAMP diGoogle Cloud.

Menurut model tanggung jawab bersama, Anda bertanggung jawab untuk memahami persyaratan kepatuhan dan keamanan Anda serta mengonfigurasi lingkunganGoogle Cloud Anda dengan tepat. Saat menerapkan dukungan FedRAMP, sebaiknya Anda meminta nasihat hukum independen terkait tanggung jawab FedRAMP Anda.

Tentang FedRAMP

Framework Federal Risk and Authorization Management Program (FedRAMP) ditetapkan oleh pemerintah Federal Amerika Serikat untuk menstandardisasi penilaian keamanan, otorisasi, dan pemantauan berkelanjutan produk dan layanan cloud di semua lembaga pemerintah. Pada tahun 2022, Kongres menyusun FedRAMP sebagai "program tingkat Pemerintah yang menyediakan pendekatan standar dan dapat digunakan kembali terkait penilaian keamanan dan otorisasi untuk produk dan layanan cloud computing yang memproses informasi terkontrol yang tidak rahasia yang digunakan oleh lembaga pemerintah".

Pada tahun 2025, FedRAMP memulai revisi program yang signifikan sebagai bagian dari inisiatif FedRAMP 20x. Perubahan ini bertujuan untuk menerapkan pemantauan dan penegakan otomatis praktik terbaik keamanan komersial untuk memenuhi persyaratan keamanan minimum bagi sistem informasi federal. FedRAMP sedang beralih dari dokumentasi yang mahal, tidak efisien, dan disusun secara manual ke pelaporan keamanan berbasis data yang dipimpin industri. Untuk mengetahui informasi tentang cara Google mendukung inisiatif FedRAMP 20x, lihat Mempercepat FedRAMP 20x: Cara mengotomatiskan kepatuhan Google Cloud .

FedRAMP didasarkan pada standar National Institute of Standards and Technology (NIST) SP 800-53, yang dilengkapi dengan kontrol dan peningkatan kontrol FedRAMP. Semua model layanan dan deployment cloud lembaga pemerintah federal, selain cloud pribadi lokal tertentu, harus memenuhi persyaratan FedRAMP pada tingkat dampak risiko yang sesuai (Rendah, Sedang, atau Tinggi) berdasarkan pedoman NIST FIPS 199. Jumlah kontrol NIST SP 800-53 dalam baseline yang sesuai meningkat seiring dengan peningkatan tingkat dampaknya. Misalnya, dasar pengukuran FedRAMP Moderate memiliki 325 kontrol, sedangkan dasar pengukuran FedRAMP High memiliki 421 kontrol.

FedRAMP adalah program penilaian dan otorisasi, bukan sertifikasi atau akreditasi satu kali. Hal ini mencakup pemantauan berkelanjutan untuk memastikan efektivitas kontrol keamanan dalam penawaran layanan cloud, yang beradaptasi dengan lanskap ancaman yang terus berkembang dan perubahan lingkungan sistem.

Google Cloud Otorisasi FedRAMP

Dewan FedRAMP (sebelumnya dikenal sebagai Dewan Otorisasi Bersama atau JAB) adalah badan pengatur utama untuk FedRAMP. Dewan FedRAMP mencakup CIO dari Department of Defense (DoD), Department of Homeland Security (DHS), dan General Services Administration (GSA).

Dewan FedRAMP telah menerbitkan Provisional Authority to Operate (P-ATO) FedRAMP High untuk Google Cloud dan Google Common Infrastructure (GCI) yang mendasarinya. Google Cloud secara rutin mengirimkan layanan tambahan kepada Dewan untuk mendapatkan otorisasi FedRAMP High. Otorisasi FedRAMP High mewakili standar tertinggi untuk kepatuhan FedRAMP.

Dasar pengukuran kontrol FedRAMP Moderate adalah subset dari dasar pengukuran kontrol FedRAMP High. Oleh karena itu, otorisasi FedRAMP High memberikan cakupan komprehensif untuk semua persyaratan kontrol FedRAMP Moderate.

Untuk mengetahui informasi selengkapnya tentang Google Cloud kepatuhan terhadap FedRAMP, lihat Kepatuhan terhadap FedRAMP.

Layanan dalam cakupan audit

Google Cloud mempertahankan P-ATO FedRAMP High yang komprehensif yang mencakup lebih dari 150 layanan cloud. Cakupan ini memungkinkan Anda membangun berbagai aplikasi di Google Cloud dan mendapatkan ATO FedRAMP dengan mewarisi kontrol keamanan dari platform Google Cloud yang mendasarinya. Misalnya, Anda dapat menggunakan model machine learning (ML) dan layanan kecerdasan buatan (AI), termasuk agen AI, AI generatif, dan AI multimodal dalam deployment Anda. Google Cloud

Untuk mengetahui informasi selengkapnya tentang Google Cloud cakupan audit FedRAMP, lihat Layanan FedRAMP yang termasuk dalam cakupan dan Google Cloud FedRAMP Marketplace.

AI dan LLM

Google Cloud dapat membantu Anda memenuhi persyaratan kepatuhan FedRAMP untuk workload yang mencakup model ML dan aplikasi AI. Anda dapat menggunakan Google Cloud layanan yang diizinkan FedRAMP seperti AI Generatif di Vertex AI dan Vertex AI Inference: Batch dan Online untuk berinteraksi dengan lebih dari 200 model bahasa besar (LLM) pihak pertama, pihak ketiga, dan open source yang tersedia di Model Garden kami. Untuk mengetahui informasi selengkapnya, lihat Model yang didukung oleh Model Garden.

LLM individual tidak diotorisasi secara independen berdasarkan FedRAMP dan tidak ada catatan otorisasinya di FedRAMP Marketplace. Sebagai gantinya, Marketplace mencerminkan otorisasi untuk layanan cloud seperti AI Generatif di Vertex AI dan Inferensi Vertex AI: Batch dan Online, yang dikirimkan Google untuk mendapatkan persetujuan. Namun, infrastruktur cloud yang mendasarinya yang digunakan untuk deployment LLM harus mematuhi persyaratan kepatuhan FedRAMP, termasuk infrastruktur yang digunakan untuk pemantauan berkelanjutan. Persyaratan ini dipenuhi untuk model yang dikelola Google, seperti LLM pihak pertama Google (misalnya, rangkaian model Gemini) dan model partner dari Anthropic, yang semuanya mendukung Throughput yang Disediakan. Oleh karena itu, penggunaan layanan Vertex AI yang diotorisasi FedRAMP High memungkinkan interaksi dengan model yang didukung ini di lingkungan FedRAMP High.

Google terus menerapkan ketentuan pemantauan untuk lebih banyak LLM yang dihosting di infrastruktur yang dikelola Google. Meskipun Google bertanggung jawab untuk mengizinkan infrastruktur penayangan dan container yang dibuat khusus untuk men-deploy model open source, keamanan model open source adalah tanggung jawab Anda.

Untuk mengetahui informasi selengkapnya tentang LLM yang di-deploy sendiri, lihat Ringkasan model yang di-deploy sendiri. Jika Anda men-deploy LLM ke infrastruktur tenant Google Cloud Anda sendiri, pastikan penilaian ATO FedRAMP Anda mencakup infrastruktur tersebut, bukan LLM individual. Misalnya, Anda harus memenuhi persyaratan pemantauan berkelanjutan untuk infrastrukturGoogle Cloud yang Anda sediakan untuk deployment LLM. Anda dapat berkolaborasi dengan organisasi penilaian pihak ketiga (3PAO) dan Google untuk mendapatkan ATO.

Mendapatkan ATO FedRAMP

Berdasarkan perubahan FedRAMP 20x yang sedang berlangsung, jalur yang tersedia untuk otorisasi FedRAMP adalah ATO Lembaga Rev. 5. Anda harus bekerja sama dengan Google dan 3PAO Anda untuk menyelesaikan langkah-langkah yang mengarah pada ATO. Untuk mengetahui informasi tentang proses ATO agensi, termasuk link ke referensi penting seperti panduan otorisasi agensi, lihat situs FedRAMP.

Jika Anda ingin menggunakan layanan Google Cloud untuk memenuhi kewajiban kepatuhan FedRAMP High, Anda harus menggunakan Data Boundary untuk FedRAMP High. Dasar pengukuran kontrol FedRAMP Moderate adalah subset dari dasar pengukuran kontrol FedRAMP High. Oleh karena itu, jika Anda menginginkan ATO FedRAMP Moderate untuk solusi yang di-deploy di Google Cloud, Anda dapat menggunakan layanan Google Cloud apa pun yang diotorisasi FedRAMP High dalam batas otorisasi FedRAMP Moderate Anda. Anda akan perlu menilai lebih sedikit kontrol untuk ATO FedRAMP Moderate dibandingkan dengan kontrol yang harus Anda nilai untuk ATO FedRAMP High.

Untuk membantu ATO FedRAMP Anda, Google dapat menyediakan dokumentasi kepatuhan FedRAMP High berikut untuk Anda berdasarkan perjanjian kerahasiaan (NDA):Google Cloud

• Customer Responsibility Matrix (CRM): deskripsi mendetail tentang tanggung jawab Anda saat menerapkan kontrol NIST SP 800-53 dalam dasar kontrol FedRAMP High.
• Rencana Keamanan Sistem (SSP): batas otorisasi keamanan dan cara arsitektur sistem. Dokumen ini juga memberikan deskripsi mendalam tentang persyaratan kontrol NIST SP 800-53 dan detail penerapan kontrol yang berlaku untuk dasar pengukuran kontrol Tinggi FedRAMP. Google Cloud

Tim penjualan kami atau perwakilan Google Cloud Anda dapat membantu memberikan akses ke dokumentasi ini. Jika Anda adalah lembaga pemerintah federal, Anda juga dapat meminta paket FedRAMP Google melalui FedRAMP Program Management Office menggunakan formulir permintaan paket tersebut.

Panduan dan otomatisasi

Google menyediakan dokumentasi panduan dan solusi otomatisasi untuk membantu Anda memenuhi kewajiban kepatuhan terhadap FedRAMP, seperti yang dijelaskan di bagian ini.

Panduan pemetaan kontrol

Tidak seperti CRM FedRAMP High yang komprehensif Google Cloud , panduan pemetaan kontrol (CMG) bersifat khusus untuk layanan. Panduan ini memberikan cakupan kontrol terperinci untuk layanan Google Cloud sehingga Anda dapat mengonfigurasi layanan untuk memenuhi persyaratan FedRAMP High. CMG menangani kontrol NIST SP 800-53 yang relevan yang memerlukan konfigurasi teknis oleh Anda. CMG juga menjelaskan langkah-langkah yang harus Anda ikuti untuk layanan tertentu (dan layananGoogle Cloud serta Google Workspace yang mendukung), untuk membantu memastikan bahwa tanggung jawab ini transparan.

CMG tersedia untuk layanan tertentu, termasuk BigQuery, Looker Studio Pro, AI Generatif di Vertex AI, Vertex AI Search, Cloud Logging, Compute Engine, Identity and Access Management (IAM), dan lainnya. Google Cloud Hubungi tim penjualan kami atau perwakilan Anda untuk mendapatkan akses ke dokumentasi ini berdasarkan perjanjian kerahasiaan (NDA). Google Cloud

Panduan penerapan FedRAMP High

Panduan penerapan FedRAMP High dimaksudkan untuk mencakup API khusus layanan yang berada dalam cakupan FedRAMP High, termasuk fitur layanan dan kolom data yang terpengaruh yang cocok untuk menyimpan data yang dilindungi. Misalnya, panduan ini menjelaskan API khusus layanan yang memenuhi persyaratan FedRAMP High dan memberikan detail konfigurasi tambahan yang Anda gunakan dengan layanan tertentu untuk workload FedRAMP High.Google Cloud Konfigurasi ini tidak diberlakukan secara default dan harus dikelola oleh Anda.

Panduan penerapan FedRAMP High tersedia untuk layanan tertentu, termasuk Apigee, BigQuery, Cloud Key Management Service, Logging, Google Kubernetes Engine (GKE), AI Generatif di Vertex AI, Vertex AI Search, Cloud Storage, dan lainnya. Google CloudHubungi tim penjualan kami atau perwakilan Anda untuk mendapatkan akses ke dokumentasi ini berdasarkan NDA.Google Cloud

Residensi data dan kepatuhan SA-9(5)

Google Cloud menyediakan komitmen kontraktual residensi data untuk layanan regional, yang memungkinkan Anda mengonfigurasi layanan untuk menggunakan lokasi data tertentu. Komitmen ini membantu memastikan bahwa data FedRAMP High Anda disimpan di region Amerika Serikat, tetap berada di Amerika Serikat, dan tidak akan dipindahkan ke region lain di luar Amerika Serikat. Beberapa contoh data FedRAMP High mencakup data yang dimiliki oleh penegak hukum, layanan darurat, layanan keuangan, sistem kesehatan dan kesehatan masyarakat, atau salah satu dari 16 sektor infrastruktur penting.

Layanan Google Cloud tertentu bersifat non-regional atau global berdasarkan desain dan tidak memungkinkan Anda menentukan region tempat layanan di-deploy. Pendekatan desain ini diperlukan agar layanan global beroperasi dengan benar. Beberapa layanan non-regional atau global ini tidak terlibat dalam pemrosesan, transmisi, atau penyimpanan data FedRAMP High Anda. Kemampuan residensi data untuk layanan non-regional atau global terbatas.

Pada Juli 2020, FedRAMP merilis pembaruan pada kontrol dasar SA-9(5) FedRAMP High untuk membatasi lokasi geografis layanan informasi data berdampak Tinggi hanya di Amerika Serikat atau wilayah yang berada di bawah yurisdiksi AS. Setelah pembaruan ini, beberapa layanan ditandai di FedRAMP Marketplace dengan tanda bintang dan klarifikasi berikut: "Layanan yang ditandai dengan tanda bintang (*) tidak memenuhi persyaratan SA-9(5). Google Cloud Tinjau surat JAB P-ATO untuk mengetahui informasi selengkapnya."

Beberapa Google Cloud layanan yang ditandai di FedRAMP Marketplace sebagai tidak memenuhi persyaratan SA-9(5) belum ditinjau oleh 3PAO kami untuk pengiriman ulang ke Dewan FedRAMP dengan bukti SA-9(5) yang telah diperbarui. Google secara aktif menindaklanjuti pengajuan ini yang bertujuan untuk menghapus klarifikasi SA-9(5) dari FedRAMP Marketplace. Untuk mengetahui informasi selengkapnya tentang status layanan ini, lihat tab SA-9(5) dalam dokumen CRM FedRAMP High.

Meskipun proses penilaian ulang layanan yang diizinkan FedRAMP High dengan klarifikasi SA-9(5) sedang berlangsung, Google merekomendasikan agar Anda menerapkan kontrol mitigasi seperti yang dijelaskan dalam pedoman RMF untuk mengatasi batasan geografis data FedRAMP High. Google CloudMisalnya, Anda harus menggunakan enkripsi data untuk menetapkan kontrol tunggal atas data FedRAMP High, seperti yang dijelaskan di bagian lainnya dalam bagian ini.

Kedaulatan digital dan residensi data

Google menekankan kedaulatan digital, sebuah konsep yang mengamankan data terlepas dari lokasi fisik. Pendekatan ini mengandalkan Assured Workloads dan cloud komunitas software-defined. Hal ini berbeda dengan kedaulatan fisik konvensional yang menekankan residensi data.Kontrol kedaulatan digital memberikan perlindungan data yang lebih baik. Google Cloud

Kedaulatan digital memberi Anda otoritas atas perlindungan data, sehingga tidak perlu bergantung pada jaminan dari penyedia cloud atau penilai pihak ketiga. Kedaulatan digital berarti Anda memiliki kontrol tunggal atas akses ke data Anda melalui kepemilikan eksklusif atas kunci enkripsi data.

Sesuai dengan pedoman RMF, Google merekomendasikan agar Anda menerapkan kontrol mitigasi untuk mengatasi risiko data FedRAMP High diakses saat transit melalui infrastruktur jaringan atau selama potensi penyimpanan di region cloud non-AS. Mekanisme utama untuk pembatasan akses adalah enkripsi data saat transit dan saat disimpan.

Untuk membantu melindungi data FedRAMP High Anda dan membatasi akses hanya untuk pengguna yang diberi otorisasi, Anda dapat menggunakan kunci enkripsi yang dikelola pelanggan, enkripsi data dalam penyimpanan, dan enkripsi data dalam pengiriman. Bagian berikut menjelaskan teknologi enkripsi data yang tersedia untuk Anda di Google Cloud. Enkripsi data membantu mencegah data FedRAMP High Anda dibaca saat dalam transit atau diakses oleh tenant lain dan personel Google saat disimpan dalam penyimpanan.

Kunci enkripsi yang dikelola pelanggan

Kunci enkripsi yang dikelola pelanggan (CMEK) di Cloud KMS (Cloud KMS) memberi Anda kepemilikan dan kontrol atas kunci yang melindungi data dalam penyimpanan di Google Cloud. Layanan Google Cloud yang dapat menggunakan kunci Anda memiliki integrasi CMEK. Anda dapat mengelola CMEK ini secara langsung atau melalui Cloud KMS Autokey. Layanan yang mendukung integrasi CMEK menggunakan kunci Cloud KMS Anda untuk mengenkripsi atau menggabungkan kunci enkripsi data (DEK) Anda. Membungkus DEK dengan kunci enkripsi kunci (KEK) disebut enkripsi menyeluruh. Untuk mengetahui informasi selengkapnya, lihat Praktik terbaik dalam menggunakan CMEK. Untuk mengetahui daftar layanan yang mendukung CMEK, lihat Layanan yang kompatibel.

Dengan Cloud External Key Manager (Cloud EKM), Anda dapat menggunakan kunci enkripsi yang Anda kelola secara eksternal di luar Google Cloud untuk membantu melindungi data di dalam Google Cloud. Anda dapat melindungi data dalam penyimpanan di layanan integrasi CMEK yang didukung atau dengan memanggil langsung Cloud Key Management Service API.

Google menawarkan jaminan berikut terkait keamanan kunci enkripsi di Cloud KMS:

• Materi kunci yang didekripsi tidak dapat diekspor atau dilihat melalui antarmuka API atau antarmuka pengguna lainnya.
• Personel Google tidak dapat mengakses materi kunci pelanggan yang tidak dienkripsi. Selain itu, materi kunci dienkripsi dengan kunci master KMS di Keystore, dan kunci master KMS tidak dapat diakses oleh personel Google.
• Pada Hardware Security Module (HSM), materi kunci tidak pernah diakses dalam status terdekripsi oleh tugas Cloud KMS API. HSM yang tersedia untuk Anda di Google Cloud divalidasi FIPS 140.
• Operator sistem Google tidak dapat mengakses, menggunakan, atau mengekstrak materi kunci pelanggan saat menjalankan tugasnya, sebagaimana ditentukan dalam prosedur operasi standar.

Validasi FIPS 140 diperlukan untuk otorisasi FedRAMP. Misalnya, kontrol SC-13 Cryptographic Protection mewajibkan penggunaan kriptografi yang divalidasi FIPS 140 atau kriptografi yang disetujui NSA. Google menyediakan modul kripto untuk enkripsi data dalam penyimpanan dan dalam pengiriman yang telah menerapkan validasi FIPS 140.

Enkripsi data dalam penyimpanan

Google Cloud mengenkripsi data dalam penyimpanan secara default. Google Cloud menyediakan enkripsi sisi server yang transparan untuk layanan penyimpanan menggunakan cipher blok simetris AES-256 yang tervalidasi FIPS 140. Anda juga dapat membuat kunci enkripsi sendiri yang Anda kelola dengan Cloud KMS dan disimpan di HSM berbasis cloud atau eksternal.

Cloud HSM memungkinkan Anda menghosting kunci enkripsi dan melakukan operasi kriptografi di cluster HSM yang divalidasi FIPS 140. Cloud HSM menggunakan Cloud KMS sebagai frontend-nya untuk memberi Anda akses ke kemampuan integrasi CMEK dan fitur lain yang disediakan Cloud KMS. Karena Google Cloud menggunakan kriptografi FIPS 140 yang tervalidasi yang kuat, data terenkripsi Anda hanya dapat diakses oleh pengguna yang memiliki CMEK Anda.

Google Cloud juga mendukung kunci yang dikelola pelanggan untuk mengenkripsi disk yang terpasang ke virtual machine. Selain itu, Google Cloud mendukung enkripsi sisi klien di mana Anda dapat mengenkripsi data dalam lingkungan aplikasi Anda sendiri sebelum mengirimkannya ke cloud.

Enkripsi data dalam pengiriman

Google Cloud menyediakan dukungan untuk enkripsi data dalam pengiriman, sebagai berikut:

• Enkripsi transparan terjadi di seluruh backbone jaringan traffic jaringan yang dikontrol Google antara region pusat data dan zona ketersediaan. Enkripsi ini diterapkan di lapisan link data fisik (Lapisan 2 dalam stack jaringan) menggunakan Media Access Control Security (MACsec).
• Traffic VM-ke-VM dalam jaringan Virtual Private Cloud (VPC) dan jaringan VPC yang di-peering dienkripsi secara transparan.
• Di lapisan aplikasi, Google memungkinkan Anda menggunakan Transport Layer Security (TLS) untuk enkripsi data dalam pengiriman. Selain itu, endpoint layanan mendukung TLS untuk membuat koneksi HTTPS yang aman saat melakukan panggilan API.
• Koneksi antara VPC dan infrastruktur lokal Anda tersedia menggunakan Cloud VPN, yang membuat tunnel terenkripsi yang aman di seluruh Internet atau melalui sirkuit pribadi langsung.

Enkripsi data dalam pengiriman mencakup enkripsi dalam pengiriman antara pengguna akhir dan Google, serta enkripsi dalam pengiriman dalam jaringan Google. Untuk mengetahui informasi selengkapnya, lihat Enkripsi dalam pengiriman untuk Google Cloud.

Langkah berikutnya

Untuk mulai menggunakan otorisasi FedRAMP untuk deployment Google Cloud Anda, tinjau hal berikut:

• Inisiatif 20x FedRAMP
• FAQ FedRAMP 20x
• Otorisasi Lembaga FedRAMP Rev 5
• Dokumen dan template FedRAMP
• NIST SP 800-53: Security and Privacy Controls for Information Systems and Organizations
• NIST SP 800-37: Risk Management Framework for Information Systems and Organizations: A System Life Cycle Approach for Security and Privacy
• NIST FIPS 199: Standards for Security Categorization of Federal Information and Information Systems
• Penawaran kepatuhan terhadap FedRAMP di Google Cloud
• Entri FedRAMP Marketplace untuk Google Cloud
• Batas Data melalui Assured Workloads
• Produk yang didukung oleh paket kontrol