Diese Einstellungen und Funktionen können in Kombination eine Vielzahl von Compliance-Anforderungen erfüllen. Allerdings sind Sie dafür verantwortlich, Ihre Compliance-Anforderungen anhand der Anforderungen von Impact Level 4 (IL4) und anderer Standards zu bewerten.
Dieser Artikel bietet einen Überblick über empfohlene Einstellungen und Funktionen, die Google Workspace-Administratoren aktivieren sollten, um die Einhaltung der IL4-Sicherheitskontrollen zu unterstützen. Die IL4-Dokumentation in eMASS enthält eine vollständige Beschreibung der zusätzlichen Funktionen, die zur Erfüllung der IL4-Anforderungen erforderlich sind.
Google Workspace und IL4
In der Branche gilt Cloud-Sicherheit als gemeinsame Verantwortung von Kunden und Cloud-Dienstanbietern. Google Workspace erfüllt für seinen Teil die Sicherheitskontrollen, die von der US‑Bundesregierung und den globalen Standards für Sicherheit und Datenschutz in der Cloud gefordert werden. So gilt für Google Workspace beispielsweise die IL4- und FedRAMP High-Autorisierung. Der Dienst ist außerdem nach ISO 27017, 27018 sowie 27001 zertifiziert und wird gemäß den SOC-Standards (Service Organization Control) des AICPA (American Institute of Certified Public Accountants) geprüft. Weitere Informationen zu den Compliance-Angeboten und Compliance‑Berichten von Google Workspace
Google Workspace bietet IL4-Compliance-Kontrollen für Kunden des US‑Verteidigungsministeriums (Department of Defense, DOD), die innerhalb der IL4-Grenze arbeiten müssen.
Um die IL4-Compliance zu unterstützen, benötigen Sie die Google Workspace-Version Enterprise Plus und Assured Controls Plus.
Enterprise Plus mit Assured Controls Plus enthält eingebundene Sicherheitskontrollen und Funktionen, mit denen DOD-Kunden IL4-Compliance erreichen und eine eigene Betriebszulassung (Authority to Operate, ATO) erteilen können. Zu den wichtigsten Google Workspace-Funktionen, die die IL4-Compliance unterstützen, gehört die Möglichkeit, geografisch:
- Daten mithilfe von Speicherorten für Daten auf die USA zu beschränken
- Supportaktionen von Google-Mitarbeitern auf Personen in den USA zu beschränken, die Assured Controls Access Management verwenden
In den folgenden Abschnitten werden Funktionen und Kontrollen beschrieben, mit denen sich die Anforderungen der IL4-Richtlinie erfüllen lassen.
Von IL4 abgedeckte Dienste
Nutzer, die die IL4-Sicherheitsgrenze einhalten müssen, sollten nur auf die Dienste zugreifen dürfen, die gemäß IL4 autorisiert sind. Weitere Informationen finden Sie im Hilfeartikel Dienst für Google Workspace-Nutzer aktivieren oder deaktivieren.
Dienste, die derzeit von der IL4-Autorisierung abgedeckt sind:
- Gmail
- Google Kalender
- Google Chat
- Google Docs
- Google Drive
- Google Formulare
- Google Meet
- Google Sheets
- Google Präsentationen
Speicherort für Daten (USA)
Google besitzt und betreibt Rechenzentren in den kontinentalen Vereinigten Staaten (CONUS), in denen Google Workspace-Dienste gehostet werden.
Google kann die verschlüsselten primären ruhenden Daten von Google Workspace an einem bestimmten geografischen Standort speichern, wie z. B. in den USA oder in Europa. Wählen Sie die USA als Speicherort für Nutzer aus, die die IL4-Sicherheitsgrenze einhalten müssen.
DOD-Kunden sollten die Richtlinie für Speicherorte für alle ihre Nutzer festlegen. Wenn Sie Enterprise Plus, Education Plus oder Education Standard verwenden, können Sie einen Datenspeicherort für eine Organisationseinheit oder Konfigurationsgruppe angeben. Weitere Informationen zu Speicherorten für Daten und zum Auswählen eines geografischen Standorts für Ihre Daten finden Sie unter Speicherorte für Daten: Speicherort für Daten auswählen.
Assured Controls
Assured Controls ist ein Add‑on, das DOD-Kunden benötigen, um die IL4-Compliance-Anforderungen zu erfüllen. Mit dem Add‑on können Sie den Zugriff von Cloud-Dienstanbietern präzise steuern. Mit Access Management haben Sie die Möglichkeit, Supportaktionen von Google-Mitarbeitern innerhalb unserer Supportteams geografisch auf US‑Personen zu beschränken. Zur Unterstützung der IL4-Compliance sollten Sie Google-Supportmitarbeiter mit diesem Add‑on geografisch auf US-amerikanische Personen beschränken.
Access Transparency
Access Transparency für Google Workspace ist eine Funktion, die Organisationen Einblick in die von Google-Mitarbeitern ausgeführten Aktionen bietet. DOD-Kunden sollten Access Transparency-Logs im Blick behalten, um den Zugriff auf ihre Daten nachzuverfolgen und zu überprüfen.
Schutz vor Datenverlust
Der Schutz vor Datenverlust (Data Loss Prevention, DLP) in Google Workspace umfasst eine Reihe von Tools und Prozessen, die die unbefugte Weitergabe, die Offenlegung oder den Diebstahl vertraulicher Informationen in der Google Workspace-Umgebung einer Organisation verhindern sollen. Sie können DLP-Richtlinien einrichten, um automatische Aktionen in Bezug auf sensible Daten auszuführen, z. B. die Übertragung der Daten zu blockieren, Administratoren zu benachrichtigen oder die Inhalte zur Überprüfung in Quarantäne zu verschieben.
DOD-Kunden sollten DLP einrichten, um zu überwachen und zu steuern, wie vertrauliche Informationen in ihrer Organisation behandelt werden.
Einmalanmeldung (SSO)
Die Einmalanmeldung (Single Sign-On, SSO) von Google Workspace ist das Authentifizierungsverfahren von Google, mit dem Nutzer mit einem Satz von Anmeldedaten auf mehrere Anwendungen und Dienste zugreifen können.
Kunden des US‑Verteidigungsministeriums sollten starke Authentifizierungsprotokolle implementieren und erzwingen, um sicherzustellen, dass nur autorisiertes Personal Zugriff auf kontrollierte nicht klassifizierte Informationen (Controlled Unclassified Information, CUI) hat.
Google Vault
Google Vault ist ein Tool zur Informationssteuerung und für E‑Discovery, mit dem Organisationen ihre Daten in Google Workspace-Anwendungen verwalten, aufbewahren, durchsuchen und exportieren können.
DOD-Kunden sollten Aufbewahrungs- und E‑Discovery-Funktionen einrichten, um sicherzustellen, dass CUI gemäß den IL4-Standards angemessen aufbewahrt, abgerufen und überwacht werden kann.
Benötigen Sie Hilfe?
Weitere Informationen erhalten Sie von Ihrem Google-Vertriebsmitarbeiter oder von unseren Händlern: