Orientação de implementação do FedRAMP no Google Cloud

Este documento esclarece como o Google Cloud ajuda com suas necessidades de conformidade com o FedRAMP e direciona você a recursos para configurar serviços que atendam aos requisitos do FedRAMP. Este documento foi criado para profissionais de segurança, conformidade e TI responsáveis pela implementação e conformidade do FedRAMP noGoogle Cloud.

De acordo com o modelo de responsabilidade compartilhada, você é responsável por entender seus requisitos de conformidade e segurança e configurar seu ambienteGoogle Cloud de maneira adequada. Ao implementar o suporte do FedRAMP, recomendamos que você procure orientação jurídica independente relacionada às suas responsabilidades do FedRAMP.

Sobre o FedRAMP

O framework do Programa Federal de Gerenciamento de Risco e Autorização (FedRAMP) foi estabelecido pelo governo federal dos EUA para padronizar a avaliação de segurança, a autorização e o monitoramento contínuo de produtos e serviços na nuvem em todas as agências governamentais. Em 2022, o Congresso codificou o FedRAMP como um "programa governamental que oferece uma abordagem padronizada e reutilizável para avaliação e autorização de segurança de produtos e serviços de computação em nuvem que processam informações não classificadas usadas por agências".

Em 2025, o FedRAMP iniciou uma revisão significativa do programa como parte da iniciativa FedRAMP 20x. Essas mudanças visam adotar o monitoramento e a aplicação automatizados das práticas recomendadas de segurança comercial para atender aos requisitos mínimos de segurança dos sistemas de informação federais. O FedRAMP está migrando de documentação cara, ineficiente e compilada manualmente para relatórios de segurança orientados por dados e liderados pelo setor. Para saber como o Google está apoiando a iniciativa FedRAMP 20x, consulte Aceleração do FedRAMP 20x: como Google Cloud está automatizando a conformidade.

O FedRAMP é baseado no padrão SP 800-53 do Instituto Nacional de Padrões e Tecnologia (NIST), complementado por controles e melhorias de controle do FedRAMP. Todas as implantações em nuvem e modelos de serviços de agências federais, exceto determinadas nuvens privadas locais, precisam atender aos requisitos do FedRAMP no nível adequado de impacto de risco (baixo, médio ou alto) com base nas diretrizes do NIST FIPS 199. O número de controles do NIST SP 800-53 na linha de base correspondente aumenta conforme o nível de impacto aumenta. Por exemplo, o valor de referência moderado do FedRAMP tem 325 controles, enquanto o valor de referência alto tem 421.

O FedRAMP é um programa de avaliação e autorização, não uma certificação ou acreditação única. Ele inclui monitoramento contínuo para garantir a eficácia dos controles de segurança em uma oferta de serviço de nuvem, adaptando-se a cenários de ameaças em evolução e mudanças no ambiente do sistema.

Google Cloud Autorização do FedRAMP

O Conselho do FedRAMP (antes conhecido como Conselho de Autorização Conjunta ou JAB) é o principal órgão regulador do FedRAMP. O Conselho do FedRAMP inclui CIOs do Departamento de Defesa (DoD), do Departamento de Segurança Interna (DHS) e da Administração de Serviços Gerais (GSA).

O Conselho do FedRAMP emitiu uma Autoridade Provisória para Operar (P-ATO) de nível alto para Google Cloud e a infraestrutura comum do Google (GCI) subjacente. Google Cloud envia periodicamente serviços adicionais ao Conselho para autorização do FedRAMP High. A autorização FedRAMP de nível alto representa o mais alto nível de conformidade com o FedRAMP.

O valor de referência de controle do FedRAMP de nível médio é um subconjunto do valor de referência de controle do FedRAMP de nível alto. Portanto, uma autorização FedRAMP High oferece cobertura abrangente para todos os requisitos de controle do FedRAMP Moderate.

Para mais informações sobre a conformidade com o Google Cloud FedRAMP, consulte Conformidade com o FedRAMP.

Serviços no escopo da auditoria

Google Cloud mantém uma P-ATO abrangente do FedRAMP High que cobre mais de 150 serviços de nuvem. Esse escopo permite criar uma ampla variedade de aplicativos no Google Cloud e buscar sua ATO do FedRAMP herdando controles de segurança da plataforma Google Cloud subjacente. Por exemplo, você pode usar modelos de machine learning (ML) e serviços de inteligência artificial (IA), incluindo agentes de IA, IA generativa e IA multimodal nas suas implantações do Google Cloud.

Para mais informações sobre o escopo da auditoria do Google Cloud FedRAMP, consulte Serviços do FedRAMP no escopo e o Google Cloud Marketplace do FedRAMP.

IA e LLMs

Google Cloud pode ajudar você a atender aos requisitos de compliance do FedRAMP para cargas de trabalho que incluem modelos de ML e aplicativos de IA. É possível usar serviços autorizados pelo FedRAMP, como a IA generativa na Vertex AI e a inferência da Vertex AI: em lote e on-line para interagir com mais de 200 modelos de linguagem grande (LLMs) próprios, de terceiros e de código aberto que estão disponíveis no Model Garden.Google Cloud Para mais informações, consulte Modelos compatíveis com o Model Garden.

Os LLMs individuais não são autorizados de forma independente pelo FedRAMP, e não há registro da autorização deles no FedRAMP Marketplace. Em vez disso, o Marketplace reflete as autorizações para serviços de nuvem, como a IA generativa na Vertex AI e a inferência da Vertex AI: em lote e on-line, que o Google envia para aprovação. No entanto, a infraestrutura em nuvem subjacente usada para a implantação de LLMs precisa obedecer aos requisitos de conformidade do FedRAMP, incluindo a infraestrutura usada para monitoramento contínuo. Esse requisito é atendido para modelos gerenciados pelo Google, como os LLMs próprios do Google (por exemplo, a família de modelos Gemini) e modelos de parceiros da Anthropic, que oferecem suporte ao Provisioned Throughput. Consequentemente, o uso de serviços da Vertex AI autorizados pelo FedRAMP High permite a interação com esses modelos compatíveis em um ambiente do FedRAMP High.

O Google continua implementando disposições de monitoramento para mais LLMs hospedados em infraestrutura gerenciada pelo Google. Embora o Google seja responsável por autorizar a infraestrutura de serviço e os contêineres personalizados para implantar modelos de código aberto, a segurança deles é sua responsabilidade.

Para mais informações sobre LLMs autogerenciados, consulte Visão geral dos modelos autogerenciados. Se você implantar LLMs na sua própria infraestrutura de locatário do Google Cloud , verifique se a avaliação da ATO do FedRAMP abrange essa infraestrutura, e não os LLMs individuais. Por exemplo, você precisa atender aos requisitos de monitoramento contínuo da infraestrutura provisionada para a implantação de LLMs.Google Cloud Você pode colaborar com sua organização terceirizada de avaliação (3PAO) e o Google para buscar sua ATO.

Como conseguir a ATO do FedRAMP

Com base nas mudanças do FedRAMP 20x, o caminho disponível para a autorização do FedRAMP é a ATO da agência Rev. 5. Você precisa trabalhar com o Google e seu 3PAO para concluir as etapas que levam a uma ATO. Para informações sobre o processo de ATO da agência, incluindo links para recursos importantes, como o playbook de autorização da agência, consulte o site do FedRAMP.

Se você quiser usar os serviços do Google Cloud para cumprir as obrigações de compliance do FedRAMP High, use o Limite de dados para FedRAMP High. O valor de referência de controle do FedRAMP de nível médio é um subconjunto do valor de referência de controle do FedRAMP de nível alto. Portanto, se você quiser uma ATO de nível médio do FedRAMP para uma solução implantada no Google Cloud, poderá usar qualquer serviço do Google Cloud autorizado pelo FedRAMP High no limite de autorização de nível médio do FedRAMP. Você precisará avaliar menos controles para um ATO do FedRAMP de nível médio em comparação com os controles que precisam ser avaliados para um ATO do FedRAMP de nível alto.

Para ajudar com a ATO do FedRAMP, o Google pode fornecer a seguinte documentação de conformidade do FedRAMP de nível altoGoogle Cloud sob um contrato de confidencialidade (NDA):

  • Matriz de responsabilidade do cliente (CRM): descrições detalhadas das suas responsabilidades ao implementar os controles NIST SP 800-53 no valor de referência de controle alto do FedRAMP.
  • Plano de segurança do sistema (SSP): o limite de autorização de segurança e como o sistema é arquitetado. Este documento também fornece descrições detalhadas dos requisitos de controle do NIST SP 800-53 e detalhes de implementação de controle Google Cloud aplicáveis ao valor de referência de controle alto do FedRAMP.

Nossa equipe de vendas ou seu representante do Google Cloud pode ajudar a fornecer acesso a essa documentação. Se você for um órgão do governo federal, também poderá solicitar o pacote FedRAMP do Google pelo Escritório de Gerenciamento do Programa FedRAMP usando o formulário de solicitação de pacote.

Orientação e automação

O Google oferece documentação de orientação e soluções de automação para ajudar você com suas obrigações de conformidade com o FedRAMP, conforme descrito nesta seção.

Guias de mapeamento de controles

Ao contrário da CRM abrangente do Google Cloud FedRAMP High, os guias de mapeamento de controles (CMGs, na sigla em inglês) são específicos do serviço. Esses guias oferecem cobertura detalhada de controle para serviços do Google Cloud . Assim, você pode configurar os serviços para atender aos requisitos do FedRAMP de nível alto. Os CMGs abordam os controles relevantes do NIST SP 800-53 que exigem configuração técnica da sua parte. As CMGs também esclarecem as etapas que você precisa seguir para um serviço específico (e todos os serviços deGoogle Cloud e do Google Workspace relacionados), ajudando a garantir que essas responsabilidades sejam transparentes.

Os CMGs estão disponíveis para alguns serviços, incluindo BigQuery, Looker Studio Pro, IA generativa na Vertex AI, Pesquisa da Vertex AI, Cloud Logging, Compute Engine, Identity and Access Management (IAM) e muito mais. Google Cloud Entre em contato com nossa equipe de vendas ou seu representante do Google Cloudpara ter acesso a essa documentação sob um contrato de confidencialidade (NDA).

Guias de implementação do FedRAMP High

Os guias de implementação do FedRAMP High têm como objetivo abranger APIs específicas do serviço que estão no escopo do FedRAMP High, incluindo recursos de serviço afetados e campos de dados adequados para armazenar dados protegidos. Por exemplo, esses guias descrevem APIs específicas do serviço que atendem aos requisitos do FedRAMP High e fornecem detalhes extras de configuração que você usa com o serviçoGoogle Cloud específico para cargas de trabalho do FedRAMP High. Essas configurações não são aplicadas por padrão e precisam ser gerenciadas por você.

Os guias de implementação do FedRAMP High estão disponíveis para alguns serviços do Google Cloud, incluindo Apigee, BigQuery, Cloud Key Management Service, Logging, Google Kubernetes Engine (GKE), IA generativa na Vertex AI, pesquisa da Vertex AI, Cloud Storage e muito mais. Entre em contato com nossa equipe de vendas ou com seu representante doGoogle Cloud para ter acesso a essa documentação sob um NDA.

Residência de dados e conformidade com a SA-9(5)

OGoogle Cloud oferece compromissos contratuais de residência de dados para serviços regionais, que permitem configurar um serviço para usar um local de dados específico. Esses compromissos ajudam a garantir que os dados do FedRAMP High sejam armazenados em uma região dos Estados Unidos, permaneçam no país e não sejam movidos para outra região fora dos EUA. Alguns exemplos de dados de alto nível do FedRAMP incluem dados pertencentes a órgãos de segurança pública, serviços de emergência, serviços financeiros, sistemas de saúde e saúde pública ou qualquer um dos 16 setores de infraestrutura crítica.

Alguns Google Cloud serviços são não regionais ou globais por design e não permitem especificar a região em que o serviço é implantado. Essa abordagem de design é necessária para que os serviços globais funcionem corretamente. Alguns desses serviços não regionais ou globais não estão envolvidos no tratamento, na transmissão ou no armazenamento dos seus dados do FedRAMP High. Os recursos de residência de dados para serviços não regionais ou globais são limitados.

Em julho de 2020, o FedRAMP lançou uma atualização do controle SA-9(5) de nível alto para restringir a localização geográfica dos serviços de informações de dados de alto impacto aos Estados Unidos ou territórios sob jurisdição dos EUA. Após essa atualização, alguns serviços do Google Cloud foram marcados no Marketplace do FedRAMP com um asterisco e o seguinte esclarecimento: "Os serviços marcados com um asterisco (*) não atendem ao requisito SA-9(5). Consulte a carta da JAB P-ATO para mais informações."

Alguns Google Cloud serviços sinalizados no Marketplace do FedRAMP como não atendendo aos requisitos SA-9(5) ainda não foram revisados pela nossa 3PAO para reenvio ao Conselho do FedRAMP com evidências atualizadas do SA-9(5). O Google está buscando ativamente essas solicitações para remover esclarecimentos da SA-9(5) do FedRAMP Marketplace. Para mais informações sobre o status desses serviços, consulte a guia SA-9(5) no documento da CRM de alto nível do FedRAMP.

Enquanto o processo de reavaliação dos serviços autorizados pelo FedRAMP High Google Cloud com o esclarecimento SA-9(5) está em andamento, o Google recomenda que você implemente controles de mitigação conforme descrito nas diretrizes do RMF para resolver as restrições geográficas de dados do FedRAMP High. Por exemplo, você precisa usar a criptografia de dados para estabelecer controle exclusivo sobre os dados do FedRAMP High, conforme explicado no restante desta seção.

Soberania digital e residência de dados

O Google enfatiza a soberania digital, um conceito que protege os dados independentemente da localização física. Essa abordagem depende do Assured Workloads e das nuvens comunitárias definidas por software. Ela contrasta com a soberania física convencional, que enfatiza a residência de dados.Os controles de soberania digital oferecem proteção de dados aprimorada. Google Cloud

A soberania digital concede autoridade sobre a proteção de dados, eliminando a necessidade de depender de garantias de provedores de nuvem ou avaliadores terceirizados. Soberania digital significa que você tem controle exclusivo sobre o acesso aos seus dados por meio da propriedade exclusiva das chaves de criptografia de dados.

De acordo com as diretrizes da RMF, o Google recomenda que você implemente controles de mitigação para lidar com o risco de acesso aos dados do FedRAMP High durante o trânsito pela infraestrutura de rede ou durante o possível armazenamento em uma região de nuvem fora dos EUA. O principal mecanismo para restrição de acesso é a criptografia de dados em trânsito e em repouso.

Para proteger seus dados do FedRAMP de nível alto e restringir o acesso apenas aos usuários autorizados, use chaves de criptografia gerenciadas pelo cliente, criptografia de dados em repouso e em trânsito. As seções a seguir descrevem as tecnologias de criptografia de dados disponíveis no Google Cloud. A criptografia de dados ajuda a evitar que seus dados do FedRAMP High sejam lidos enquanto estão em trânsito ou acessados por outros locatários e funcionários do Google enquanto estão armazenados em repouso.

Chaves de criptografia gerenciadas pelo cliente

As chaves de criptografia gerenciadas pelo cliente (CMEK) no Cloud KMS (Cloud KMS) dão a você a propriedade e o controle das chaves que protegem seus dados em repouso no Google Cloud. Um serviço Google Cloud que pode usar suas chaves tem uma integração com CMEK. É possível gerenciar essas CMEKs diretamente ou usando a chave automática do Cloud KMS. Os serviços que oferecem suporte a integrações de CMEK usam suas chaves do Cloud KMS para criptografar ou encapsular chaves de criptografia de dados (DEKs). O encapsulamento de DEKs com chaves de criptografia de chaves (KEKs) é chamado de criptografia de envelope. Para mais informações, consulte Práticas recomendadas para usar CMEKs. Para ver uma lista de serviços compatíveis com a CMEK, consulte Serviços compatíveis.

Com o Cloud External Key Manager (Cloud EKM), é possível usar chaves de criptografia gerenciadas externamente fora do Google Cloud para proteger dados no Google Cloud. É possível proteger os dados em repouso em serviços de integração de CMEK compatíveis ou chamando a API Cloud Key Management Service diretamente.

O Google oferece as seguintes garantias (em inglês) sobre a segurança das chaves de criptografia no Cloud KMS:

  • O material da chave descriptografada não pode ser exportado ou visualizado pela interface da API ou por outra interface do usuário.
  • A equipe do Google não pode acessar o material de chave do cliente não criptografado. Além disso, o material da chave é criptografado com uma chave-mestra do KMS no keystore, e a chave-mestra do KMS não pode ser acessada por funcionários do Google.
  • Em um módulo de segurança de hardware (HSM), o material da chave nunca é acessado em um estado descriptografado por jobs da API Cloud KMS. Os HSMs disponibilizados para você em Google Cloud são validados pelo FIPS 140.
  • Os operadores do sistema do Google são impedidos de acessar, usar ou extrair o material da chave do cliente durante o desempenho das tarefas, conforme definido nos procedimentos operacionais padrão.

A validação FIPS 140 é necessária para a autorização do FedRAMP. Por exemplo, o controle SC-13 Proteção criptográfica exige o uso de criptografia validada pelo FIPS ou aprovada pela NSA. O Google oferece módulos de criptografia para criptografia de dados em repouso e em trânsito com validação FIPS 140.

Criptografia de dados em repouso

OGoogle Cloud criptografa os dadosem repouso por padrão. OGoogle Cloud oferece criptografia transparente no lado do servidor para serviços de armazenamento usando uma criptografia de bloco simétrico AES-256 validada pelo FIPS 140. Também é possível criar suas próprias chaves de criptografia, gerenciá-las com o Cloud KMS e armazená-las em HSMs externos ou baseados na nuvem.

Com o Cloud HSM, é possível hospedar chaves de criptografia e realizar operações criptográficas em um cluster de HSMs validados pelo FIPS. O Cloud HSM usa o Cloud KMS como front-end para dar acesso a recursos de integração da CMEK e outros recursos oferecidos pelo Cloud KMS. Como o Google Cloudusa uma criptografia forte validada pelo FIPS 140, seus dados criptografados só podem ser acessados por usuários que têm sua CMEK.

OGoogle Cloud também oferece suporte a chaves gerenciadas pelo cliente para criptografar discos anexados a máquinas virtuais. Além disso, o Google Cloud oferece suporte à criptografia do lado do cliente, em que é possível criptografar dados no próprio ambiente de aplicativo antes de enviá-los para a nuvem.

Criptografia de dados em trânsito

OGoogle Cloud oferece suporte à criptografia de dados em trânsito da seguinte forma:

  • A criptografia transparente ocorre em toda a estrutura de rede controlada pelo Google do tráfego de rede entre regiões de data center e zonas de disponibilidade. Essa criptografia é implementada na camada física de link de dados (camada 2 na pilha de rede) usando a segurança de controle de acesso à mídia (MACsec).
  • O tráfego de VM para VM em uma rede de nuvem privada virtual (VPC) e em redes VPC com peering é criptografado de forma transparente.
  • Na camada de aplicativo, o Google permite usar o Transport Layer Security (TLS) para criptografia de dados em trânsito. Além disso, os endpoints de serviço oferecem suporte a TLS para criar uma conexão HTTPS segura ao fazer chamadas de API.
  • As conexões entre a VPC e a infraestrutura local estão disponíveis usando o Cloud VPN, que cria um túnel criptografado seguro na Internet ou por circuitos privados diretos.

A criptografia de dados em trânsito inclui a criptografia em trânsito entre o usuário final e o Google, e a criptografia em trânsito nas redes do Google. Para mais informações, consulte Criptografia em trânsito para Google Cloud.

A seguir

Para começar a autorização do FedRAMP para sua implantação doGoogle Cloud , confira o seguinte: