Orientações de implementação de FedRAMP em Google Cloud

Este documento esclarece como o Google Cloud suporta as suas necessidades de conformidade com a FedRAMP e direciona-o para recursos para configurar serviços de forma a cumprir os requisitos da FedRAMP. Este documento destina-se a pessoal de segurança, conformidade e TI responsável pela implementação e conformidade com o FedRAMP noGoogle Cloud.

De acordo com o modelo de responsabilidade partilhada, é responsável por compreender os seus requisitos de conformidade e segurança e configurar o seu ambienteGoogle Cloud de forma adequada. Ao implementar o suporte do FedRAMP, recomendamos vivamente que procure aconselhamento jurídico independente relativamente às suas responsabilidades do FedRAMP.

Acerca do FedRAMP

A estrutura do Federal Risk and Authorization Management Program (FedRAMP) foi estabelecida pelo governo federal dos EUA para uniformizar a avaliação de segurança, a autorização e a monitorização contínua de produtos e serviços na nuvem em todas as agências governamentais. Em 2022, o Congresso codificou o FedRAMP como um "programa governamental que oferece uma abordagem uniformizada e reutilizável para a avaliação de segurança e a autorização de produtos e serviços de computação na nuvem que processam informações não classificadas usadas por agências".

Em 2025, o FedRAMP iniciou uma revisão significativa do programa como parte da iniciativa FedRAMP 20x. Estas alterações visam adotar a monitorização e a aplicação automáticas das práticas recomendadas de segurança comercial para cumprir os requisitos mínimos de segurança dos sistemas de informação federais. O FedRAMP está a afastar-se da documentação dispendiosa, ineficiente e compilada manualmente para relatórios de segurança baseados em dados e liderados pela indústria. Para obter informações sobre como a Google está a apoiar a iniciativa FedRAMP 20x, consulte o artigo Acelerar o FedRAMP 20x: como Google Cloud está a automatizar a conformidade.

O FedRAMP baseia-se na norma SP 800-53 do National Institute of Standards and Technology (NIST), aumentada pelos controlos e melhorias de controlo do FedRAMP. Todas as implementações e modelos de serviços na nuvem de agências federais, exceto determinadas nuvens privadas no local, têm de cumprir os requisitos da FedRAMP ao nível de impacto de risco adequado (Baixo, Moderado ou Elevado) com base nas diretrizes da NIST FIPS 199. O número de controlos da NIST SP 800-53 na base de referência correspondente aumenta à medida que o nível de impacto aumenta. Por exemplo, a base de referência FedRAMP Moderate tem 325 controlos, enquanto a base de referência FedRAMP High tem 421 controlos.

O FedRAMP é um programa de avaliação e autorização, e não uma certificação ou uma acreditação única. Inclui a monitorização contínua para garantir a eficácia dos controlos de segurança numa oferta de serviços na nuvem, adaptando-se a paisagens de ameaças em evolução e a alterações no ambiente do sistema.

Google Cloud Autorização FedRAMP

O FedRAMP Board (anteriormente conhecido como Joint Authorization Board ou JAB) é o principal órgão de governação do FedRAMP. O FedRAMP Board inclui CIOs do Departamento de Defesa (DoD), do Departamento de Segurança Interna (DHS) e da Administração de Serviços Gerais (GSA).

O FedRAMP Board emitiu uma Autoridade Provisória para Operar (P-ATO) FedRAMP High para Google Cloud e a infraestrutura comum da Google (GCI) subjacente. Google Cloud envia rotineiramente serviços adicionais ao Conselho para autorização FedRAMP High. A autorização FedRAMP High representa o requisito mais elevado para a conformidade com o FedRAMP.

A base de referência de controlo FedRAMP Moderate é um subconjunto da base de referência de controlo FedRAMP High. Por conseguinte, uma autorização FedRAMP High oferece uma cobertura abrangente para todos os requisitos de controlo FedRAMP Moderate.

Para mais informações sobre a Google Cloud conformidade com o FedRAMP, consulte o artigo Conformidade com o FedRAMP.

Serviços no âmbito da auditoria

Google Cloud mantém uma P-ATO FedRAMP High abrangente que abrange mais de 150 serviços na nuvem. Este âmbito permite-lhe criar uma vasta gama de aplicações na Google Cloud e prosseguir a sua ATO do FedRAMP herdando controlos de segurança da plataforma Google Cloud subjacente. Por exemplo, pode usar modelos de aprendizagem automática e serviços de inteligência artificial, incluindo agentes de IA, IA generativa e IA multimodal nas suas implementações. Google Cloud

Para mais informações acerca do Google Cloud âmbito da auditoria FedRAMP, consulte os serviços FedRAMP no âmbito e o Google Cloud FedRAMP Marketplace.

IA e MDIs/CEs

Google Cloud pode ajudar a cumprir os requisitos de conformidade com o FedRAMP para cargas de trabalho que incluem modelos de ML e aplicações de IA. Pode usar Google Cloud serviços autorizados pela FedRAMP, como a IA generativa no Vertex AI e a inferência do Vertex AI: em lote e online, para interagir com mais de 200 modelos de linguagem (conteúdo extenso) (MDIs/CEs) de origem, de terceiros e de código aberto que estão disponíveis no nosso Model Garden. Para mais informações, consulte o artigo Modelos suportados pelo Model Garden.

Os MDIs individuais não estão autorizados de forma independente ao abrigo da FedRAMP e não existe nenhum registo da respetiva autorização no FedRAMP Marketplace. Em alternativa, o Marketplace reflete as autorizações para serviços na nuvem, como a IA generativa no Vertex AI e a inferência do Vertex AI: em lote e online, que a Google envia para aprovação. No entanto, a infraestrutura de nuvem subjacente usada para a implementação de MDIs tem de cumprir os requisitos de conformidade da FedRAMP, incluindo a infraestrutura usada para a monitorização contínua. Este requisito é cumprido para modelos geridos pela Google, como os LLMs originais da Google (por exemplo, a família de modelos Gemini) e os modelos de parceiros da Anthropic, que suportam o débito processado. Consequentemente, a utilização de serviços da Vertex AI autorizados pela FedRAMP High permite a interação com estes modelos suportados num ambiente FedRAMP High.

A Google continua a implementar disposições de monitorização para mais MDIs alojados em infraestrutura gerida pela Google. Embora a Google seja responsável por autorizar a infraestrutura de publicação e os contentores personalizados para implementar modelos de código aberto, a segurança dos modelos de código aberto é da sua responsabilidade.

Para mais informações sobre os MDIs implementados autonomamente, consulte o artigo Vista geral dos modelos implementados autonomamente. Se implementar MDI/CEs na sua própria infraestrutura de inquilino, certifique-se de que a sua avaliação da ATO da FedRAMP abrange essa infraestrutura e não os MDI/CEs individuais. Google Cloud Por exemplo, tem de cumprir os requisitos de monitorização contínua para a Google Cloud infraestrutura que aprovisiona para a implementação do LLM. Pode colaborar com a sua organização de avaliação de terceiros (3PAO) e a Google para prosseguir com a sua ATO.

Alcançar a sua ATO do FedRAMP

Com base nas alterações contínuas da FedRAMP 20x, o caminho disponível para a autorização da FedRAMP é a ATO da agência Rev. 5. Tem de trabalhar com a Google e o seu fornecedor externo para concluir os passos que levam a uma ATO. Para ver informações acerca do processo de ATO da agência, incluindo links para recursos importantes, como o manual de autorização da agência, consulte o Website do FedRAMP.

Se quiser usar Google Cloud serviços para cumprir as suas obrigações de conformidade com a FedRAMP High, tem de usar o limite de dados para a FedRAMP High. A base de referência de controlo FedRAMP Moderate é um subconjunto da base de referência de controlo FedRAMP High. Por conseguinte, se quiser uma ATO FedRAMP Moderate para uma solução implementada no Google Cloud, pode usar qualquer serviço Google Cloud autorizado pelo FedRAMP High no seu limite de autorização FedRAMP Moderate. Tem de avaliar menos controlos para uma ATO FedRAMP Moderate em comparação com os controlos que tem de avaliar para uma ATO FedRAMP High.

Para ajudar com a sua ATO da FedRAMP, a Google pode fornecer-lhe a seguinte Google Cloud documentação de conformidade com a FedRAMP High ao abrigo de um acordo de confidencialidade (NDA):

  • Matriz de responsabilidade do cliente (CRM): descrições detalhadas das suas responsabilidades ao implementar os controlos NIST SP 800-53 na base de referência de controlo FedRAMP High.
  • Plano de segurança do sistema (SSP): o limite de autorização de segurança e a forma como o sistema está arquitetado. Este documento também fornece descrições detalhadas dos requisitos de controlo da NIST SP 800-53 e detalhes de implementação de controlos aplicáveis à base de referência de controlo FedRAMP High. Google Cloud

A nossa equipa de vendas ou o seu representante podem ajudar a fornecer acesso a esta documentação. Google CloudSe for um organismo do governo federal, também pode pedir o pacote FedRAMP da Google através do FedRAMP Program Management Office com o respetivo formulário de pedido.

Orientações e automatização

A Google fornece documentação de orientações e soluções de automatização para ajudar com as suas obrigações de conformidade com a FedRAMP, conforme descrito nesta secção.

Guias de mapeamento de controlos

Ao contrário dos guias de mapeamento de controlos (CMGs) abrangentes do CRM FedRAMP High Google Cloud , os CMGs são específicos do serviço. Estes guias oferecem uma cobertura de controlo detalhada para os serviços, para que possa configurá-los de forma a cumprir os requisitos de FedRAMP High. Google Cloud Os CMGs abordam os controlos relevantes da NIST SP 800-53 que requerem configuração técnica por parte do cliente. As CMGs também esclarecem os passos que tem de seguir para um serviço específico (e quaisquer serviços de apoio técnico e do Google Workspace), para ajudar a garantir que estas responsabilidades são transparentes.Google Cloud

Os CMGs estão disponíveis para serviços selecionados Google Cloud , incluindo o BigQuery, o Looker Studio Pro, a IA generativa no Vertex AI, a Pesquisa Vertex AI, o Cloud Logging, o Compute Engine, a gestão de identidades e acessos (IAM) e muito mais. Contacte a nossa equipa de vendas ou o seu representante para obter acesso a esta documentação ao abrigo de um acordo de confidencialidade (NDA). Google Cloud

Guias de implementação de FedRAMP High

Os guias de implementação de FedRAMP High destinam-se a abranger APIs específicas do serviço que estão no âmbito do FedRAMP High, incluindo funcionalidades do serviço afetadas e campos de dados adequados para armazenar dados protegidos. Por exemplo, estes guias descrevem APIs específicas de serviços que cumprem os requisitos do FedRAMP High e fornecem detalhes de configuração adicionais que usa com oGoogle Cloud serviço específico para cargas de trabalho do FedRAMP High. Estas configurações não são aplicadas por predefinição e têm de ser geridas por si.

Estão disponíveis guias de implementação FedRAMP High para serviços Google Cloud selecionados, incluindo Apigee, BigQuery, Cloud Key Management Service, Logging, Google Kubernetes Engine (GKE), IA generativa no Vertex AI, Vertex AI Search, Cloud Storage e muito mais. Contacte a nossa equipa de vendas ou o seu Google Cloud representante para obter acesso a esta documentação ao abrigo de um NDA.

Residência dos dados e conformidade com a SA-9(5)

Google Cloud oferece compromissos contratuais de residência de dados para serviços regionais, que lhe permitem configurar um serviço para usar uma localização de dados específica. Estes compromissos ajudam a garantir que os seus dados FedRAMP High são armazenados numa região dos Estados Unidos, permanecem nos Estados Unidos e não são movidos para outra região fora dos Estados Unidos. Alguns exemplos de dados FedRAMP High incluem dados pertencentes a autoridades policiais, serviços de emergência, serviços financeiros, sistemas de cuidados de saúde e saúde pública, ou qualquer um dos 16 setores de infraestrutura críticos.

Determinados Google Cloud serviços são não regionais ou globais por predefinição e não permitem especificar a região onde o serviço é implementado. Esta abordagem de design é necessária para que os serviços globais funcionem corretamente. Alguns destes serviços não regionais ou globais não estão implicados no tratamento, na transmissão nem no armazenamento dos seus dados FedRAMP High. As capacidades de residência de dados para serviços não regionais ou globais são limitadas.

Em julho de 2020, o FedRAMP lançou uma atualização ao controlo SA-9(5) de base do FedRAMP High para restringir a localização geográfica dos serviços de informações de dados de alto impacto aos Estados Unidos ou territórios sob a jurisdição dos EUA. Após esta atualização, alguns Google Cloud serviços foram sinalizados no FedRAMP Marketplace com um asterisco e a seguinte clarificação: "Os serviços indicados com um asterisco (*) não cumprem o requisito SA-9(5). Reveja a carta da JAB P-ATO para mais informações."

Alguns Google Cloud serviços que foram denunciados no FedRAMP Marketplace como não cumprindo os requisitos SA-9(5) ainda não foram revistos pelo nosso 3PAO para reenvio ao FedRAMP Board com provas SA-9(5) atualizadas. A Google está a prosseguir ativamente estas candidaturas destinadas a remover esclarecimentos da SA-9(5) do FedRAMP Marketplace. Para mais informações sobre o estado destes serviços, consulte o separador SA-9(5) no documento CRM FedRAMP High.

Enquanto o processo de reavaliação dos serviços autorizados ao abrigo da FedRAMP High com a clarificação SA-9(5) está em curso, a Google recomenda que implemente controlos de mitigação, conforme descrito nas diretrizes da RMF, para resolver as restrições geográficas de dados ao abrigo da FedRAMP High. Google CloudPor exemplo, tem de usar a encriptação de dados para estabelecer o controlo exclusivo sobre os dados de nível elevado da FedRAMP, conforme explicado no resto desta secção.

Soberania digital e residência de dados

A Google enfatiza a soberania digital, um conceito que protege os dados independentemente da localização física. Esta abordagem baseia-se no Assured Workloads e nas nuvens da comunidade definidas por software. Contrariamente à soberania física convencional que enfatiza a residência de dados, os controlos de soberania digital oferecem uma proteção de dados melhorada. Google Cloud

A soberania digital concede-lhe autoridade sobre a proteção de dados, eliminando a necessidade de depender de garantias de fornecedores de nuvem ou avaliadores externos. A soberania digital implica que tem o controlo exclusivo sobre o acesso aos seus dados através da propriedade exclusiva das chaves de encriptação de dados.

De acordo com as diretrizes da RMF, a Google recomenda que implemente controlos de mitigação para resolver o risco de acesso a dados FedRAMP High durante a transmissão pela infraestrutura de rede ou durante o potencial armazenamento numa região da nuvem fora dos EUA. O mecanismo principal para a restrição de acesso é a encriptação de dados em trânsito e repouso.

Para ajudar a proteger os seus dados FedRAMP High e restringir o acesso apenas aos seus utilizadores autorizados, pode usar chaves de encriptação geridas pelo cliente, encriptação de dados em repouso e encriptação de dados em trânsito. As secções seguintes descrevem as tecnologias de encriptação de dados disponíveis no Google Cloud. A encriptação de dados ajuda a impedir que os seus dados FedRAMP High sejam lidos durante a transmissão ou acedidos por outros inquilinos e funcionários da Google enquanto estão armazenados em repouso.

Chaves de encriptação geridas do cliente

As chaves de encriptação geridas pelo cliente (CMEK) no Cloud KMS (Cloud KMS) dão-lhe a propriedade e o controlo das chaves que protegem os seus dados em repouso no Google Cloud. Um Google Cloud serviço que pode usar as suas chaves tem uma integração CMEK. Pode gerir estas CMEKs diretamente ou através do Cloud KMS Autokey. Os serviços que suportam integrações de CMEK usam as suas chaves do Cloud KMS para encriptar ou envolver as suas chaves de encriptação de dados (DEKs). A ação de envolver DEKs com chaves de encriptação de chaves (KEKs) chama-se encriptação de envelope. Para mais informações, consulte as práticas recomendadas para usar CMEKs. Para ver uma lista dos serviços que suportam a CMEK, consulte o artigo Serviços compatíveis.

Com o Cloud External Key Manager (Cloud EKM), pode usar chaves de encriptação que gere externamente fora Google Cloud para ajudar a proteger os dados no interior Google Cloud. Pode proteger os dados em repouso nos serviços de integração CMEK suportados ou chamando diretamente a API Cloud Key Management Service.

A Google oferece as seguintes garantias relativamente à segurança das chaves de encriptação no Cloud KMS:

  • O material de chaves descifrado não pode ser exportado nem visto através da interface da API ou de outra interface do utilizador.
  • O pessoal da Google não pode aceder ao material da chave do cliente não encriptado. Além disso, o material da chave é encriptado com uma chave principal do KMS no banco de chaves, e a chave principal do KMS não é acessível ao pessoal da Google.
  • Num módulo de segurança de hardware (HSM), os materiais das chaves nunca são acedidos num estado desencriptado pelos trabalhos da API Cloud KMS. Os HSMs disponibilizados para si em Google Cloud são validados pela FIPS 140.
  • Os operadores do sistema Google estão impedidos de aceder, utilizar ou extrair material de chaves do cliente enquanto desempenham as suas funções, conforme definido nos procedimentos operacionais padrão.

A validação FIPS 140 é necessária para a autorização FedRAMP. Por exemplo, o controlo SC-13 Cryptographic Protection exige a utilização de criptografia validada pela FIPS 140 ou criptografia aprovada pela NSA. A Google fornece-lhe módulos criptográficos para encriptação de dados em repouso e em trânsito com validação FIPS 140.

Encriptação de dados em repouso

Google Cloud Encripta os dados em repouso por predefinição. Google Cloud oferece encriptação transparente do lado do servidor para serviços de armazenamento através de uma cifra de bloco simétrica AES-256 validada pela FIPS 140. Também pode criar as suas próprias chaves de encriptação que gere com o Cloud KMS e armazenar em HSMs externos ou baseados na nuvem.

O Cloud HSM permite-lhe alojar chaves de encriptação e realizar operações criptográficas num cluster de HSMs validados pela FIPS 140. O Cloud HSM usa o Cloud KMS como front-end para lhe dar acesso às capacidades de integração da CMEK e a outras funcionalidades que o Cloud KMS oferece. Uma vez que Google Cloud emprega uma criptografia FIPS 140 validada forte, os seus dados encriptados só são acessíveis aos utilizadores que possuam a sua CMEK.

Google Cloud também suporta chaves geridas pelo cliente para encriptar discos anexados a máquinas virtuais. Além disso, Google Cloud suporta encriptação por parte do cliente, em que pode encriptar dados no seu próprio ambiente de aplicação antes de os enviar para a nuvem.

Encriptação de dados em trânsito

Google Cloud oferece suporte para a encriptação de dados em trânsito, da seguinte forma:

  • A encriptação transparente ocorre na infraestrutura de rede controlada pela Google do tráfego de rede entre regiões de centros de dados e zonas de disponibilidade. Esta encriptação é implementada na camada de ligação de dados física (camada 2 na pilha de rede) através da segurança de controlo de acesso ao suporte (MACsec).
  • O tráfego de VM para VM numa rede da nuvem virtual privada (VPC) e em redes da VPC com intercâmbio é encriptado de forma transparente.
  • Na camada de aplicação, a Google permite-lhe usar o Transport Layer Security (TLS) para a encriptação de dados em trânsito. Além disso, os pontos finais de serviço suportam o TLS para criar uma ligação HTTPS segura quando faz chamadas à API.
  • As ligações entre a VPC e a sua infraestrutura no local estão disponíveis através do Cloud VPN, que cria um túnel encriptado seguro na Internet ou através de circuitos privados diretos.

A encriptação de dados em trânsito inclui a encriptação em trânsito entre o utilizador final e a Google, e a encriptação em trânsito nas redes da Google. Para mais informações, consulte o artigo Encriptação em trânsito para Google Cloud.

O que se segue?

Para começar a usar a autorização FedRAMP para a sua implementação, reveja o seguinte:Google Cloud