במסמך הזה מוסבר איך Google Cloud תומך בדרישות התאימות ל-FedRAMP, ומופנים למשאבים להגדרת שירותים בהתאם לדרישות FedRAMP. המסמך הזה מיועד לאנשי אבטחה, תאימות ו-IT שאחראים על יישום התאימות ל-FedRAMP ב-Google Cloud.
בהתאם למודל האחריות המשותפת, אתם אחראים להבין את דרישות התאימות והאבטחה שלכם ולהגדיר אתGoogle Cloud הסביבה שלכם בהתאם. כשמטמיעים תמיכה ב-FedRAMP, מומלץ מאוד לקבל ייעוץ משפטי בלתי תלוי בנוגע לאחריות שלכם במסגרת FedRAMP.
מידע על FedRAMP
מסגרת התוכנית הפדרלית לניהול סיכונים והרשאות (FedRAMP) הוקמה על ידי הממשל הפדרלי בארה"ב כדי ליצור סטנדרטיזציה של הערכת האבטחה, ההרשאה והניטור השוטף של מוצרים ושירותים בענן בכל הסוכנויות הממשלתיות. בשנת 2022, הקונגרס קבע את FedRAMP כ "תוכנית כלל-ממשלתית שמספקת גישה סטנדרטית וניתנת לשימוש חוזר להערכה ולאישור של מוצרים ושירותים למחשוב ענן שמבצעים עיבוד של מידע לא מסווג שמשמש סוכנויות".
בשנת 2025, במסגרת יוזמת FedRAMP 20x, התחילו ב-FedRAMP לבצע שינוי משמעותי בתוכנית. מטרת השינויים האלה היא לאמץ ניטור ואכיפה אוטומטיים של שיטות מומלצות לאבטחה מסחרית, כדי לעמוד בדרישות אבטחה מינימליות למערכות מידע פדרליות. FedRAMP עובר מתיעוד יקר, לא יעיל ומורכב ידנית לדיווח אבטחה מבוסס-נתונים בהובלת התעשייה. מידע על התמיכה של Google ביוזמת FedRAMP 20x מופיע במאמר האצת FedRAMP 20x: איך Google Cloud מבצעים אוטומציה של התאימות.
FedRAMP מבוסס על התקן National Institute of Standards and Technology (NIST) SP 800-53, בתוספת אמצעי בקרה ושיפורים של FedRAMP. כל הפריסות בענן של סוכנויות פדרליות ומודלים של שירותים, מלבד עננים פרטיים מסוימים מקומיים, צריכים לעמוד בדרישות FedRAMP ברמת ההשפעה המתאימה על הסיכון (נמוכה, בינונית או גבוהה) על סמך ההנחיות של NIST FIPS 199. מספר אמצעי הבקרה של NIST SP 800-53 בערך הבסיס המתאים עולה ככל שרמת ההשפעה עולה. לדוגמה, בסיס הנתונים של FedRAMP Moderate כולל 325 אמצעי בקרה, ואילו בסיס הנתונים של FedRAMP High כולל 421 אמצעי בקרה.
FedRAMP היא תוכנית להערכה ולאישור, ולא אישור או הסמכה חד-פעמיים. היא כוללת מעקב רציף כדי להבטיח את היעילות של אמצעי בקרת האבטחה בשירותי ענן, והתאמה לשינויים בסביבת המערכת ולשינויים בנוף האיומים.
Google Cloud אישור FedRAMP
המועצה של FedRAMP (לשעבר Joint Authorization Board או JAB) היא הגוף המנהל העיקרי של FedRAMP. המועצה של FedRAMP כוללת מנהלי מידע (CIO) ממשרד ההגנה (DoD), ממשרד ביטחון המולדת (DHS) וממינהל השירותים הכלליים (GSA).
המועצה של FedRAMP הנפיקה ל- Google Cloud ולתשתית המשותפת הבסיסית של Google (GCI) אישור זמני (P-ATO) לפעילות ברמת FedRAMP High. אישור FedRAMP High מייצג את הרף הגבוה ביותר לתאימות ל-FedRAMP.
בעקבות שיפורים ב-FedRAMP 20x, GSA הפכה לסוכנות המאשרת עבורGoogle Cloud, שמגישה באופן שוטף שירותים נוספים ל-GSA לקבלת אישור FedRAMP High. הבסיס לבקרה של FedRAMP Moderate הוא קבוצת משנה של הבסיס לבקרה של FedRAMP High. לכן, אישור FedRAMP High מספק כיסוי מקיף לכל דרישות הבקרה של FedRAMP Moderate.
מידע נוסף על Google Cloud תאימות ל-FedRAMP זמין במאמר תאימות ל-FedRAMP.
שירותים בהיקף הביקורת
Google Cloud יש לנו אישור P-ATO מקיף של FedRAMP High שכולל יותר מ-150 שירותי ענן. ההיקף הזה מאפשר לכם ליצור מגוון רחב של אפליקציות ב- Google Cloud ולקבל אישור ATO של FedRAMP על ידי שימוש באמצעי אבטחה מהפלטפורמה הבסיסית של Google Cloud . לדוגמה, אתם יכולים להשתמש במודלים של למידת מכונה (ML) ובשירותי בינה מלאכותית (AI), כולל סוכני AI, AI גנרטיבי ו-AI מולטימודאלי בפריסות שלכם ב- Google Cloud.
מידע נוסף על היקף הביקורת של FedRAMP זמין במאמרים היקף התאימות ל-FedRAMP ול-DoD וב- Google Cloud FedRAMP Marketplace. Google Cloud
AI ו-LLM
Google Cloud יכול לעזור לכם לעמוד בדרישות התאימות של FedRAMP לעומסי עבודה שכוללים מודלים של ML ויישומי AI. אתם יכולים להשתמש בשירותים שאושרו על ידי FedRAMP, כמו AI גנרטיבי ב-Gemini Enterprise Agent Platform ו- Gemini Enterprise Agent Platform Inference: Batch and Online, כדי ליצור אינטראקציה עם יותר מ-200 מודלים של שפה גדולה (LLM) של צד ראשון, צד שלישי וקוד פתוח שזמינים ב-Model Garden שלנו.Google Cloud מידע נוסף זמין במאמר בנושא מודלים שנתמכים ב-Model Garden.
מודלים של שפה גדולים (LLM) לא מאושרים באופן עצמאי במסגרת FedRAMP, ואין רישום של האישור שלהם ב-FedRAMP Marketplace. במקום זאת, ב-Marketplace מוצגים אישורים לשירותי ענן כמו AI גנרטיבי ב-Agent Platform וב-Agent Platform Inference: Batch and Online, ש-Google שולחת לאישור. עם זאת, תשתית הענן הבסיסית שמשמשת לפריסת LLM צריכה לעמוד בדרישות התאימות של FedRAMP, כולל התשתית שמשמשת לניטור מתמשך. הדרישה הזו מתקיימת במודלים שמנוהלים על ידי Google, כמו מודלים של LLM של צד ראשון של Google (לדוגמה, משפחת המודלים של Gemini) ומודלים של שותפים מ-Anthropic, שכולם תומכים בהקצאת משאבים לפי התפוקה שנקבעה. לכן, שימוש בשירותי Agent Platform שאושרו על ידי FedRAMP High מאפשר אינטראקציה עם המודלים הנתמכים האלה בסביבת FedRAMP High.
Google ממשיכה להטמיע אמצעי מעקב עבור מודלים נוספים של LLM שמתארחים בתשתית שמנוהלת על ידי Google. למרות ש-Google אחראית לאישור של תשתית ההצגה ושל קונטיינרים בהתאמה אישית לפריסת מודלים בקוד פתוח, אתם אחראים לאבטחת המודלים בקוד פתוח.
מידע נוסף על מודלים של LLM שמוטמעים באופן עצמאי זמין במאמר סקירה כללית על מודלים שמוטמעים באופן עצמאי. אם אתם פורסים מודלים של שפה גדולה (LLM) בתשתית הדיירים שלכם, ודאו שהערכת ה-ATO של FedRAMP מכסה את התשתית הזו, ולא את מודלי ה-LLM הנפרדים. Google Cloud לדוגמה, אתם צריכים לעמוד בדרישות של ניטור רציף שלGoogle Cloud התשתית שאתם מקצים לפריסת LLM. אתם יכולים לשתף פעולה עם ארגון צד שלישי להערכה (3PAO) ועם Google כדי לקבל אישור לפעילות (ATO).
קבלת אישור ATO של FedRAMP
בהתאם לשינויים שמתבצעים ב-FedRAMP 20x, הדרך הזמינה לקבלת אישור FedRAMP היא Rev. 5 Agency ATO. כדי להשלים את השלבים שמובילים ל-ATO, צריך לעבוד עם Google ועם 3PAO. מידע על תהליך ה-ATO של הסוכנות, כולל קישורים למקורות מידע חשובים כמו מדריך ההרשאות של הסוכנות, זמין באתר FedRAMP.
אם אתם רוצים להשתמש בשירותים כדי לעמוד בדרישות התאימות של FedRAMP High, אתם צריכים להשתמש ב-Data Boundary for FedRAMP High. Google Cloud הבסיס של בקרת FedRAMP Moderate הוא קבוצת משנה של הבסיס של בקרת FedRAMP High. לכן, אם אתם רוצים לקבל אישור הפעלה (ATO) ברמת FedRAMP Moderate לפתרון שמוטמע ב-Google Cloud, אתם יכולים להשתמש בכל שירות של Google Cloud שאושר ברמת FedRAMP High בגבול ההרשאה שלכם ברמת FedRAMP Moderate. תצטרכו להעריך פחות אמצעי בקרה כדי לקבל אישור ATO ברמת FedRAMP Moderate בהשוואה לאמצעי הבקרה שצריך להעריך כדי לקבל אישור ATO ברמת FedRAMP High.
כדי לעזור לכם לקבל אישור ATO של FedRAMP, Google יכולה לספק לכם את המסמכים הבאים בנושא תאימות ל-FedRAMP High, בכפוף להסכם סודיות (NDA):Google Cloud
- מטריצת אחריות הלקוח (CRM): תיאורים מפורטים של האחריות שלכם כשמטמיעים את אמצעי הבקרה של NIST SP 800-53 בבסיס אמצעי הבקרה של FedRAMP High.
- תוכנית אבטחת מערכת (SSP): גבול הרשאת האבטחה והארכיטקטורה של המערכת. במסמך הזה מפורטים גם תיאורים מעמיקים של דרישות הבקרה של NIST SP 800-53 ו Google Cloud פרטים על הטמעה של אמצעי בקרה שרלוונטיים לבסיס הבקרה של FedRAMP High.
צוות המכירות שלנו או הנציג שלכם ב- Google Cloud יכולים לעזור לכם לקבל גישה לתיעוד הזה. אם אתם מייצגים סוכנות ממשלתית פדרלית, אתם יכולים גם לבקש את חבילת FedRAMP של Google באמצעות טופס הבקשה לגישה לחבילת FedRAMP.
הנחיות ופעולות אוטומטיות
Google מספקת מסמכי הדרכה ופתרונות אוטומציה שיעזרו לכם לעמוד בדרישות התאימות של FedRAMP, כמו שמתואר בקטע הזה.
הגדרת מדריכי מיפוי
בניגוד למיפוי הבקרה המקיף של Google Cloud FedRAMP High CRM, מדריכי מיפוי הבקרה (CMG) הם ספציפיים לשירות. המדריכים האלה מספקים כיסוי מפורט של אמצעי הבקרה עבור Google Cloud שירותים, כדי שתוכלו להגדיר את השירותים בהתאם לדרישות של FedRAMP High. ה-CMG מתייחסים לאמצעי הבקרה הרלוונטיים של NIST SP 800-53 שדורשים הגדרה טכנית מצדכם. בנוסף, ה-CMG מסבירים את השלבים שצריך לבצע בשירות מסוים (ובכל שירות תומך שלGoogle Cloud ו-Google Workspace), כדי לוודא שהאחריות הזו שקופה.
קבוצות CMG זמינות עבור שירותים נבחרים של Google Cloud Google Cloud, כולל BigQuery, Data Studio Pro, AI גנרטיבי ב-Agent Platform, Agent Search ב-Agent Platform, Cloud Logging, Compute Engine, Identity and Access Management (IAM) ועוד. כדי לקבל גישה למסמכים האלה במסגרת הסכם סודיות (NDA), אפשר לפנות לצוות המכירות או לנציג שלכם ב- Google Cloud.
מדריכי הטמעה של FedRAMP High
מדריכי ההטמעה של FedRAMP High מיועדים לתיעוד של ממשקי API ספציפיים לשירות שנכללים בהיקף של FedRAMP High, כולל תכונות שירות מושפעות ושדות נתונים שמתאימים לאחסון נתונים מוגנים. לדוגמה, במדריכים האלה מוסבר על ממשקי API ספציפיים לשירות שעומדים בדרישות של FedRAMP High, ומסופקים פרטים נוספים על הגדרות שמשמשים לעומסי עבודה ספציפיים של Google Cloudשירותים ב-FedRAMP High. התצורות האלה לא נאכפות כברירת מחדל, ואתם צריכים לנהל אותן.
מדריכי הטמעה ברמת FedRAMP High זמינים לשירותים נבחרים Google Cloud, כולל Apigee, BigQuery, Cloud Key Management Service, Logging, Google Kubernetes Engine (GKE), Generative AI on Agent Platform, חיפוש מבוסס סוכנים on Agent Platform, Cloud Storage ועוד. כדי לקבל גישה לתיעוד הזה במסגרת הסכם סודיות, אפשר לפנות לצוות המכירות או לGoogle Cloud הנציג שלכם.
המיקום של נתונים ותאימות לתקן SA-9(5)
כשפורסים את האפליקציה ב- Google Cloud, דרישות המיקום של נתוני FedRAMP חלות רק על בסיס הבקרה FedRAMP High. כדי לאכוף את הדרישות האלה, צריך לבחור באפשרות Assured Workloads Data Boundary for FedRAMP High. אם אתם מנסים לקבל אישור FedRAMP Moderate ובחרתם ב-Assured Workloads Data Boundary for FedRAMP Moderate, לא יהיו לכם אמצעי בקרה על מיקום הנתונים כי הדרישות לא חלות עליכם.
Google Cloud מספקת התחייבויות חוזיות לגבי מיקום הנתונים בשירותים אזוריים, שמאפשרות לכם להגדיר שירות לשימוש במיקום נתונים ספציפי. ההתחייבויות האלה עוזרות להבטיח שהנתונים שלכם ברמת FedRAMP High מאוחסנים באזור בארצות הברית, יישארו בארצות הברית ולא יועברו לאזור אחר מחוץ לארצות הברית. דוגמאות לנתונים ברמת FedRAMP High כוללות נתונים ששייכים לרשויות אכיפת החוק, לשירותי חירום, לשירותים פיננסיים, למערכות בריאות ולמערכות בריאות הציבור, או לכל אחד מ-16 הסקטורים של התשתית הקריטית.
שירותים מסוימים Google Cloud הם לא אזוריים או גלובליים, ואי אפשר לציין את האזור שבו השירות נפרס. הגישה הזו נדרשת כדי שהשירותים הגלובליים יפעלו בצורה תקינה. חלק מהשירותים האלה, שהם לא אזוריים או גלובליים, לא מעורבים בעיבוד, בהעברה או באחסון של הנתונים שלכם ב-FedRAMP High. היכולות של שמירת נתונים במקום מסוים בשירותים לא אזוריים או גלובליים הן מוגבלות.
ביולי 2020, FedRAMP פרסמה עדכון לבסיס FedRAMP High SA-9(5) control כדי להגביל את המיקום הגיאוגרפי של שירותי מידע על נתונים בעלי השפעה גבוהה לארצות הברית או לטריטוריות שנמצאות תחת סמכות שיפוט של ארה"ב. אחרי העדכון הזה, חלק מהשירותים סומנו בFedRAMP Marketplace בכוכבית וההבהרה הבאה: "שירותים שמסומנים בכוכבית (*) לא עומדים בדרישה SA-9(5). Google Cloud מידע נוסף זמין במכתב JAB P-ATO."
שירותים מסוימים Google Cloud שסומנו ב-FedRAMP Marketplace ככאלה שלא עומדים בדרישות SA-9(5) עדיין לא נבדקו על ידי 3PAO לצורך שליחה מחדש אל GSA עם הוכחות מעודכנות של SA-9(5). Google פועלת באופן פעיל כדי להסיר את ההבהרות בנושא SA-9(5) מ-FedRAMP Marketplace. מידע נוסף על הסטטוס של השירותים האלה זמין בכרטיסייה SA-9(5) במסמך FedRAMP High CRM.
בזמן שאנחנו בודקים מחדש את השירותים שאושרו על ידי FedRAMP High בהתאם להבהרה SA-9(5), Google ממליצה להטמיע אמצעי בקרה לצמצום הסיכון, כפי שמתואר בהנחיות RMF, כדי לטפל בהגבלות הגיאוגרפיות על נתונים ב-FedRAMP High. Google Cloudלדוגמה, אפשר להשתמש בהצפנת נתונים כדי לקבוע שליטה בלעדית בנתונים ברמת FedRAMP High, כמו שמוסבר בהמשך הקטע הזה.
ריבונות דיגיטלית ומיקום הנתונים
Google מדגישה את הריבונות הדיגיטלית, מושג שמבטיח את אבטחת הנתונים ללא קשר למיקום הפיזי. הגישה הזו מתבססת על Assured Workloads ועל קהילת ענן מוגדרת באמצעות תוכנה. בניגוד לריבונות פיזית רגילה שמדגישה את המיקום של הנתונים, Google Cloud אמצעי הבקרה של הריבונות הדיגיטלית מספקים הגנה משופרת על הנתונים.
ריבונות דיגיטלית מעניקה לכם סמכות על הגנה על נתונים, ומבטלת את הצורך להסתמך על הבטחות מספקי ענן או ממעריכים של צד שלישי. ריבונות דיגיטלית פירושה שיש לכם שליטה בלעדית על הגישה לנתונים שלכם באמצעות בעלות בלעדית על מפתחות הצפנה של הנתונים.
בהתאם להנחיות RMF, Google ממליצה להטמיע אמצעי בקרה לצמצום הסיכון לגישה לנתונים ברמת FedRAMP High בזמן העברה בתשתית הרשת או במהלך אחסון פוטנציאלי באזור ענן שאינו בארה"ב. המנגנון העיקרי להגבלת הגישה הוא הצפנת הנתונים בזמן ההעברה ובזמן האחסון.
כדי להגן על הנתונים שלכם ברמת FedRAMP High ולהגביל את הגישה רק למשתמשים מורשים, אתם יכולים להשתמש במפתחות הצפנה בניהול הלקוח להצפנת נתונים במצב מנוחה. Google Cloud מספקת גם הצפנת נתונים במעבר. בקטעים הבאים מתוארות טכנולוגיות הצפנת הנתונים שזמינות לכם ב- Google Cloud. הצפנת נתונים עוזרת למנוע קריאה של נתונים ברמת FedRAMP High בזמן ההעברה, או גישה אליהם על ידי דיירים אחרים ועובדי Google בזמן שהם מאוחסנים במצב מנוחה.
מפתחות הצפנה בניהול הלקוח
מפתחות הצפנה בניהול הלקוח (CMEK) ב-(Cloud KMS) מאפשרים לכם להיות הבעלים של המפתחות שמגנים על הנתונים במצב מנוחה ב- Google Cloudולשלוט בהם.Google Cloud שירות שיכול להשתמש במפתחות שלכם כולל שילוב CMEK. אתם יכולים לנהל את מפתחות ה-CMEK האלה ישירות או דרך Cloud KMS Autokey. שירותים שתומכים בשילובים של CMEK משתמשים במפתחות Cloud KMS שלכם כדי להצפין או לארוז את מפתחות ההצפנה של הנתונים (DEK). הצפנת מפתחות DEK באמצעות מפתחות להצפנת מפתחות הצפנה (KEK) נקראת הצפנת מעטפת. מידע נוסף זמין במאמר שיטות מומלצות לשימוש במפתחות CMEK. במאמר הזה מפורטת רשימת השירותים שתומכים ב-CMEK.
בעזרת Cloud External Key Manager (Cloud EKM) אפשר להשתמש במפתחות הצפנה שמנוהלים מחוץ ל- Google Cloud כדי להגן על נתונים בתוך Google Cloud. אתם יכולים להגן על נתונים במנוחה בשירותים נתמכים עם שילוב CMEK או על ידי קריאה ישירה ל-Cloud Key Management Service API.
Google מציעה את ההבטחות הבאות לגבי האבטחה של מפתחות ההצפנה ב-Cloud KMS:
- אי אפשר לייצא ולהציג חומר מפתח מפוענח דרך ממשק ה-API וגם לא באמצעות ממשק משתמש אחר.
- לאנשי Google אין גישה לחומרי מפתחות של לקוחות שלא מוצפנים. בנוסף, חומר המפתח מוצפן באמצעות מפתח מאסטר של KMS ב-Keystore, ולצוות של Google אין גישה למפתח המאסטר של KMS.
- במודול אבטחה לחומרה (HSM), אף פעם לא מתבצעת גישה לחומר מפתח במצב מפוענח, על ידי משימות ב-Cloud KMS API. מודולי ה-HSM שזמינים לכם ב- Google Cloud עברו אימות FIPS 140.
- לאופרטורים של מערכות Google אין גישה לחומרי מפתחות של לקוחות, והם לא יכולים להשתמש בהם או לחלץ אותם כשהם מבצעים את המשימות שלהם, כפי שמוגדר בתהליכי ההפעלה הרגילים.
אימות FIPS 140 נדרש לאישור FedRAMP. לדוגמה, אמצעי הבקרה SC-13 Cryptographic Protection מחייב שימוש בהצפנה שאומתה על ידי FIPS 140 או בהצפנה שאושרה על ידי NSA. Google מספקת לכם מודולים קריפטוגרפיים להצפנת נתונים במנוחה ובמעבר, עם אימות FIPS 140.
הצפנה במנוחה
Google Cloud encrypts data at rest by default.Google Cloud provides transparent server-side encryption for storage services using a FIPS 140 validated AES-256 symmetric block cipher. אתם יכולים גם ליצור מפתחות הצפנה משלכם, לנהל אותם באמצעות Cloud KMS ולאחסן אותם ב-HSM מבוסס-ענן או חיצוני.
Cloud HSM מאפשר לכם לארח מפתחות הצפנה ולבצע פעולות קריפטוגרפיות באשכול של מודולי HSM עם אימות FIPS. שירות Cloud HSM משתמש ב-Cloud KMS כקצה קדמי שלו כדי לתת לכם גישה ליכולות שילוב של CMEK ולתכונות אחרות ש-Cloud KMS מספק. כי Google Cloudמשתמשים בקריפטוגרפיה חזקה מאומתת FIPS 140 ולכן רק משתמשים שיש להם את מפתח ה-CMEK שלכם יכולים לגשת לנתונים המוצפנים.
Google Cloud תומך גם במפתחות בניהול הלקוח לצורך הצפנה של דיסקים שמצורפים למכונות וירטואליות. בנוסף, Google Cloud תומך בהצפנה מצד הלקוח, שמאפשרת להצפין נתונים בסביבת האפליקציה שלכם לפני שאתם שולחים אותם לענן.
הצפנת נתונים בזמן ההעברה
Google Cloud תמיכה בהצפנת נתונים בזמן ההעברה, באופן הבא:
- ההצפנה השקופה מתרחשת בכל עמוד השדרה של הרשת שנמצאת בשליטת Google, בתעבורת הרשת בין אזורים של מרכזי נתונים ואזורי זמינות. ההצפנה הזו מיושמת בשכבת קישור הנתונים הפיזית (שכבה 2 במערך הרשת) באמצעות אבטחת בקרת גישה למדיה (MACsec).
- תעבורת נתונים מ-VM ל-VM בתוך רשת של ענן וירטואלי פרטי (VPC) ורשתות VPC שמקושרות לרשתות שכנות, מוצפנת באופן שקוף.
- בשכבת האפליקציה, Google מאפשרת להשתמש בTransport Layer Security (TLS) להצפנת נתונים בזמן ההעברה. בנוסף, נקודות הקצה של השירות תומכות ב-TLS כדי ליצור חיבור HTTPS מאובטח כשמבצעים קריאות ל-API.
- אפשר ליצור חיבורים בין VPC לבין התשתית המקומית באמצעות Cloud VPN, שיוצר מנהרה מאובטחת ומוצפנת באינטרנט או באמצעות מעגלים פרטיים ישירים.
הצפנה של נתונים במעבר כוללת הצפנה במעבר בין משתמש הקצה לבין Google, והצפנה במעבר בתוך הרשתות של Google. מידע נוסף זמין במאמר בנושא הצפנה במעבר ב-Google Cloud.
המאמרים הבאים
כדי להתחיל בתהליך קבלת אישור FedRAMP לפריסה שלכם, כדאי לעיין במידע הבא: Google Cloud
- היקף התאימות ל-FedRAMP ול-DoD
- הגדרת רשתות ל-FedRAMP ול-DoD ב-Google Cloud
- הצעה לתאימות ל-FedRAMP ב- Google Cloud
- עמידה בדרישות רגולטוריות, בדרישות תאימות ובדרישות פרטיות
- אחריות משותפת וגורל משותף ב-Google Cloud
- Data Boundary באמצעות Assured Workloads
- מוצרים נתמכים לפי חבילת בקרה
- הערך של Google Cloudב-FedRAMP Marketplace
- FedRAMP 20x Initiative
- FedRAMP Rev 5 Agency Authorization
- מסמכים ותבניות של FedRAMP
- NIST SP 800-53: Security and Privacy Controls for Information Systems and Organizations
- NIST SP 800-37: Risk Management Framework for Information Systems and Organizations: A System Life Cycle Approach for Security and Privacy
- NIST FIPS 199: תקנים לסיווג אבטחה של מידע פדרלי ומערכות מידע