Google Cloud 的 FedRAMP 實作指南

這份文件說明 Google Cloud 如何支援您的 FedRAMP 法規遵循需求,並提供相關資源,協助您設定服務以符合 FedRAMP 規定。本文件適用對象為負責在Google Cloud中落實 FedRAMP 並確保相關作業符合規定的安全、法規遵循和 IT 人員。

根據共責式模型,您有責任瞭解法規遵循和安全防護需求,並適當設定Google Cloud 環境。實作 FedRAMP 支援功能時,強烈建議您諮詢獨立法律意見,瞭解 FedRAMP 責任。

關於 FedRAMP

聯邦風險與授權管理計畫 (FedRAMP) 架構是由美國聯邦政府制定,旨在為所有政府機構的雲端產品和服務,提供標準化的安全評估、授權和持續監控方式。美國國會於 2022 年修訂 FedRAMP,作為「適用於整個政府機構的計畫,針對機關用來處理未分類資訊的雲端運算產品和服務,提供標準化且可重複使用的安全性評估與授權方法。」

2025 年,FedRAMP 啟動了重大計畫修訂,這是 FedRAMP 20x 計畫的一部分。這些異動旨在採用商業安全防護最佳做法的自動監控和強制執行機制,以符合聯邦資訊系統的最低安全防護要求。FedRAMP 正從成本高昂、效率低落的手動編譯文件,轉向以產業為主導的資料導向安全報告。如要瞭解 Google 如何支援 FedRAMP 20x 計畫,請參閱「Accelerating FedRAMP 20x: How Google Cloud is automating compliance」(加速 FedRAMP 20x:如何自動化法規遵循)。

FedRAMP 是以美國國家標準暨技術研究院 (NIST) SP 800-53 標準為基礎,並加入 FedRAMP 控制項和控制項強化措施。除了特定地端部署私有雲,所有聯邦機構的雲端部署作業和服務模型都必須符合相應風險影響等級 (低等、中等或高等) 的 FedRAMP 要求,並遵循 NIST FIPS 199 指南。影響程度越高,相應基準中的 NIST SP 800-53 控制項數量就越多。舉例來說,FedRAMP 中等風險基準有 325 項控制措施,而 FedRAMP 高等風險基準則有 421 項控制措施。

FedRAMP 是評估和授權計畫,而非一次性認證或鑑定。包括持續監控,確保雲端服務供應項目中的安全控管措施有效運作,並因應不斷演變的威脅情勢和系統環境變化。

Google Cloud FedRAMP 授權

FedRAMP 委員會 (舊稱聯合授權委員會或 JAB) 是 FedRAMP 的主要管理機構。FedRAMP 委員會成員包括國防部 (DoD)、國土安全部 (DHS) 和總務署 (GSA) 的資訊長。

FedRAMP 委員會已核發 FedRAMP 高等風險暫時性執行授權 (P-ATO) 給 Google Cloud 及底層的 Google 通用基礎架構 (GCI)。 Google Cloud 會定期將額外服務送交委員會,以取得 FedRAMP 高度風險授權。FedRAMP 高等風險授權代表 FedRAMP 法規遵循的最高標準。

FedRAMP 中等風險控管基準為 FedRAMP 高等風險控管基準的子集。因此,FedRAMP 高等風險授權可全面涵蓋所有 FedRAMP 中等風險控管規定。

如要進一步瞭解 FedRAMP 法規遵循,請參閱「FedRAMP 法規遵循」。 Google Cloud

稽核範圍內的服務

Google Cloud 擁有完整的 FedRAMP 高等風險 P-ATO,涵蓋超過 150 項雲端服務。這個範圍可讓您在 Google Cloud 上建構各種應用程式,並透過繼承基礎 Google Cloud 平台中的安全控管機制,取得 FedRAMP ATO。舉例來說,您可以在部署作業中使用機器學習 (ML) 模型和人工智慧 (AI) 服務,包括 AI 代理程式、生成式 AI 和多模態 AI。 Google Cloud

如要進一步瞭解 Google Cloud FedRAMP 稽核範圍,請參閱「FedRAMP 範圍內服務」和 Google Cloud FedRAMP Marketplace

AI 和 LLM

Google Cloud 可協助您符合 FedRAMP 法規遵循要求,適用於包含 ML 模型和 AI 應用程式的工作負載。您可以透過 Vertex AI 上的生成式 AIVertex AI Inference:批次和線上等 FedRAMP 授權服務,與 Model Garden 中提供的 200 多個第一方、第三方和開放原始碼大型語言模型 (LLM) 互動。Google Cloud 詳情請參閱「Model Garden 支援的模型」。

個別 LLM 並未獨立獲得 FedRAMP 授權,且 FedRAMP Marketplace 中也沒有相關授權記錄。而是反映 Google 提交核准的雲端服務授權,例如 Vertex AI 的生成式 AI,以及 Vertex AI Inference:批次和線上。不過,用於部署 LLM 的基礎雲端基礎架構必須遵守 FedRAMP 法規遵循規定,包括用於持續監控的基礎架構。Google 管理的模型符合這項規定,例如 Google 第一方 LLM (例如 Gemini 系列模型) 和 Anthropic 的合作夥伴模型,這些模型都支援佈建輸送量。因此,使用獲得 FedRAMP 高等風險授權的 Vertex AI 服務,即可在 FedRAMP 高等風險環境中與這些支援的模型互動。

Google 持續為更多代管基礎架構上的 LLM 實作監控條款。雖然 Google 負責授權服務基礎架構和自訂建構的容器,以部署開放原始碼模型,但開放原始碼模型的安全性由您負責。

如要進一步瞭解自行部署的 LLM,請參閱「自行部署的模型總覽」。如果您將 LLM 部署到自己的 Google Cloud 租戶基礎架構,請確保 FedRAMP ATO 評估涵蓋該基礎架構,而非個別 LLM。舉例來說,您必須滿足為 LLM 部署作業佈建的Google Cloud 基礎架構持續監控需求。您可以與第三方評估機構 (3PAO) 和 Google 合作,爭取 ATO。

取得 FedRAMP ATO

根據持續進行的 FedRAMP 20x 變更,取得 FedRAMP 授權的可用途徑是 Rev. 5 機構 ATO。您必須與 Google 和 3PAO 合作,完成取得 ATO 的步驟。如要瞭解機構 ATO 程序,包括機構授權劇本等重要資源的連結,請參閱 FedRAMP 網站

如要使用 Google Cloud 服務來履行 FedRAMP 高等風險合規義務,必須採用 FedRAMP 高等風險適用的資料邊界。FedRAMP 中等風險控管基準為 FedRAMP 高等風險控管基準的子集。因此,如果想針對在Google Cloud上部署的解決方案取得 FedRAMP 中等風險 ATO,可將任何獲得 FedRAMP 高等風險授權的服務納入 FedRAMP 中等風險授權邊界內。 Google Cloud 相較於 FedRAMP 高等風險 ATO,您只需要評估較少的控制項,即可取得 FedRAMP 中等風險 ATO。

為協助您取得 FedRAMP ATO,Google 可在簽訂保密協議 (NDA) 後,向您提供下列Google Cloud FedRAMP 高等風險法規遵循文件:

  • 客戶責任表 (CRM):詳細說明在 FedRAMP High 控制措施基準中導入 NIST SP 800-53 控制措施時,您的責任。
  • 系統安全計畫 (SSP):安全授權範圍和系統架構。這份文件也深入說明 NIST SP 800-53 控制項規定,以及適用於 FedRAMP High 控制項基準的控制項實作詳細資料。 Google Cloud

我們的銷售團隊或代表可協助您取得這類文件。 Google Cloud如果您是聯邦政府機構,也可以透過 FedRAMP 計畫管理局的套件申請表,索取 Google 的 FedRAMP 套件。

指引和自動化

如本節所述,Google 提供指引文件和自動化解決方案,協助您履行 FedRAMP 法規遵循義務。

控制項對應指南

與全面的 Google Cloud FedRAMP 高等風險 CRM 不同,控制項對應指南 (CMG) 適用於特定服務。這些指南詳細說明 Google Cloud 服務的控管範圍,方便您設定服務,以符合 FedRAMP 高等風險規定。CMG 會處理相關的 NIST SP 800-53 控制項,這些控制項需要您進行技術設定。CMG 也會說明特定服務 (和任何支援的Google Cloud 和 Google Workspace 服務) 的必要步驟,確保這些責任公開透明。

CMG 適用於特定 Google Cloud 服務,包括 BigQuery、Looker Studio Pro、Vertex AI 生成式 AI、Vertex AI Search、Cloud Logging、Compute Engine、Identity and Access Management (IAM) 等。如要根據保密協議 (NDA) 取得這類文件,請與我們的銷售團隊或代表 Google Cloud聯絡。

FedRAMP High 導入指南

FedRAMP 高等風險實作指南旨在涵蓋 FedRAMP 高等風險範圍內的服務專屬 API,包括適合儲存受保護資料的受影響服務功能和資料欄位。舉例來說,這些指南說明符合 FedRAMP 高等風險要求的服務專屬 API,並提供額外的設定詳細資料,供您搭配特定Google Cloud 服務使用,以處理 FedRAMP 高等風險工作負載。這些設定預設不會強制執行,必須由您管理。

我們為特定 Google Cloud服務提供 FedRAMP High 實作指南,包括 Apigee、BigQuery、Cloud Key Management Service、Logging、Google Kubernetes Engine (GKE)、Vertex AI 上的生成式 AI、Vertex AI Search、Cloud Storage 等。如要根據保密協議取得這類文件,請洽詢我們的銷售團隊或Google Cloud 代表。

資料落地和 SA-9(5) 法規遵循

Google Cloud 為區域服務提供資料落地合約承諾,讓您設定服務使用特定資料位置。這些承諾可確保您的 FedRAMP 高等風險資料儲存在美國境內,且不會移至美國境外的其他區域。FedRAMP 高等風險資料的例子包括:執法單位、緊急服務、金融服務、醫療照護和公共衛生系統,或任何 16 個重要基礎架構產業的資料。

某些 Google Cloud 服務的設計本來就不是區域性或全球性,因此無法指定服務部署的區域。全球服務必須採用這種設計方法,才能正常運作。其中部分非區域或全球服務不會涉及 FedRAMP 高等風險資料的處理、傳輸或儲存作業。非區域或全球服務的資料落地功能有限。

2020 年 7 月,FedRAMP 發布了更新,針對 FedRAMP 高等風險基準 SA-9(5) 控制措施,將高等影響資料資訊服務的地理位置限制在美國或美國管轄範圍內的地域。更新後,FedRAMP Marketplace 中部分 Google Cloud 服務會標上星號,並附上以下說明:「標有星號 (*) 的服務不符合 SA-9(5) 規定。詳情請參閱 JAB P-ATO 信函。」

在 FedRAMP Marketplace 中,部分標示為不符合 SA-9(5) 規定的服務,尚未由 3PAO 審查,因此無法重新提交給 FedRAMP 委員會,並附上更新的 SA-9(5) 證據。 Google Cloud Google 正積極處理這些提交內容,希望從 FedRAMP Marketplace 移除 SA-9(5) 說明。如要進一步瞭解這些服務的狀態,請參閱 FedRAMP High 客戶責任表文件中的「SA-9(5)」分頁。

在重新評估 FedRAMP 高度風險授權 Google Cloud 服務的 SA-9(5) 澄清程序進行期間,Google 建議您按照 RMF 指南所述,實作緩解控制措施,以解決 FedRAMP 高度風險資料的地理位置限制。舉例來說,您必須使用資料加密技術,才能完全掌控 FedRAMP 高等風險資料,詳情請參閱本節其餘內容。

數位主權與資料落地

Google 強調數位主權,也就是無論資料的實際位置為何,都能確保資料安全。這種做法仰賴 Assured Workloads軟體定義的社群雲端。傳統的實體主權強調資料落地,與數位主權不同。 Google Cloud 數位主權控管機制可進一步保護資料。

數位主權可讓您掌握資料保護權,不必依賴雲端供應商或第三方評估人員的保證。數位主權是指您擁有資料加密金鑰的專屬權,因此可全權控管資料存取權。

根據 RMF 指南,Google 建議您實作緩解控制項,以解決 FedRAMP 高等風險資料在網路基礎架構傳輸期間,或可能儲存在非美國雲端區域時遭到存取的風險。限制存取權的主要機制是加密傳輸中和靜態資料。

為保護 FedRAMP High 資料,並限制只有授權使用者才能存取,您可以採用客戶管理的加密金鑰、靜態資料加密,以及傳輸中資料加密。以下各節說明 Google Cloud提供的資料加密技術。資料加密可防止 FedRAMP High 資料在傳輸過程中遭人讀取,或在靜態儲存期間遭其他租戶和 Google 員工存取。

客戶自行管理的加密金鑰

客戶自行管理的加密金鑰 (CMEK) 位於 Cloud KMS (Cloud KMS) 中,可讓您擁有及控管用於保護Google Cloud靜態資料的金鑰。如果服務 Google Cloud整合了 CMEK,就能使用您的金鑰。您可以直接管理這些 CMEK,也可以透過 Cloud KMS Autokey 管理。支援 CMEK 整合的服務會使用您的 Cloud KMS 金鑰,加密或包裝資料加密金鑰 (DEK)。使用金鑰加密金鑰 (KEK) 包裝 DEK 的程序稱為信封式加密。詳情請參閱「使用 CMEK 的最佳做法」。如需支援 CMEK 的服務清單,請參閱「相容服務」。

有了 Cloud External Key Manager (Cloud EKM),您就能使用外部管理的加密金鑰,保護 Google Cloud Google Cloud中的資料。您可以透過支援的 CMEK 整合服務或直接呼叫 Cloud Key Management Service API 來保護靜態資料。

Google 提供下列保證,確保 Cloud KMS 中的加密金鑰安全無虞:

  • 您無法透過 API 介面或其他使用者介面匯出或查看解密金鑰內容。
  • Google 人員無法存取未加密的客戶金鑰內容。此外,金鑰內容會以 Keystore 中的 KMS 主金鑰加密,Google 人員無法存取 KMS 主金鑰。
  • 硬體安全性模組 (HSM) 中,Cloud KMS API 工作絕不會以解密狀態存取金鑰內容。 Google Cloud 提供的 HSM 皆通過 FIPS 140 驗證。
  • Google 系統作業人員在執行標準作業程序定義的職務時,無法存取、使用或擷取客戶金鑰材料。

FIPS 140 驗證是 FedRAMP 授權的必要條件。舉例來說,SC-13 加密保護控制項規定必須使用通過 FIPS 140 驗證的加密技術,或美國國家安全局 (NSA) 核准的加密技術。Google 提供通過 FIPS 140 驗證的加密模組,可加密靜態資料和傳輸中的資料。

靜態資料加密

Google Cloud 預設會加密靜態資料。Google Cloud 使用通過 FIPS 140 驗證的 AES-256 對稱區塊加密法,為儲存服務提供透明的伺服器端加密。您也可以建立自己的加密金鑰,並透過 Cloud KMS 管理,然後儲存在雲端或外部 HSM 中。

Cloud HSM 可讓您託管加密金鑰,並在 FIPS 140 驗證的 HSM 叢集中執行密碼編譯作業。Cloud HSM 使用 Cloud KMS 做為前端,讓您存取 CMEK 整合功能,以及 Cloud KMS 提供的其他功能。由於 Google Cloud採用通過 FIPS 140 驗證的強大密碼編譯技術,只有擁有 CMEK 的使用者才能存取加密資料。

Google Cloud 也支援客戶管理的金鑰,可加密連結至虛擬機器的磁碟。此外, Google Cloud 也支援用戶端加密,您可以在自己的應用程式環境中加密資料,再傳送至雲端。

傳輸中資料加密

Google Cloud 支援傳輸中的資料加密,如下所示:

  • 在資料中心區域和可用區之間傳輸網路流量時,Google 控制的網路骨幹會進行透明加密。這項加密作業是在實體資料連結層 (網路堆疊中的第 2 層) 實作,採用媒體存取控制安全性 (MACsec)
  • 虛擬私有雲 (VPC) 網路和對等互連 VPC 網路中的VM 對 VM 流量會經過透明加密。
  • 在應用程式層,Google 允許您使用傳輸層安全標準 (TLS) 加密傳輸中的資料。此外,服務端點支援 TLS,可在發出 API 呼叫時建立安全的 HTTPS 連線。
  • 您可以使用 Cloud VPN,在虛擬私有雲和內部部署基礎架構之間建立連線,透過網際網路或直接私人電路建立安全加密通道

傳輸中的資料加密包括使用者與 Google 之間的傳輸加密,以及 Google 網路內的傳輸加密。詳情請參閱「Google Cloud的傳輸加密」。

後續步驟

如要開始為Google Cloud 部署作業取得 FedRAMP 授權,請參閱下列內容: