Linee guida per l'implementazione FedRAMP su Google Cloud

Questo documento chiarisce in che modo Google Cloud supporta le tue esigenze di conformità FedRAMP e ti indirizza alle risorse per configurare i servizi in modo da soddisfare i requisiti FedRAMP. Questo documento è destinato al personale di sicurezza, conformità e IT responsabile dell'implementazione e della conformità a FedRAMP su Google Cloud.

Secondo il modello di responsabilità condivisa, è tua responsabilità comprendere i requisiti di conformità e sicurezza e configurare l'ambienteGoogle Cloud in modo appropriato. Quando implementi il supporto FedRAMP, ti consigliamo vivamente di richiedere una consulenza legale indipendente in merito alle tue responsabilità FedRAMP.

Informazioni su FedRAMP

Il framework Federal Risk and Authorization Management Program (FedRAMP) è stato creato dal governo federale degli Stati Uniti per standardizzare la valutazione, l'autorizzazione e il monitoraggio continuo della sicurezza di prodotti e servizi cloud in tutte le agenzie governative. Nel 2022, il Congresso ha codificato il FedRAMP come "un programma a livello governativo che fornisce un approccio standardizzato e riutilizzabile alla valutazione e all'autorizzazione della sicurezza per i prodotti e i servizi di cloud computing che trattano informazioni non classificate utilizzate dalle agenzie".

Nel 2025, FedRAMP ha avviato una revisione significativa del programma nell'ambito dell'iniziativa FedRAMP 20x. Queste modifiche mirano ad adottare il monitoraggio e l'applicazione automatizzati delle best practice di sicurezza commerciale per soddisfare i requisiti di sicurezza minimi per i sistemi informativi federali. FedRAMP sta abbandonando la documentazione costosa, inefficiente e compilata manualmente per passare a report sulla sicurezza basati sui dati e guidati dal settore. Per informazioni su come Google supporta l'iniziativa FedRAMP 20x, consulta l'articolo Accelerare FedRAMP 20x: in che modo Google Cloud sta automatizzando la conformità.

FedRAMP si basa sullo standard SP 800-53 del National Institute of Standards and Technology (NIST), integrato da controlli e miglioramenti dei controlli FedRAMP. Tutti i modelli di servizio e i deployment su cloud delle agenzie federali, eccetto alcuni cloud privati on-premise, devono soddisfare i requisiti FedRAMP secondo il livello di impatto del rischio appropriato (Low, Moderate o High) in base alle linee guida NIST FIPS 199. Il numero di controlli NIST SP 800-53 nella base di riferimento corrispondente aumenta man mano che aumenta il livello di impatto. Ad esempio, la base di riferimento FedRAMP Moderate ha 325 controlli, mentre la base di riferimento FedRAMP High ne ha 421.

FedRAMP è un programma di valutazione e autorizzazione, non una certificazione o un accreditamento una tantum. Include il monitoraggio continuo per garantire l'efficacia dei controlli di sicurezza in un'offerta di servizi cloud, adattandosi all'evoluzione dei panorama delle minacce e ai cambiamenti dell'ambiente di sistema.

Google Cloud Autorizzazione FedRAMP

Il FedRAMP Board (precedentemente noto come Joint Authorization Board o JAB) è l'organo di governo principale di FedRAMP. Il FedRAMP Board include i CIO del Dipartimento della Difesa (DoD), del Dipartimento per la sicurezza interna (DHS) e della General Services Administration (GSA).

Il FedRAMP Board ha rilasciato un'autorizzazione provvisoria a operare (P-ATO) FedRAMP High a Google Cloud e all'infrastruttura comune Google (GCI) sottostante. Google Cloud invia regolarmente al Board servizi aggiuntivi per l'autorizzazione FedRAMP High. L'autorizzazione FedRAMP High rappresenta il livello più alto di conformità FedRAMP.

La base di riferimento dei controlli FedRAMP Moderate è un sottoinsieme della base di riferimento dei controlli FedRAMP High. Pertanto, un'autorizzazione FedRAMP High fornisce una copertura completa per tutti i requisiti di controllo FedRAMP Moderate.

Per saperne di più sulla conformità a FedRAMP, consulta Conformità a FedRAMP. Google Cloud

Servizi inclusi nell'ambito dell'audit

Google Cloud mantiene un'autorizzazione provvisoria a operare (P-ATO) FedRAMP High completa che copre più di 150 servizi cloud. Questo ambito ti consente di creare un'ampia gamma di applicazioni su Google Cloud e di ottenere l'autorizzazione all'operatività (ATO) FedRAMP ereditando i controlli di sicurezza dalla piattaforma Google Cloud sottostante. Ad esempio, puoi utilizzare modelli di machine learning (ML) e servizi di intelligenza artificiale (AI), inclusi agenti AI, AI generativa e AI multimodale nei tuoi Google Cloud deployment.

Per saperne di più sull'ambito dell'audit FedRAMP, consulta Servizi FedRAMP nell'ambito e il Google Cloud FedRAMP Marketplace. Google Cloud

AI e LLM

Google Cloud può aiutarti a soddisfare i requisiti di conformità FedRAMP per i workload che includono modelli di ML e applicazioni di AI. Puoi utilizzare Google Cloud servizi autorizzati FedRAMP come Generative AI su Vertex AI e Vertex AI Inference: Batch and Online per interagire con oltre 200 modelli linguistici di grandi dimensioni (LLM) proprietari, di terze parti e open source disponibili nel nostro Model Garden. Per ulteriori informazioni, consulta Modelli supportati da Model Garden.

I singoli LLM non sono autorizzati in modo indipendente ai sensi di FedRAMP e non esiste alcun record della loro autorizzazione nel marketplace FedRAMP. Il Marketplace riflette invece le autorizzazioni per i servizi cloud come l'AI generativa su Vertex AI e Vertex AI Inference: batch e online, che Google invia per l'approvazione. Tuttavia, l'infrastruttura cloud sottostante utilizzata per il deployment dell'LLM deve rispettare i requisiti di conformità FedRAMP, inclusa l'infrastruttura utilizzata per il monitoraggio continuo. Questo requisito è soddisfatto per i modelli gestiti da Google, come gli LLM proprietari di Google (ad esempio, la famiglia di modelli Gemini) e i modelli dei partner di Anthropic, che supportano tutti il throughput di cui è stato eseguito il provisioning. Di conseguenza, l'utilizzo dei servizi Vertex AI autorizzati FedRAMP High consente l'interazione con questi modelli supportati in un ambiente FedRAMP High.

Google continua a implementare disposizioni di monitoraggio per un numero maggiore di LLM ospitati su un'infrastruttura gestita da Google. Sebbene Google sia responsabile dell'autorizzazione dell'infrastruttura di pubblicazione e dei container personalizzati per il deployment di modelli open source, la sicurezza di questi modelli è tua responsabilità.

Per saperne di più sui modelli LLM con deployment automatico, consulta Panoramica dei modelli con deployment automatico. Se esegui il deployment di LLM nella tua infrastruttura tenant Google Cloud , assicurati che la valutazione ATO FedRAMP copra l'infrastruttura, non i singoli LLM. Ad esempio, devi soddisfare i requisiti di monitoraggio continuo per l'infrastrutturaGoogle Cloud che esegui il provisioning per il deployment dell'LLM. Puoi collaborare con l'organizzazione di valutazione di terze parti (3PAO) e con Google per ottenere l'ATO.

Ottenere l'ATO FedRAMP

In base alle modifiche FedRAMP 20x in corso, il percorso disponibile per l'autorizzazione FedRAMP è l'ATO dell'agenzia Rev. 5. Devi collaborare con Google e il tuo 3PAO per completare i passaggi che portano a un'ATO. Per informazioni sulla procedura ATO per enti, inclusi i link a risorse importanti come il playbook di autorizzazione per enti, consulta il sito web FedRAMP.

Se vuoi utilizzare i servizi Google Cloud per soddisfare gli obblighi di conformità FedRAMP High, devi utilizzare Data Boundary per FedRAMP High. La base di riferimento dei controlli FedRAMP Moderate è un sottoinsieme della base di riferimento dei controlli FedRAMP High. Pertanto, se vuoi un'autorizzazione a operare FedRAMP Moderate ATO per una soluzione di cui è stato eseguito il deployment su Google Cloud, puoi utilizzare qualsiasi servizio Google Cloud autorizzato FedRAMP High nel tuo limite di autorizzazione FedRAMP Moderate. Dovrai valutare un numero inferiore di controlli per un'ATO FedRAMP Moderate rispetto ai controlli che devi valutare per l'ATO FedRAMP High.

Per aiutarti con l'autorizzazione a operare (ATO) FedRAMP, Google può fornirti la seguente Google Cloud documentazione di conformità FedRAMP High ai sensi di un accordo di non divulgazione (NDA):

  • Matrice delle responsabilità del cliente (CRM): descrizioni dettagliate delle tue responsabilità durante l'implementazione dei controlli NIST SP 800-53 nella baseline di controllo FedRAMP High.
  • Piano di sicurezza del sistema (SSP): il limite di autorizzazione di sicurezza e l'architettura del sistema. Questo documento fornisce anche descrizioni dettagliate dei requisiti di controllo NIST SP 800-53 e dei dettagli di implementazione del controllo applicabili alla baseline di controllo FedRAMP High. Google Cloud

Il nostro team di vendita o il tuo rappresentante di Google Cloud possono aiutarti ad accedere a questa documentazione. Se sei un ente governativo federale, puoi richiedere anche il pacchetto FedRAMP di Google tramite il FedRAMP Program Management Office utilizzando il relativo modulo di richiesta.

Guida e automazione

Google fornisce documentazione di orientamento e soluzioni di automazione per aiutarti a rispettare gli obblighi di conformità FedRAMP, come descritto in questa sezione.

Guide alla mappatura dei controlli

A differenza della CRM FedRAMP High Google Cloud completa, le guide al mapping dei controlli (CMG) sono specifiche per il servizio. Queste guide forniscono una copertura dettagliata dei controlli per i servizi Google Cloud , in modo che tu possa configurarli per soddisfare i requisiti di FedRAMP High. I CMG riguardano i controlli NIST SP 800-53 pertinenti che richiedono una configurazione tecnica da parte tua. I CMG chiariscono anche i passaggi da seguire per un determinato servizio (e per eventuali servizi Google Cloud e Google Workspace di supporto), per contribuire a garantire la trasparenza di queste responsabilità.

I gruppi di gestione della configurazione sono disponibili per servizi Google Cloud selezionati, tra cui BigQuery, Looker Studio Pro, AI generativa su Vertex AI, Vertex AI Search, Cloud Logging, Compute Engine, Identity and Access Management (IAM) e altri. Contatta il nostro team di vendita o il tuo rappresentante di Google Cloudper ottenere l'accesso a questa documentazione in base a un accordo di non divulgazione (NDA).

Guide all'implementazione di FedRAMP High

Le guide all'implementazione di FedRAMP High hanno lo scopo di coprire le API specifiche del servizio che rientrano nell'ambito di FedRAMP High, incluse le funzionalità del servizio interessato e i campi di dati adatti all'archiviazione di dati protetti. Ad esempio, queste guide descrivono API specifiche del servizio che soddisfano i requisiti FedRAMP High e forniscono dettagli di configurazione aggiuntivi da utilizzare con il servizioGoogle Cloud specifico per i carichi di lavoro FedRAMP High. Queste configurazioni non vengono applicate per impostazione predefinita e devono essere gestite da te.

Sono disponibili guide all'implementazione di FedRAMP High per servizi Google Cloud selezionati, tra cui Apigee, BigQuery, Cloud Key Management Service, Logging, Google Kubernetes Engine (GKE), AI generativa su Vertex AI, Vertex AI Search, Cloud Storage e altro ancora. Contatta il nostro team di vendita o il tuo rappresentante diGoogle Cloud per ottenere l'accesso a questa documentazione in base a un accordo di non divulgazione.

Residenza dei dati e conformità SA-9(5)

Google Cloud fornisce impegni contrattuali relativi alla residenza dei dati per i servizi regionali, che ti consentono di configurare un servizio in modo che utilizzi una località specifica per i dati. Questi impegni contribuiscono a garantire che i tuoi dati FedRAMP High vengano archiviati in una regione degli Stati Uniti, rimangano negli Stati Uniti e non vengano spostati in un'altra regione al di fuori degli Stati Uniti. Alcuni esempi di dati FedRAMP High includono dati appartenenti a forze dell'ordine, servizi di emergenza, servizi finanziari, sistemi sanitari e di sanità pubblica o a uno dei 16 settori di infrastrutture critiche.

Alcuni servizi Google Cloud sono non regionali o globali per progettazione e non ti consentono di specificare la regione in cui viene eseguito il deployment del servizio. Questo approccio di progettazione è necessario per il corretto funzionamento dei servizi globali. Alcuni di questi servizi non regionali o globali non sono coinvolti nell'elaborazione, trasmissione o archiviazione dei tuoi dati FedRAMP High. Le funzionalità di residenza dei dati per i servizi non regionali o globali sono limitate.

A luglio 2020, FedRAMP ha rilasciato un aggiornamento al controllo SA-9(5) di base FedRAMP High per limitare la posizione geografica dei servizi di informazioni sui dati ad alto impatto agli Stati Uniti o ai territori sotto la giurisdizione statunitense. Dopo questo aggiornamento, alcuni servizi Google Cloud sono stati contrassegnati nel FedRAMP Marketplace con un asterisco e la seguente precisazione: "I servizi contrassegnati con un asterisco (*) non soddisfano il requisito SA-9(5). Per saperne di più, consulta la lettera P-ATO del JAB".

Alcuni Google Cloud servizi contrassegnati nel marketplace FedRAMP come non conformi ai requisiti SA-9(5) non sono ancora stati esaminati dal nostro 3PAO per la ripresentazione al comitato FedRAMP con prove SA-9(5) aggiornate. Google sta perseguendo attivamente queste richieste volte a rimuovere i chiarimenti SA-9(5) dal Marketplace di FedRAMP. Per ulteriori informazioni sullo stato di questi servizi, consulta la scheda SA-9(5) nel documento CRM FedRAMP High.

Mentre è in corso la procedura di rivalutazione dei servizi autorizzati FedRAMP High Google Cloud con la chiarificazione SA-9(5), Google consiglia di implementare controlli di mitigazione come descritto nelle linee guida RMF per risolvere le restrizioni geografiche dei dati FedRAMP High. Ad esempio, devi utilizzare la crittografia dei dati per stabilire il controllo esclusivo sui dati FedRAMP High, come spiegato nel resto di questa sezione.

Sovranità digitale e residenza dei dati

Google pone l'accento sulla sovranità digitale, un concetto che protegge i dati indipendentemente dalla posizione fisica. Questo approccio si basa su Assured Workloads e cloud di community software-defined. Si differenzia dalla sovranità fisica convenzionale che enfatizza la residenza dei dati. Google Cloud I controlli di sovranità digitale forniscono una maggiore protezione dei dati.

La sovranità digitale ti concede l'autorità sulla protezione dei dati, eliminando la necessità di fare affidamento sulle garanzie dei fornitori di servizi cloud o di valutatori di terze parti. La sovranità digitale implica che hai il controllo esclusivo sull'accesso ai tuoi dati tramite la proprietà esclusiva delle chiavi di crittografia dei dati.

In conformità alle linee guida RMF, Google consiglia di implementare controlli di mitigazione per affrontare il rischio di accesso ai dati FedRAMP High durante il transito nell'infrastruttura di rete o durante il potenziale spazio di archiviazione in una regione cloud non statunitense. Il meccanismo principale per la limitazione dell'accesso è la crittografia dei dati in transito e at-rest.

Per proteggere i tuoi dati FedRAMP High e limitare l'accesso solo agli utenti autorizzati, puoi utilizzare chiavi di crittografia gestite dal cliente, la crittografia dei dati at-rest e la crittografia dei dati in transito. Le sezioni seguenti descrivono le tecnologie di crittografia dei dati disponibili in Google Cloud. La crittografia dei dati contribuisce a impedire la lettura dei dati FedRAMP High durante il transito o l'accesso da parte di altri tenant e del personale di Google durante l'archiviazione.

Chiavi di crittografia gestite dal cliente

Le chiavi di crittografia gestite dal cliente (CMEK) in Cloud KMS (Cloud KMS) ti offrono la proprietà e il controllo delle chiavi che proteggono i tuoi dati at-rest in Google Cloud. Un servizio che può utilizzare le tue chiavi ha un'integrazione CMEK. Google CloudPuoi gestire queste CMEK direttamente o tramite Cloud KMS Autokey. I servizi che supportano le integrazioni CMEK utilizzano le chiavi Cloud KMS per criptare o eseguire il wrapping delle chiavi di crittografia dei dati (DEK). Il wrapping delle DEK con chiavi di crittografia della chiave (KEK) è chiamato crittografia envelope. Per ulteriori informazioni, consulta le best practice per l'utilizzo delle chiavi CMEK. Per un elenco dei servizi che supportano CMEK, consulta Servizi compatibili.

Con Cloud External Key Manager (Cloud EKM), puoi utilizzare chiavi di crittografia che gestisci esternamente al di fuori di Google Cloud per proteggere i dati all'interno di Google Cloud. Puoi proteggere i dati at-rest nei servizi di integrazione CMEK supportati o chiamando direttamente l'API Cloud Key Management Service.

Google offre le seguenti garanzie in merito alla sicurezza delle chiavi di crittografia in Cloud KMS:

  • Il materiale delle chiavi decriptato non può essere esportato o visualizzato tramite l'interfaccia API o un'altra interfaccia utente.
  • Il personale di Google non può accedere al materiale della chiave del cliente non criptato. Inoltre, il materiale delle chiavi viene criptato con una chiave master del KMS in Keystore e la chiave master del KMS non è accessibile al personale di Google.
  • Su un Hardware Security Module (HSM), i job dell'API Cloud KMS non accedono mai al materiale delle chiavi in uno stato decriptato. Gli HSM resi disponibili in Google Cloud sono convalidati secondo lo standard FIPS 140.
  • Gli operatori di sistema di Google non possono accedere, utilizzare o estrarre il materiale delle chiavi del cliente durante lo svolgimento delle loro mansioni, come definito nelle procedure operative standard.

La convalida FIPS 140 è obbligatoria per l'autorizzazione FedRAMP. Ad esempio, il controllo SC-13 Cryptographic Protection impone l'uso della crittografia convalidata FIPS 140 o della crittografia approvata dalla NSA. Google ti fornisce moduli di crittografia per la crittografia dei dati at-rest e in transito con la convalida FIPS 140.

Crittografia dei dati inattivi

Google Cloud cripta i dati inattivi per impostazione predefinita. Google Cloud fornisce una crittografia lato server trasparente per i servizi di archiviazione utilizzando un algoritmo di crittografia simmetrica a blocchi AES-256 convalidato da FIPS 140. Puoi anche creare chiavi di crittografia personalizzate che gestisci con Cloud KMS e memorizzare in HSM basati sul cloud o esterni.

Cloud HSM ti consente di ospitare chiavi di crittografia ed eseguire operazioni crittografiche in un cluster di HSM convalidati FIPS 140. Cloud HSM utilizza Cloud KMS come front-end per darti accesso alle funzionalità di integrazione di CMEK e ad altre funzionalità fornite da Cloud KMS. Poiché Google Cloud utilizza una crittografia FIPS 140 convalidata efficace, i tuoi dati criptati sono accessibili solo agli utenti in possesso della tua CMEK.

Google Cloud supporta anche le chiavi gestite dal cliente per la crittografia dei dischi collegati alle macchine virtuali. Inoltre, Google Cloud supporta la crittografia lato client, che ti consente di criptare i dati all'interno del tuo ambiente applicativo prima di inviarli al cloud.

Crittografia dei dati in transito

Google Cloud fornisce il supporto per la crittografia dei dati in transito, come segue:

  • La crittografia trasparente si verifica nel backbone di rete controllato da Google del traffico di rete tra le regioni di data center e le zone di disponibilità. Questa crittografia viene implementata a livello fisico del collegamento dati (livello 2 dello stack di rete) utilizzando Media Access Control Security (MACsec).
  • Il traffico da VM a VM all'interno di una rete Virtual Private Cloud (VPC) e di reti VPC in peering viene criptato in modo trasparente.
  • A livello di applicazione, Google ti consente di utilizzare Transport Layer Security (TLS) per la crittografia dei dati in transito. Inoltre, gli endpoint di servizio supportano TLS per creare una connessione HTTPS sicura quando vengono effettuate chiamate API.
  • Le connessioni tra VPC e la tua infrastruttura on-premise sono disponibili tramite Cloud VPN, che crea un tunnel criptato sicuro su internet o tramite circuiti privati diretti.

La crittografia dei dati in transito include la crittografia in transito tra l'utente finale e Google e la crittografia in transito all'interno delle reti Google. Per ulteriori informazioni, consulta Crittografia dei dati in transito per Google Cloud.

Passaggi successivi

Per iniziare a utilizzare l'autorizzazione FedRAMP per la tua Google Cloud implementazione, esamina quanto segue: