Orientação de implementação do FedRAMP no Google Cloud

Este documento esclarece como Google Cloud o Google Cloud oferece suporte às suas necessidades de conformidade com o FedRAMP e direciona você a recursos para configurar serviços que atendam aos requisitos do FedRAMP. Este documento foi criado para profissionais de segurança, compliance e TI responsáveis pela implementação e conformidade do FedRAMP no Google Cloud.

De acordo com o modelo de responsabilidade compartilhada, você é responsável por entender seus requisitos de compliance e segurança e configurar seu Google Cloud ambiente de maneira adequada. Ao implementar o suporte do FedRAMP, recomendamos que você procure aconselhamento jurídico independente relacionado às suas responsabilidades do FedRAMP.

Sobre o FedRAMP

O framework do Programa Federal de Gerenciamento de Risco e Autorização (FedRAMP) foi estabelecido pelo governo federal dos EUA para padronizar a avaliação de segurança, a autorização e o monitoramento contínuo de produtos e serviços de nuvem em todas as agências governamentais. Em 2022, o Congresso codificou o FedRAMP como "um programa governamental que oferece uma abordagem padronizada e reutilizável para avaliação e autorização de segurança de produtos e serviços de computação em nuvem que processam informações não classificadas usadas por agências".

Em 2025, o FedRAMP iniciou uma revisão significativa do programa como parte da iniciativa FedRAMP 20x. Essas mudanças visam adotar o monitoramento e a aplicação automatizados das práticas recomendadas de segurança comercial para atender aos requisitos mínimos de segurança dos sistemas de informação federais. O FedRAMP está fazendo a transição de uma documentação dispendiosa, ineficiente e compilada manualmente para relatórios de segurança orientados por dados e liderados pelo setor. Para informações sobre como o Google está oferecendo suporte à iniciativa FedRAMP 20x, consulte Aceleração do FedRAMP 20x: como Google Cloud o Google Cloud está automatizando a conformidade.

O FedRAMP é baseado no padrão SP 800-53 do Instituto Nacional de Padrões e Tecnologia (NIST, na sigla em inglês), aumentado pelos controles e melhorias de controle do FedRAMP. Todos os modelos de serviços e implantações em nuvens de agências federais , exceto determinadas nuvens privadas locais, precisam atender aos requisitos do FedRAMP no nível adequado de impacto de risco (baixo, médio ou alto) com base nas diretrizes do NIST FIPS 199. O número de controles NIST SP 800-53 no valor de referência correspondente aumenta à medida que o nível de impacto aumenta. Por exemplo, o valor de referência moderado do FedRAMP tem 325 controles, enquanto o valor de referência alto do FedRAMP tem 421 controles.

O FedRAMP é um programa de avaliação e autorização, não uma certificação ou credenciamento único. Ele inclui monitoramento contínuo para garantir a eficácia dos controles de segurança em uma oferta de serviço de nuvem, adaptando-se a cenários de ameaças em evolução e mudanças no ambiente do sistema.

Google Cloud Autorização do FedRAMP

O Conselho do FedRAMP (anteriormente conhecido como Conselho de Autorização Conjunto ou JAB, na sigla em inglês) é o principal órgão de administração do FedRAMP. O Conselho do FedRAMP inclui CIOs do Departamento de Defesa (DoD, na sigla em inglês), do Departamento de Segurança Interna (DHS, na sigla em inglês) e da Administração de Serviços Gerais (GSA, na sigla em inglês).

O Conselho do FedRAMP emitiu uma Autoridade Provisória para Operar (P-ATO) de nível alto para o Google Cloud e a infraestrutura comum do Google (GCI, na sigla em inglês) subjacente. Google Cloud A autorização FedRAMP de nível alto representa a maior barra para a conformidade do FedRAMP.

Após as melhorias do FedRAMP 20x, a GSA se tornou a agência autorizadora do Google Cloud, que envia periodicamente serviços adicionais à GSA para autorização do FedRAMP de nível alto. O valor de referência de controle do FedRAMP de nível médio é um subconjunto do valor de referência de controle do FedRAMP de nível alto. Portanto, uma autorização FedRAMP de nível alto oferece cobertura abrangente para todos os requisitos de controle do FedRAMP de nível médio.

Para mais informações sobre Google Cloud a conformidade do Google Cloud com o FedRAMP, consulte Conformidade com o FedRAMP.

Serviços no escopo da auditoria

Google Cloud O Google Cloud mantém uma P-ATO abrangente do FedRAMP de nível alto que abrange mais de 150 serviços de nuvem. Esse escopo permite criar uma ampla variedade de aplicativos no Google Cloud Google Cloud e buscar sua ATO do FedRAMP herdando controles de segurança da plataforma subjacente Google Cloud Por exemplo, é possível usar modelos de machine learning (ML) e serviços de inteligência artificial (IA), incluindo agentes de IA, IA generativa e IA multimodal nas suas Google Cloud implantações.

Para mais informações sobre o Google Cloud escopo da auditoria do FedRAMP, consulte Escopo de conformidade com FedRAMP e DoD e o Google Cloud FedRAMP Marketplace.

IA e LLMs

Google Cloud O Google Cloud pode ajudar você a atender aos requisitos de conformidade do FedRAMP para cargas de trabalho que incluem modelos de ML e aplicativos de IA. É possível usar Google Cloud serviços autorizados peloFedRAMP, como aIA generativa na Gemini Enterprise Agent Platform e a inferência da Gemini Enterprise Agent Platform: em lote e on-line para interagir com mais de 200 modelos de linguagem grandes (LLMs) próprios, de terceiros e de código aberto que estão disponíveis no nosso Model Garden. Para mais informações, consulte Modelos compatíveis com o Model Garden.

Os LLMs individuais não são autorizados de forma independente pelo FedRAMP, e não há registro da autorização deles no FedRAMP Marketplace. Em vez disso, o Marketplace reflete autorizações para serviços de nuvem, como a IA generativa na Agent Platform e a inferência da Agent Platform: Batch e Online, que o Google envia para aprovação. No entanto, a infraestrutura em nuvem subjacente usada para a implantação de LLMs precisa obedecer aos requisitos de conformidade do FedRAMP, incluindo a infraestrutura usada para monitoramento contínuo. Esse requisito é atendido para modelos gerenciados pelo Google, como LLMs próprios do Google (por exemplo, a família de modelos Gemini) e modelos de parceiros da Anthropic, que oferecem suporte à Capacidade de Processamento Provisionada. Consequentemente, o uso de serviços da Agent Platform autorizados pelo FedRAMP de nível alto permite a interação com esses modelos compatíveis em um ambiente FedRAMP de nível alto.

O Google continua implementando disposições de monitoramento para mais LLMs hospedados na infraestrutura gerenciada pelo Google. Embora o Google seja responsável por autorizar a infraestrutura de veiculação e os contêineres personalizados para implantar modelos de código aberto, a segurança dos modelos de código aberto é sua responsabilidade.

Para mais informações sobre LLMs autoimplantados, consulte Visão geral dos modelos autoimplantados. Se você implantar LLMs na sua própria Google Cloud infraestrutura de locatário, verifique se a avaliação da ATO do FedRAMP abrange essa infraestrutura, não os LLMs individuais. Por exemplo, é necessário atender aos requisitos de monitoramento contínuo da Google Cloud infraestrutura provisionada para a implantação de LLMs. É possível colaborar com sua organização terceirizada de avaliação (3PAO, na sigla em inglês) e o Google para buscar sua ATO.

Como conseguir sua ATO do FedRAMP

Com base nas mudanças contínuas do FedRAMP 20x, o caminho disponível para a autorização do FedRAMP é a Agência Rev. 5 ATO. É necessário trabalhar com o Google e sua 3PAO para concluir as etapas que levam a uma ATO. Para informações sobre o processo de ATO da agência, incluindo links para recursos importantes, como o manual de autorização da agência, consulte o site do FedRAMP.

Se você quiser usar Google Cloud serviços para cumprir as obrigações de conformidade do FedRAMP de nível alto, será necessário usar o limite de dados do Assured Workloads para o FedRAMP de nível alto. O valor de referência de controle do FedRAMP de nível médio é um subconjunto do valor de referência de controle do FedRAMP de nível alto. Portanto, se você quiser uma ATO do FedRAMP de nível médio para uma solução implantada no Google Cloud, poderá usar qualquer Google Cloud serviço autorizado pelo FedRAMP de nível alto no limite de autorização do FedRAMP de nível médio. Será necessário avaliar menos controles para uma ATO do FedRAMP de nível médio em comparação com os controles que você precisa avaliar para a ATO do FedRAMP de nível alto.

Para ajudar com sua ATO do FedRAMP, o Google pode fornecer a seguinte Google Cloud documentação de conformidade do FedRAMP de nível alto sob um contrato de confidencialidade (NDA):

• Matriz de responsabilidade do cliente (CRM): descrições detalhadas das suas responsabilidades ao implementar os controles NIST SP 800-53 no valor de referência de controle do FedRAMP de nível alto.
• Plano de segurança do sistema (SSP): o limite de autorização de segurança e como o sistema é arquitetado. Esse documento também fornece descrições detalhadas dos requisitos de controle NIST SP 800-53 e Google Cloud detalhes de implementação de controle aplicáveis ao valor de referência de controle do FedRAMP de nível alto.

Nossa equipe de vendas ou seu Google Cloud representante pode ajudar a fornecer acesso a essa documentação. Se você for uma agência do governo federal, também poderá solicitar o pacote FedRAMP do Google usando o formulário de solicitação de acesso ao pacote FedRAMP.

Orientação e automação

O Google fornece documentação de orientação e soluções de automação para ajudar você com suas obrigações de conformidade do FedRAMP, conforme descrito nesta seção.

Guias de mapeamento de controles

Ao contrário da CRM abrangente do Google Cloud FedRAMP de nível alto, os guias de mapeamento de controles (CMGs, na sigla em inglês) são específicos do serviço. Esses guias fornecem cobertura de controle detalhada para os serviços do Google Cloud para que você possa configurar os serviços para atender aos requisitos do FedRAMP de nível alto. Google Cloud Os CMGs abordam os controles NIST SP 800-53 relevantes que exigem configuração técnica. Os CMGs também esclarecem as etapas que você precisa seguir para um serviço específico (e todos os serviços de suporte Google Cloud e do Google Workspace), para ajudar a garantir que essas responsabilidades sejam transparentes.

Os CMGs estão disponíveis para serviços selecionados, incluindo BigQuery, Data Studio Pro, IA generativa no Agent Platform, Agent Search no Agent Platform, Cloud Logging, Compute Engine, Identity and Access Management (IAM) e muito mais. Google Cloud Entre em contato com nossa equipe de vendas ou seu Google Cloud representante para ter acesso a essa documentação sob um contrato de confidencialidade (NDA).

Guias de implementação do FedRAMP de nível alto

Os guias de implementação do FedRAMP de nível alto têm como objetivo cobrir APIs específicas do serviço que estão no escopo do FedRAMP de nível alto, incluindo recursos de serviço afetados e campos de dados adequados para armazenar dados protegidos. Por exemplo, esses guias descrevem APIs específicas do serviço que atendem aos requisitos do FedRAMP de nível alto e fornecem detalhes de configuração extras que você usa com o Google Cloud serviço específico para cargas de trabalho do FedRAMP de nível alto. Essas configurações não são aplicadas por padrão e precisam ser gerenciadas por você.

Os guias de implementação do FedRAMP de nível alto estão disponíveis para serviços selecionados Google Cloud, incluindo Apigee, BigQuery, Cloud Key Management Service, Logging, Google Kubernetes Engine (GKE), IA generativa na Agent Platform, Agent Search na Agent Platform, Cloud Storage e muito mais. Entre em contato com nossa equipe de vendas ou seu Google Cloud representante para ter acesso a essa documentação sob um NDA.

Residência de dados e conformidade com SA-9(5)

Ao implantar seu aplicativo no Google CloudGoogle Cloud, os requisitos de residência de dados do FedRAMP são obrigatórios apenas pelo valor de referência de controle do FedRAMP de nível alto. Para aplicar esses requisitos, escolha o limite de dados do Assured Workloads para o FedRAMP de nível alto. Se você estiver buscando uma autorização do FedRAMP de nível médio e escolher o limite de dados do Assured Workloads para o FedRAMP de nível médio, não terá controles de residência de dados, já que os requisitos não se aplicam a você.

Google Cloud O Google Cloud oferece compromissos contratuais de residência de dados para serviços regionais, que permitem configurar um serviço para usar um local de dados específico. Esses compromissos ajudam a garantir que os dados do FedRAMP de nível alto sejam armazenados em uma região dos Estados Unidos, permaneçam nos Estados Unidos e não sejam movidos para outra região fora dos Estados Unidos. Alguns exemplos de dados do FedRAMP de nível alto incluem dados pertencentes a agências de aplicação da lei, serviços de emergência, serviços financeiros serviços, sistemas de saúde e saúde pública ou qualquer um dos 16 setores de infraestrutura crítica.

Alguns Google Cloud serviços são não regionais ou globais por design e não permitem especificar a região em que o serviço é implantado. Essa abordagem de design é necessária para que os serviços globais funcionem corretamente. Alguns desses serviços não regionais ou globais não estão implicados no tratamento, transmissão ou armazenamento dos seus dados do FedRAMP de nível alto. Os recursos de residência de dados para serviços não regionais ou globais são limitados.

Em julho de 2020, o FedRAMP lançou uma atualização para o controle SA-9(5) do valor de referência do FedRAMP de nível alto para restringir a localização geográfica dos serviços de informação de dados de alto impacto aos Estados Unidos ou territórios sob jurisdição dos EUA. Após essa atualização, alguns Google Cloud serviços foram sinalizados no FedRAMP Marketplace com um asterisco e o seguinte esclarecimento: "Os serviços marcados com um asterisco (*) não atendem ao requisito SA-9(5). Consulte a carta P-ATO do JAB para mais informações".

Alguns Google Cloud serviços que foram sinalizados no FedRAMP Marketplace como não atendendo aos requisitos SA-9(5) ainda não foram revisados pela nossa 3PAO para reenvio à GSA com evidências atualizadas de SA-9(5). O Google está buscando ativamente esses envios com o objetivo de remover os esclarecimentos SA-9(5) do FedRAMP Marketplace. Para mais informações sobre o status desses serviços, consulte a guia SA-9(5) no documento CRM do FedRAMP de nível alto.

Enquanto o processo de reavaliação dos serviços autorizados pelo FedRAMP de nível alto Google Cloud com o esclarecimento SA-9(5) está em andamento, o Google recomenda que você implemente controles de mitigação conforme descrito nas diretrizes do RMF para resolver as restrições geográficas de dados do FedRAMP de nível alto. Por exemplo, é possível usar a criptografia de dados para estabelecer controle exclusivo sobre os dados do FedRAMP de nível alto, conforme explicado no restante desta seção.

Soberania digital e residência de dados

O Google enfatiza a soberania digital, um conceito que protege os dados, independentemente da localização física. Essa abordagem depende do Assured Workloads e da nuvem comunitária definida por software. Ela contrasta com a soberania física convencional que enfatiza a residência de dados, Google Cloud os controles de soberania digital oferecem proteção de dados aprimorada.

A soberania digital concede autoridade sobre a proteção de dados, eliminando a necessidade de depender de garantias de provedores de nuvem ou avaliadores terceirizados. A soberania digital implica que você tem controle exclusivo sobre o acesso aos seus dados por meio da propriedade exclusiva das chaves de criptografia de dados.

De acordo com as diretrizes do RMF, o Google recomenda que você implemente controles de mitigação para resolver o risco de acesso aos dados do FedRAMP de nível alto durante o trânsito pela infraestrutura de rede ou durante o possível armazenamento em uma região de nuvem fora dos EUA. O mecanismo principal para restrição de acesso é a criptografia de dados em trânsito e em repouso.

Para ajudar a proteger seus dados do FedRAMP de nível alto e restringir o acesso apenas aos seus usuários autorizados, é possível usar chaves de criptografia gerenciadas pelo cliente para criptografia de dados em repouso. Google Cloud O Google Cloud também oferece criptografia de dados em trânsito. As seções a seguir descrevem as tecnologias de criptografia de dados que estão disponíveis no Google Cloud Google Cloud. A criptografia de dados ajuda a impedir que os dados do FedRAMP de nível alto sejam lidos durante o trânsito ou acessados por outros locatários e funcionários do Google enquanto armazenados em repouso.

Chaves de criptografia gerenciadas pelo cliente

As chaves de criptografia gerenciadas pelo cliente (CMEK) no ( Cloud KMS) do Google Cloud oferecem a propriedade e o controle das chaves que protegem seus dados em repouso no Google Cloud Google Cloud. Um serviço do Google Cloud que pode usar suas chaves tem uma integração de CMEK.Google CloudÉ possível gerenciar essas CMEKs diretamente ou pela chave automática do Cloud KMS. Os serviços que oferecem suporte a integrações de CMEK usam suas chaves do Cloud KMS para criptografar ou unir suas chaves de criptografia de dados (DEKs, na sigla em inglês). A união de DEKs com chaves de criptografia de chaves (KEKs, na sigla em inglês) é chamada de criptografia de envelope. Para mais informações, consulte Práticas recomendadas para usar CMEKs. Para uma lista de serviços que oferecem suporte a CMEK, consulte Serviços compatíveis.

Com o Cloud External Key Manager (Cloud EKM), é possível usar chaves de criptografia gerenciadas externamente fora do Google Cloud para ajudar a proteger dados no Google Cloud Google Cloud. Google Cloud É possível proteger os dados em repouso em serviços com suporte de integração de CMEKs ou chamando a API Cloud Key Management Service diretamente.

O Google oferece as seguintes garantias sobre a segurança das chaves de criptografia no Cloud KMS:

• O material da chave descriptografada não pode ser exportado ou visualizado pela interface da API ou por outra interface do usuário.
• Os funcionários do Google não podem acessar o material de chave não criptografado do cliente. Além disso, o material da chave é criptografado com uma chave-mestra do KMS no keystore, e a chave-mestra do KMS não está acessível aos funcionários do Google.
• Em um módulo de segurança de hardware (HSM), o material da chave nunca é acessado em um estado descriptografado por jobs da API Cloud KMS. Os HSMs disponibilizados no Google Cloud são validados pelo FIPS 140 . Google Cloud
• Os operadores do sistema do Google são impedidos de acessar, usar ou extrair o material da chave do cliente durante o desempenho das tarefas, conforme definido nos procedimentos operacionais padrão.

A validação FIPS 140 é necessária para a autorização do FedRAMP. Por exemplo, o controle de proteção criptográfica SC-13 exige o uso de criptografia validada pelo FIPS 140 ou criptografia aprovada pela NSA. O Google oferece módulos de criptografia para criptografia de dados em repouso e em trânsito que têm validação FIPS 140.

Criptografia de dados em repouso

Google Cloud O Google Cloud criptografa os dados em repouso por padrão. Google Cloud Ele oferece criptografia transparente do lado do servidor para serviços de armazenamento usando uma cifra de bloco simétrica AES-256 validada pelo FIPS 140. Também é possível criar suas próprias chaves de criptografia gerenciadas com o Cloud KMS e armazenadas em HSMs externos ou baseados na nuvem.

O Cloud HSM permite hospedar chaves de criptografia e executar operações criptográficas em um cluster de HSMs validados pelo FIPS 140. O Cloud HSM usa o Cloud KMS como front-end para dar acesso aos recursos de integração de CMEK e outros recursos fornecidos pelo Cloud KMS. Como o Google Cloud Google Cloud emprega criptografia validada pelo FIPS 140, seus dados criptografados só podem ser acessados por usuários que possuem sua CMEK.

Google Cloud O Google Cloud também oferece suporte a chaves gerenciadas pelo cliente para criptografar discos conectados a máquinas virtuais. Além disso, Google Cloud oferece suporte à criptografia no lado do cliente, em que é possível criptografar dados no seu próprio ambiente de aplicativo antes de enviá-los para a nuvem.

Criptografia de dados em trânsito

Google Cloud O Google Cloud oferece suporte à criptografia de dados em trânsito da seguinte maneira:

• A criptografia transparente ocorre em toda a rede de backbone controlada pelo Google do tráfego de rede entre regiões de data center e zonas de disponibilidade. Essa criptografia é implementada na camada de link de dados físicos (camada 2 na pilha de rede) usando a segurança de controle de acesso à mídia (MACsec).
• O tráfego de VM para VM em uma rede de nuvem privada virtual (VPC) e em redes VPC com peering é criptografado de forma transparente.
• Na camada de aplicativo, o Google permite usar Transport Layer Security (TLS) para criptografia de dados em trânsito. Além disso, os endpoints de serviço aceitam TLS para criar uma conexão HTTPS segura ao fazer chamadas de API.
• As conexões entre a VPC e sua infraestrutura local estão disponíveis usando o Cloud VPN, que cria um túnel criptografado seguro pela Internet ou por circuitos privados diretos.

A criptografia de dados em trânsito inclui a criptografia em trânsito entre o usuário final e o Google e a criptografia em trânsito nas redes do Google. Para mais informações, consulte Criptografia em trânsito para o Google Cloud Google Cloud.

A seguir

Para começar a usar a autorização do FedRAMP para sua Google Cloud implantação, revise o seguinte:

• Escopo de conformidade com FedRAMP e DoD
• Configurar redes para FedRAMP e DoD no Google Cloud
• Oferta de conformidade do FedRAMP no Google Cloud Google Cloud
• Atender às necessidades regulatórias, de compliance e de privacidade
• Responsabilidades compartilhadas e destino compartilhado no Google Cloud
• Limite de dados com o Assured Workloads
• Produtos com suporte por pacote de controle
• Entrada do FedRAMP Marketplace para o Google Cloud Google Cloud
• Iniciativa FedRAMP 20x
• Autorização da agência Rev 5 do FedRAMP
• Documentos e modelos do FedRAMP
• NIST SP 800-53: controles de segurança e privacidade para organizações e sistemas de informação
• NIST SP 800-37: framework de gerenciamento de riscos para sistemas de informação e organizações: uma abordagem do ciclo de vida do sistema para segurança e privacidade
• NIST FIPS 199: padrões para categorização de segurança de informações e sistemas de informação federais