Esta guía está dirigida a los encargados de la seguridad y el cumplimiento, los administradores de TI y demás empleados responsables de la implementación del Programa Federal de Administración de Autorizaciones y Riesgo (FedRAMP) y el cumplimiento en Google Cloud Esta guía te ayuda a comprender cómo Google puede admitir el cumplimiento del FedRAMP y qué herramientas, productos y servicios de Google Cloud debes configurar para cumplir con tus responsabilidades en FedRAMP.
Descripción general
Google Cloud respalda el cumplimiento de FedRAMP y proporciona detalles específicos sobre el enfoque para la seguridad y la protección de datos en el informe de seguridad de Google y en la Descripción general del diseño de seguridad de la infraestructura de Google. Aunque Google proporciona una infraestructura de nube segura que cumple con las normas, eres el responsable en última instancia de evaluar tu propio cumplimiento de FedRAMP. También eres responsable de garantizar que el entorno y las aplicaciones que compilas sobre Google Cloud estén configurados y protegidos de forma adecuada según los requisitos de FedRAMP.
En este documento, se describen las fases de la Autoridad de FedRAMP para operar (ATO) a un alto nivel, se explica el modelo de responsabilidad compartida de Google Cloud, se destacan las responsabilidades específicas del cliente y se sugiere cómo a fin de cumplir con estos requisitos y lineamientos de Google Cloud.
FedRAMP
El Programa Federal de Administración de Autorizaciones y Riesgo (FedRAMP) es un programa de todo el Gobierno que estandariza la manera en que la Ley federal de modernización de seguridad de la información (FISMA) se aplica a la computación en la nube. Establece un enfoque repetible para la evaluación de seguridad, la autorización y la supervisión continua de los servicios basados en la nube.
Mediante los estándares y lineamientos de FedRAMP, puedes proteger los datos sensibles, esenciales y esenciales en la nube para que puedas detectar vulnerabilidades de seguridad cibernética con rapidez.
En un nivel alto, FedRAMP tiene los siguientes objetivos:
- Asegurarse de que los servicios y sistemas en la nube que usan las agencias gubernamentales cuenten con medidas de protección adecuadas.
- Anular la duplicación de los esfuerzos y reducir los costos en la administración de riesgos.
- Permitir que las agencias gubernamentales accedan a sistemas y servicios de información de forma rentable y con rapidez.
En cumplimiento de FedRAMP, las agencias gubernamentales federales deben hacer lo siguiente:
- Garantizar que todos los sistemas de nube que procesen, transmitan y almacenen datos gubernamentales usen los modelos de referencia de los controles de seguridad de FedRAMP.
- Usar el plan de evaluación de seguridad cuando se otorguen autorizaciones de seguridad conforme a la FISMA.
- Aplicar los requisitos de FedRAMP a través de contratos con los proveedores de servicios en la nube (CSP).
Autoridad para operar (ATO)
La implementación y ejecución correctas del proceso de acreditación de FedRAMP culmina con una autoridad para operar (ATO) en la nube. Hay dos formas de obtener la ATO de FedRAMP: P-ATO y ATO de agencia.
La autoridad provisional para operar, o P-ATO, es otorgada por la Junta de autorización conjunta (JAB) de FedRAMP. La JAB está compuesta por directores generales de información del Departamento de Seguridad Nacional (DHS), la Administración General de Servicios (GSA) y el Departamento de Defensa (DoD). La junta define los controles de seguridad de FedRAMP de referencia y establece los criterios de acreditación de FedRAMP para organizaciones de evaluación externas (3PAO). Las organizaciones y las agencias solicitan que la JAB procese el paquete de seguridad de su sistema de información y, luego, la JAB emita la P-ATO para usar los servicios en la nube.
Con la ATO de agencia, la organización interna o la agencia designa a funcionarios que autorizan (AO) para realizar una revisión del riesgo del paquete de seguridad del sistema de información. El AO puede atraer 3PAO o evaluadores independientes (IA) no acreditados para revisar el paquete de seguridad del sistema de información. El AO y, luego, la agencia o la organización, autoriza el uso de los servicios en la nube del sistema de información. El paquete de seguridad también se envía a la Oficina de Administración de Programas (PMO) de FedRAMP para su revisión. GSA es la PMO de FedRAMP. Después de la revisión, la PMO publica el paquete de seguridad para que lo usen otras agencias y organizaciones.
Plan de evaluación de seguridad
Los funcionarios autorizados (AO) en agencias y organizaciones deben incorporar el Plan de evaluación de seguridad (SAP) de FedRAMP a sus procesos de autorización internos para asegurarse de que cumplan con los requisitos de FedRAMP a fin de poder usar los servicios en la nube. El SAF se implementa en cuatro fases:
Tú o tu AOcategorizan tu sistema de información como un sistema de impacto bajo, moderado o alto según los objetivos de seguridad FIPS PUB 199 para la confidencialidad, integridad y disponibilidad.
Según la categorización de los FIPS del sistema, selecciona el modelo de referencia de controles de seguridad de FedRAMP que se correlaciona con el nivel de categorización de los FIPS 199 (bajo, moderado o alto). Luego, debes implementar los controles de seguridad capturados en el modelo de referencia de los controles correspondientes. También se admiten implementaciones alternativas y justificación para determinar por qué no se puede cumplir ni implementar un control.
Captura los detalles de la implementación de controles de seguridad en un plan de seguridad del sistema (SSP). Te recomendamos que selecciones la plantilla de SSP según el nivel de cumplimiento de FedRAMP: bajo, moderado o alto.
La SSP hace lo siguiente:
- Describe el límite de autorización de seguridad.
- Explica cómo la implementación del sistema aborda cada control de seguridad de FedRAMP.
- Detalla de las funciones y responsabilidades del sistema.
- Define el comportamiento esperado del usuario del sistema.
- Muestra cómo se diseña la arquitectura del sistema y cómo luce la infraestructura compatible.
Usa la plantilla de revisión de autorizaciones de FedRAMP para realizar un seguimiento del progreso de la ATO.
Para obtener más detalles sobre las fases de implementación, consulta el proceso de autorización de agencias de FedRAMP.
Modelo de responsabilidad de la nube
La tecnología de infraestructura (IT) tradicional requería que las organizaciones y agencias compraran un centro de datos físico o espacio de colocación, servidores físicos, equipos de redes, software, licencias y otros dispositivos para crear sistemas y servicios. Con la computación en la nube, un CSP invierte en el hardware físico, en centros de datos y en redes globales, a la vez que proporciona equipos, herramientas y servicios virtuales para que los usen los clientes.
Existen tres modelos de computación en la nube: infraestructura como servicio (IaaS), plataforma como servicio (PaaS) y software como servicio (SaaS).
En el modelo de IaaS, los CSP proporcionan un centro de datos virtual en la nube y ofrecen una infraestructura de procesamiento virtualizada, como servidores, redes y almacenamiento. Si bien los CSP administran los equipos físicos y los centros de datos de estos recursos, eres responsable de configurar y proteger cualquiera de los recursos de la plataforma o aplicación que ejecutes en la infraestructura virtualizada.
En el modelo PaaS, los CSP no solo proporcionan y administran la capa de infraestructura y virtualización, sino que también proporcionan a los clientes una plataforma previamente desarrollada y configurada para crear software, aplicaciones y servicios web. La PaaS facilita a los desarrolladores la creación de aplicaciones y middleware sin tener que preocuparse por la seguridad y la configuración del hardware subyacente.
En el modelo SaaS, los CSP administran toda la infraestructura física y virtual y la capa de la plataforma mientras se entregan aplicaciones y servicios basados en la nube que los clientes pueden consumir. Las aplicaciones de Internet que se ejecutan directamente desde el navegador web o mediante un sitio web son aplicaciones de SaaS. Con este modelo, las organizaciones y las agencias no tienen que preocuparse por instalar, actualizar ni admitir aplicaciones, solo administran las políticas de acceso a los datos y al sistema.
En la siguiente figura, se destacan tus responsabilidades y las del CSP en los modelos de computación a nivel local y en la nube:
Responsabilidad de FedRAMP
Puedes ver la pila de TI de la nube relacionada con cuatro capas: la capa de infraestructura física, la de infraestructura de nube, la de plataforma de la nube y la capa de software de la nube. En el siguiente diagrama, se muestran estas capas.
Las capas numeradas en el diagrama corresponden a lo siguiente:
- Software como servicio Google Workspace también cuenta con la certificación FedRAMP Moderate. Para heredar estos controles de seguridad de SaaS, puedes solicitar una copia del paquete ATO de Google a la JAB e incluir una copia de la carta de certificación de Google en tu paquete.
- Plataforma como servicio. Además de la infraestructura física certificada por FedRAMP de Google Cloud, el FedRAMP cubre productos y servicios adicionales de PaaS, incluidos App Engine, Cloud Storage y servicios de base de datos. Usa estos productos y servicios certificados con anterioridad cuando sea posible.
- Infraestructura como servicio. Además de la infraestructura física certificada por FedRAMP de Google Cloud, el FedRAMP cubre otros productos y servicios de IaaS, incluidos Google Kubernetes Engine (GKE) y Compute Engine. Usa estos productos y servicios certificados con anterioridad cuando sea posible.
- Infraestructura física. Google Cloud está certificado por JAB como FedRAMP Moderate. Para heredar estos controles de seguridad física, puedes solicitar una copia del paquete de ATO de Google y, luego, incluir la carta de certificación de Google en tu paquete.
Con respecto a la ATO de FedRAMP, cada capa de la pila de IT de la nube se considera un límite de control independiente, y cada límite de control requiere una ATO distinta. Esto significa que, a pesar de que Google Cloud Platform cumple con FedRAMP y tiene decenas de servicios de Google Cloud cubiertos por FedRAMP, los clientes aún deben implementar los controles de referencia de seguridad de FedRAMP y el proceso del SAF para calificar sus sistemas y cargas de trabajo en la nube de conformidad con FedRAMP.
Existen dos tipos de controles de seguridad de FedRAMP en modelos de referencia de cumplimiento bajo, moderado y alto: los controles implementados por el sistema de información y los controles implementados por la organización. A medida que tu organización o agencia compila sistemas que cumplen con FedRAMP en Google Cloud, heredas los controles de seguridad de infraestructura física que Google cumple con su certificación de FedRAMP. También heredas cualquier infraestructura física, controles de seguridad de IaaS y PaaS que se compilen en los productos y servicios compatibles con FedRAMP de Google y en todos los controles de SaaS cuando uses Google Workspace. Sin embargo, se requiere que los clientes implementen todos los demás controles y parámetros de configuración de seguridad en los niveles de IaaS, PaaS y SaaS, según lo define el modelo de referencia de los controles de seguridad de FedRAMP.
Recomendaciones para la implementación de FedRAMP
Como se mencionó, debes heredar algunos controles de seguridad de CSP. Para otros controles, debes configurarlos de forma específica y crear políticas, reglas y regulaciones definidas por la organización a fin de cumplir con cada control.
En esta sección, se recomiendan recursos para implementar controles de seguridad de NIST 800-53 en la nube mediante políticas definidas por la organización con herramientas, servicios y prácticas recomendadas de Google Cloud.
Control de acceso
Para administrar el control de acceso en Google Cloud, define a los administradores de la organización que administrarán las cuentas del sistema de información en la nube. Coloca a esos administradores en grupos de control de acceso mediante Cloud Identity, la Consola del administrador o algún otro proveedor de identidad (por ejemplo, Active Directory o LDAP), lo que garantiza que los proveedores de identidad de terceros estén federados con Google Cloud. Usa Identity and Access Management (IAM) para asignar funciones y permisos a grupos administrativos, implementando privilegio mínimo y separación de obligaciones.
Desarrolla una política de control de acceso a toda la organización para las cuentas de sistema de información en la nube. Define los parámetros y procedimientos con los que tu organización crea, habilita, modifica, inhabilita y quita cuentas de sistema de información.
Administración de cuentas, separación de obligaciones, privilegio mínimo
En la política de control de acceso, define los parámetros y procedimientos que usará tu organización para crear, habilitar, modificar, inhabilitar y quitar cuentas de sistema de información. Define las condiciones en las que se deben usar las cuentas del sistema de información.
También puedes identificar el período de inactividad en el que los usuarios deberán salir de un sistema (por ejemplo, después de *x* minutos, horas o días). Usa Cloud Identity, la Consola del administrador o los parámetros de configuración de aplicación para forzar a los usuarios a salir o volver a autenticarse después del período definido.
Define qué acciones se deben realizar cuando las asignaciones de funciones privilegiadas ya no son adecuadas para un usuario de tu organización. *Policy Intelligence de Google tiene una función de recomendación de IAM que te ayuda a quitar el acceso no deseado a los recursos de Google Cloud mediante el aprendizaje automático para realizar recomendaciones de control de acceso inteligente.
Define las condiciones en las que las cuentas de grupos son apropiadas. Usa Cloud Identity o la Consola del administrador para crear cuentas de grupos o de servicio. Asigna roles y permisos a cuentas compartidas de grupos y de servicio mediante IAM. Usa cuentas de servicio siempre que sea posible. Especifica qué uso atípico de una cuenta de sistema de información es para tu organización. Cuando detectes un uso atípico, usa herramientas como la Observabilidad de Google Cloud o *Security Command Center para alertar a los administradores del sistema de información.
Sigue estos lineamientos para ayudar a implementar estos controles de seguridad: AC-02, AC-02 (04), AC-02 (05), AC-02 (07), AC-02 (09), AC-02 (11), AC-02 (12), AC-05, AC-06 (01), AC-06 (03), AC-06 (05), AU-2, AU-3, AU-6, AU-12, SI-04, SI-04 (05), SI-04 (11), SI-04 (18), SI-04 (19), SI-04 (20), SI-04 (22), SI-04 (23).
Aplicación de flujo de información y acceso remoto
En la política de control de acceso a toda la organización, define las políticas de control de flujo de información para tu organización. Identifica puertos, protocolos y servicios prohibidos o restringidos. Define los requisitos y las restricciones para las interconexiones a sistemas internos y externos. Usa herramientas como la nube privada virtual para crear firewalls y redes y subredes aisladas de manera lógica. Ayuda a controlar el flujo de información mediante la implementación de Cloud Load Balancing,* Traffic Director y Controles del servicio de VPC.
Cuando configures las políticas de control de flujo de información, identifica los puntos de acceso de red controlados para tu organización. Usa herramientas como Identity-Aware Proxy para proporcionar a los usuarios remotos y locales acceso basado en contexto a los recursos en la nube. Usa Cloud VPN o Cloud Interconnect para proporcionar acceso directo y seguro a las VPC.
Establece políticas de toda la organización para ejecutar comandos con privilegios y acceder a datos seguros a través del acceso remoto. Usa IAM y los Controles del servicio de VPC para restringir el acceso a las cargas de trabajo y los datos sensibles.
Sigue estas pautas para implementar estos controles de seguridad: AC-04, AC-04 (08), AC-04 (21), AC-17 (03), AC-17 (04), CA-03 (03), CA-03 (05), CM-07, CM-07(01), CM-07(02).
Intentos de acceso, notificación sobre el uso del sistema y finalización de la sesión
En la política de control de acceso, se especifica cuánto tiempo debe tardar un usuario en acceder a una solicitud de acceso cuando se realizaron 3 intentos de acceso fallidos en un período de 15 minutos. Define las condiciones y los activadores en los que se finalizan o desconectan las sesiones de los usuarios.
Usa Cloud Identity Premium o la Consola del administrador para administrar los dispositivos móviles que se conectan a tu red, incluido BYOD. Crea políticas de seguridad para toda la organización que se apliquen a los dispositivos móviles. Describe los requisitos y procedimientos para borrar definitivamente y limpiar dispositivos móviles después de determinados intentos de acceso fallidos consecutivos.
Desarrolla notificaciones de uso del sistema y el lenguaje a nivel de la organización que proporcionen políticas de privacidad, condiciones de uso y avisos de seguridad a los usuarios que acceden al sistema de información. Define las condiciones en las que se muestran las notificaciones de toda la organización antes de otorgar acceso a los usuarios. Pub/Sub es un sistema global de mensajería y transferencia de eventos que se puede usar para enviar notificaciones push a aplicaciones y usuarios finales. También se puede usar *Chrome Enterprise Suite, incluido el *navegador Chrome y *Chrome OS, con la *API de Push y la *API de Notifications para enviar notificaciones y actualizaciones a los usuarios.
Sigue estos lineamientos para ayudar a implementar estos controles de seguridad: AC-07, AC-07 (02), AC-08, AC-12, AC-12 (01).
Acciones permitidas, dispositivos móviles, uso compartido de información
En la política de control de acceso, define las acciones del usuario que se pueden realizar en un sistema de información sin identificación ni autenticación. Usa IAM a fin de regular el acceso de los usuarios para ver, crear, borrar y modificar recursos específicos.
Desarrolla políticas para el uso compartido de la información con toda la organización. Determina las circunstancias en las que se puede compartir la información y cuándo se requiere discreción del usuario para compartir información. Emplea procesos para ayudar a los usuarios mediante el uso compartido de información y la colaboración en toda la organización. Google Workspace tiene un excelente conjunto de funciones para facilitar la colaboración y la participación en todos los equipos.
Sigue estos lineamientos para ayudar a implementar estos controles de seguridad: AC-14, AC-19 (05), AC-21.
Conocimiento y capacitación
Crea políticas de seguridad y materiales de capacitación asociados para distribuir a los usuarios y grupos de seguridad de tu organización al menos una vez al año. Google ofrece opciones de Servicios profesionales para educar a los usuarios sobre la seguridad en la nube, lo que incluye, entre otros aspectos, una participación con la Seguridad de Cloud Discover y una Evaluación de seguridad de Google Workspace.
Actualiza las políticas de seguridad y la capacitación al menos una vez al año.
Sigue estos lineamientos para ayudar a implementar el control de seguridad AT-01.
Auditoría y responsabilidad
Crea políticas de auditoría y controles de responsabilidad en toda la organización que aborden los procedimientos y requisitos de implementación para auditar al personal, los eventos y las acciones relacionados con los sistemas de información en la nube.
En la política de auditoría de toda la organización, describe los eventos que se deben auditar en los sistemas de información de la organización y la frecuencia de auditoría. Entre los ejemplos de eventos registrados, se incluyen eventos de acceso a la cuenta fallidos y correctos, eventos de administración de cuentas, acceso a objetos, cambio de políticas, funciones de privilegio, seguimiento de procesos y eventos del sistema. En las aplicaciones web, los ejemplos incluyen la actividad del administrador, las verificaciones de autenticación, las verificaciones de autorización, las eliminaciones de datos, el acceso a los datos, los cambios en los datos y los cambios en los permisos. Define eventos de interés adicionales para tu organización.
Para la política de auditoría, también recomendamos que especifiques indicaciones de actividad inadecuada o inusual para tu organización. Supervisa, registra y marca estas actividades con regularidad (al menos una vez por semana)
Usa Google Cloud Observability para administrar el registro, la supervisión y las alertas de tu entorno de Google Cloud, de forma local o de otros entornos de nube. Usa Google Cloud Observability para configurar y hacer un seguimiento de los eventos de seguridad en tu organización. También puedes usar Cloud Monitoring a fin de configurar métricas personalizadas para supervisar eventos definidos por la organización en los registros de auditoría.
Habilita sistemas de información para alertar a los administradores sobre fallas de procesamiento de auditoría. Puedes implementar estas alertas con herramientas como Pub/Sub y alertas.
Establece estándares para alertar a los administradores dentro de un período determinado (p. ej., dentro de 15 minutos) en caso de que haya una falla en el sistema o el funcionamiento. Estos se incluirán cuando los registros de auditoría alcancen un límite establecido o la capacidad del volumen. Determina un nivel de detalle de la medición del tiempo para toda la organización, en función del cual los registros de auditoría tendrán una marca de tiempo y un registro. Define el nivel de tolerancia para los registros con marca de tiempo en el registro de auditoría del sistema de información (por ejemplo, en tiempo real aproximado o en 20 minutos).
Configura las cuotas de recursos de VPC a fin de establecer los límites de capacidad para el almacenamiento de los registros de auditoría. Configura las alertas de presupuesto para notificar a los administradores cuando se alcanza o supera un porcentaje de un límite de recursos.
Define los requisitos de almacenamiento de toda la organización para los datos y registros de auditoría a fin de incluir requisitos de retención y disponibilidad de registros de auditoría. Usa Cloud Storage a fin de almacenar y archivar registros de auditoría, y BigQuery para realizar un análisis de registro más detallado.
Sigue estos lineamientos para implementar estos controles de seguridad: U-01, AU-02, AU-04, AU-05, AU-05 (01), AU-06, AU-07 (01), AU-08, AU-08 (01), AU-09 (04), AU-09 (04), AU-12, AU-12 (01), AU-12 (03), CA-07.
Evaluación y autorización de seguridad
Desarrolla una política de evaluación y autorización de la seguridad en toda la organización que defina los procedimientos y requisitos de implementación de las evaluaciones de seguridad de la organización, los controles de seguridad y los controles de autorización.
En la política de autorización y evaluación de la seguridad, define el nivel de independencia que se requiere para que los equipos de evaluación de seguridad realicen evaluaciones imparciales de los sistemas de información en la nube. Identifica los sistemas de información que un evaluador independiente debe evaluar.
Las evaluaciones de seguridad deberían abarcar lo siguiente de forma mínima:
- Supervisión en profundidad
- Análisis de vulnerabilidades
- Prueba de usuario malicioso
- Evaluación de amenazas internas
- Prueba de rendimiento y carga
La organización debe definir requisitos y formas adicionales de la evaluación de seguridad.
Asegúrate de que la política de autorización y evaluación de seguridad especifique las clasificaciones y los requisitos del sistema de seguridad, incluidos los requisitos para los sistemas de seguridad no clasificados y extranjeros.
En las políticas de control de flujo de información de tu organización, describe los requisitos y las restricciones de las interconexiones a sistemas internos y externos. Configura reglas de firewall de VPC para permitir y denegar el tráfico a sistemas de información, y usa los Controles del servicio de VPC a fin de proteger los datos sensibles mediante parámetros de seguridad.
Establece políticas de auditoría y responsabilidad en toda la organización que apliquen requisitos de supervisión continua (CA-07).
Sigue estos lineamientos para ayudar a implementar estos controles de seguridad: CA-01, CA-02, CA-02 (01), CA-02 (02), CA-02 (03), CA-03 (03), CA-03 (05), CA-07, CA-07 (01), CA-08, CA-09.
Administración de configuración
Crea una política de administración de configuración en toda la organización que defina los procedimientos y los requisitos de implementación para los controles, las funciones, las responsabilidades, los permisos y el cumplimiento de administración de configuración de toda la organización.
Estandariza los requisitos de configuración para los componentes de sistemas y los sistemas de información de la organización. Proporciona requisitos y procedimientos operativos para configurar sistemas de información. Especifica de forma explícita cuántas versiones anteriores de una configuración de referencia deben conservar los administradores del sistema para admitir la reversión del sistema de información. Usa el paquete de herramientas de administración de configuración de Google para controlar los parámetros de configuración del sistema de TI como código y supervisar los cambios de configuración mediante *Policy Intelligence o *Security Command Center.
Especifica los requisitos de configuración para cada tipo de sistema de información en tu organización (por ejemplo, nube, local, híbrido, sin clasificar, información controlada no clasificada [CUI] o clasificada). También define los requisitos de protección de seguridad de los dispositivos pertenecientes a la organización y el uso de dispositivos personales (BYOD) para identificar ubicaciones geográficas seguras y no seguras. Usa Identity-Aware Proxy para aplicar los controles de acceso basados en contexto a los datos de la organización, incluidos los controles de acceso por ubicación geográfica. Usa Cloud Identity Premium o la Consola del administrador para aplicar la configuración de seguridad en dispositivos móviles que se conecten a la red corporativa.
En la política de administración de configuración, define un elemento de control de cambios de configuración a nivel de organización, como un comité o una junta de cambios. Documenta la frecuencia que cumplirá el comité y en qué condiciones. Establece un órgano oficial para revisar y aprobar los cambios de configuración.
Identifica las autoridades de aprobación de administración de configuración para tu organización. Estos administradores revisarán las solicitudes de cambios en los sistemas de información. Define el período que tienen las autoridades para aprobar o rechazar solicitudes de cambio. Proporciona orientación para que los implementadores de cambios notifiquen a las autoridades de aprobación cuando se hayan completado los cambios del sistema de información.
Establece restricciones para el uso de software de código abierto en tu organización a fin de incluir la especificación de qué software está aprobado y no aprobado para su uso. Usa Cloud Identity o la Consola del administrador a fin de aplicar las aplicaciones y el software aprobados para tu organización. Con Cloud Identity Premium, puedes habilitar el inicio de sesión único y la autenticación de varios factores para aplicaciones de terceros.
Usa herramientas como las alertas para enviar notificaciones a los administradores de seguridad cuando se registran cambios de configuración. Otorga acceso de administrador a herramientas como *Security Command Center para supervisar los cambios de configuración casi en tiempo real Con *Policy Intelligence, puedes usar el aprendizaje automático para estudiar las configuraciones definidas por tu organización, lo que genera un conocimiento sobre cuándo cambian los parámetros de configuración del modelo de referencia.
Aplica la funcionalidad mínima en toda tu organización mediante las políticas de control de flujo de información.
Sigue estos lineamientos para ayudar a implementar estos controles de seguridad: CM-01, CM-02 (03), CM-02 (07), CM-03, CM-03 (01), CM-05 (02), CM-05 (03), CM-06, CM-06 (01), CM-06 (02), CM-07, CM-07 (01), CM-07 (02), CM-07 (05), CM-08, CM-08 (03), CM-10 (01), CM-11, CM-11 (01), SA-10.
Planificación ante imprevistos
Desarrolla un plan de contingencia para tu organización, el cual defina los procedimientos y los requisitos de implementación de los controles de planificación de contingencia en toda tu organización. Identifica al personal de contingencia, las funciones y las responsabilidades clave en todos los elementos organizacionales.
Destaca las operaciones esenciales (para la misión y el negocio) del sistema de información dentro de tu organización. Destaca los objetivos de tiempo de recuperación (RTO) y los objetivos del punto de recuperación (RPO) para reanudar las operaciones esenciales una vez que se active el plan de contingencia.
Documenta sistemas de información esencial y software asociado. Identifica toda la información adicional relacionada con la seguridad y proporciona orientación y requisitos para almacenar copias de seguridad de los datos y componentes esenciales del sistema. Implementa recursos globales, regionales y zonales de Google y ubicaciones en todo el mundo para una alta disponibilidad. Usa las clases de Cloud Storage para las opciones multirregionales, regionales, de copia de seguridad y de archivos. Implementa el ajuste de escala automático de la red global y el balanceo de cargas con Cloud Load Balancing.
Sigue estos lineamientos para ayudarte a implementar estos controles de seguridad: CP-01, CP-02, CP-02 (03), CP-07, CP-08, CP-09 (03).
Identificación y autenticación
Crea una política de identificación y autenticación para tu organización, la cual especifique procedimientos, permisos, funciones, responsabilidades, administración, entidades y cumplimiento de identificación y autenticación. Especifica los controles de identificación y autenticación que requiere tu organización. Usa Cloud Identity Premium o la Consola del administrador para identificar dispositivos corporativos y personales que pueden conectarse a los recursos de tu organización. Usa Identity-Aware Proxy para aplicar el acceso adaptado al contexto a los recursos.
Incluye orientación sobre el contenido del autenticador para tu organización, las condiciones de reutilización de la autenticación, los estándares a fin de proteger los autenticadores y los estándares para cambiar o actualizar autenticadores. También, captura los requisitos para usar autenticadores almacenados en caché. Especifica límites de tiempo para usar autenticadores almacenados en caché y crea definiciones relacionadas con la fecha de vencimiento de los autenticadores almacenados en caché. Define los requisitos mínimos y máximos del ciclo de vida y los períodos de actualización que deben implementar los sistemas de información en tu organización.
Usa Cloud Identity o la Consola del administrador para aplicar las políticas de contraseña en cuanto a la confidencialidad, el uso de caracteres, la creación o reutilización de contraseñas nuevas, la vida útil de las contraseñas, y los requisitos de almacenamiento y transmisión.
Destaca los requisitos de autenticación del hardware o del token de software para la autenticación en toda tu organización, incluidos, entre otros aspectos, los requisitos de la PKI y la tarjeta del PIV. Puedes usar *llaves de seguridad Titan a fin de aplicar requisitos de autenticación adicionales para los administradores y el personal privilegiado.
En la Política de identificación y autenticación, se describen los componentes del sistema de información de la administración federal de identidades, credenciales y acceso (FICAM) que aceptan terceros en tu organización. Google Identity Platform es una plataforma de administración de identidades y accesos de clientes (CIAM) que ayuda a las organizaciones a agregar la función de administración de identidades y accesos a las aplicaciones a las que acceden las entidades externas.
Sigue estos lineamientos para ayudarte a implementar estos controles de seguridad: IA-01, IA-03, IA-04, IA-05, IA-05 (01), IA-05 (03), IA-05 (04), IA-05 (11), IA-05 (13), IA-08 (03).
Respuesta ante incidentes
Establece una política de respuesta ante incidentes para tu organización, incluidos los procedimientos con el fin de facilitar y, luego, implementar controles de respuesta ante incidentes. Crea grupos de seguridad para las autoridades y los equipos de respuesta ante incidentes de tu organización. Usa herramientas como Google Cloud Observability o *Security Command Center para compartir eventos, información y registros de incidentes. *La administración de respuestas ante incidentes (IRM) permite que los administradores investiguen y resuelvan incidentes de seguridad de los sistemas de información de extremo a extremo.
Desarrolla un plan de prueba de respuesta ante incidentes, procedimientos y listas de tareas, requisitos y comparativas para alcanzar el éxito. Especifica las clases de incidentes que tu organización debe reconocer y describe las acciones asociadas que se tomarán en respuesta a tales incidentes. Define las acciones que esperas que realice el personal autorizado si se produce un incidente. Estas acciones pueden ser pasos para administrar las filtraciones de información, las vulnerabilidades de seguridad cibernética y los ataques. Aprovecha las capacidades de Google Workspace a fin de analizar y poner en cuarentena contenido de correo electrónico, bloquear intentos de suplantación de identidad (phishing) y establecer restricciones en los archivos adjuntos. Usa Sensitive Data Protection para inspeccionar, clasificar y desidentificar datos sensibles con el fin de restringir la exposición.
Especifica los requisitos de toda la organización para el entrenamiento de respuesta ante incidentes, incluidos los requisitos de entrenamiento para usuarios generales, funciones y responsabilidades privilegiadas. Aplica los requisitos de período para realizar el entrenamiento (por ejemplo, dentro de los 30 días posteriores a la unión, trimestral o anual).
Sigue estos lineamientos para ayudar a implementar estos controles de seguridad: IR-01, IR-02, IR-03, IR-04 (03), IR-04 (08), IR-06, IR-08, IR- 09, IR-09 (01), IR-09 (03), IR-09 (04).
Mantenimiento del sistema
Crea una política de mantenimiento del sistema para tu organización y documenta los controles de mantenimiento del sistema, las funciones, las responsabilidades, la administración, los requisitos de coordinación y el cumplimiento. Define los parámetros de mantenimiento controlado, incluidos los procesos de aprobación para realizar mantenimiento y reparaciones fuera del sitio, y tiempos de respuesta en toda la organización a fin de reemplazar las piezas y los dispositivos con errores. Tu organización se beneficiará de la Eliminación de datos en Google Cloud, la limpieza de equipos y la innovación y seguridad de los centros de datos de Google para realizar reparaciones y mantenimiento fuera del sitio.
Sigue estos lineamientos para ayudarte a implementar estos controles de seguridad: MA-01, MA-02 y MA-06.
Protección de medios
Como parte de la ATO de FedRAMP de Google Cloud, cumplimos con los requisitos de protección de medios para la infraestructura física. Revisa el Diseño de seguridad de infraestructura y la Descripción general de seguridad de Google. Los clientes son, por lo tanto, responsables de cumplir con los requisitos de seguridad de infraestructura virtual.
Desarrolla una política de protección de medios para tu organización, documenta los controles de medios, las políticas y los procedimientos de protección, los requisitos de cumplimiento, las funciones de administración y las responsabilidades. Documenta los procedimientos para facilitar e implementar medidas de protección de medios en tu organización. Crea grupos de seguridad que identifiquen al personal y las funciones para administrar los medios y sus protecciones.
Especifica los tipos de medios aprobados y los accesos de tu organización, incluidas las restricciones de medios digitales y no digitales. Además, establece marcas de medios y advertencias sobre la administración de medios que deben implementarse en toda tu organización, como los requisitos de marca de seguridad dentro y fuera de las áreas de acceso controlado. Usa *Data Catalog para administrar los metadatos de recursos de la nube y simplificar el descubrimiento de datos. Controla el cumplimiento de recursos de nube en toda tu organización y regula la distribución y el descubrimiento de recursos de la nube con *catálogo de servicios.
Identifica cómo limpiar, desechar o reutilizar los medios que administra tu organización. Describe los casos de uso y las circunstancias en los que se requiere o se acepta limpiar, desechar o reutilizar el contenido multimedia y los dispositivos. Define los mecanismos y métodos de protección de medios que se consideran aceptables para tu organización.
Con Google, te beneficiarás de la eliminación de datos en los datos de Google Cloud y la limpieza de equipos, así como en la innovación y seguridad del centro de datos de Google. Además, Cloud KMS y Cloud HSM proporcionan protección criptográfica que cumple con los FIPS y puedes usar *llaves de seguridad Titan a fin de aplicar requisitos de autenticación física adicionales para administradores y personal privilegiado.
Sigue estos lineamientos para ayudar a implementar estos controles de seguridad: MP-01, MP-02, MP-03, MP-04, MP-06, MP-06 (03), MP-07.
Protección física y ambiental
Como parte de la ATO de FedRAMP de Google Cloud, cumplimos con los requisitos de protección física y ambiental para la infraestructura física. Revisa el Diseño de seguridad de infraestructura y la Descripción general de seguridad de Google. Los clientes son, por lo tanto, responsables de cumplir con los requisitos de seguridad de infraestructura virtual.
Establece una política de protección física y ambiental para tu organización, mediante la definición de controles y entidades de protección, estándares de cumplimiento, funciones, responsabilidades y requisitos de administración. Describe cómo implementar la protección física y ambiental en la organización
Crea grupos de seguridad que identifiquen el personal y las funciones para administrar las protecciones físicas y ambientales Solicitar a los administradores que acceden a recursos de procesamiento sensibles que usen *llaves de seguridad Titan o alguna otra forma de MFA para verificar la integridad de acceso.
En la política de protección física y ambiental, define los requisitos de control de acceso físico para tu organización. Identifica los puntos de entrada y salida de la instalación a sitios del sistema de información, protecciones de control de acceso para dichas instalaciones y requisitos de inventario. Aprovecha herramientas como *Google Maps Platform a fin de mostrar visualmente y hacer un seguimiento de las instalaciones y los puntos de entrada y de salida para las asignaciones geográficas. Usa Resource Manager y *catálogo de servicios para controlar el acceso a los recursos de la nube, lo que los hace organizados y fáciles de descubrir.
Usa Cloud Monitoring para configurar accesos, incidentes y eventos accesibles. Define los eventos de acceso físico de toda la organización que se deben registrar en Cloud Logging. Usa la *administración de respuestas ante incidentes para abordar los incidentes de seguridad física que se activaron y consolidar los resultados en *Security Command Center.
Usa la política de protección física y ambiental para responder a situaciones de emergencia, como la interrupción de emergencia de los sistemas de información, la energía de emergencia, la supresión de incendios y la respuesta ante emergencias. Identifica puntos de contacto para respuestas de emergencia, incluidos los servicios de emergencia locales y el personal de seguridad físico de tu organización. Describe los requisitos y las ubicaciones de los sitios de trabajo alternativos Especifica el control de seguridad y el personal de los sitios de trabajo principales y alternativos. Implementa recursos globales, regionales y zonales de Google y ubicaciones en todo el mundo para una alta disponibilidad. Usa las clases de Cloud Storage para las opciones multirregionales, regionales, de copia de seguridad y de archivos. Implementa el ajuste de escala automático y el balanceo de cargas de la red global con Cloud Load Balancing Crea plantillas de implementación declarativas para establecer un proceso de implementación repetible y basado en plantillas.
Sigue estos lineamientos para ayudar a implementar estos controles de seguridad: PE-01, PE-03, PE-03 (01), PE-04, PE-06, PE-06 (04), PE-10, PE-13 (02), PE-17.
Planificación de seguridad del sistema
Desarrolla una política de planificación de seguridad para tu organización y señala controles de planificación de seguridad, funciones, responsabilidades, administración, entidades de planificación de seguridad para tu organización y requisitos de cumplimiento. Describir cómo esperas que se implemente la planificación de seguridad en toda tu organización.
Crea grupos para definir el personal de planificación de seguridad según corresponda. Especifica grupos de seguridad para evaluaciones de seguridad, auditorías, mantenimiento de hardware y software, administración de parches y planificación de contingencia para tu organización. Usa herramientas como Google Cloud Observability o *Security Command Center para supervisar la seguridad, el cumplimiento y el control de acceso en toda tu organización.
Sigue estos lineamientos para ayudar a implementar estos controles de seguridad: PL-01, PL-02, PL-02 (03).
Seguridad del personal
Crea una política de seguridad del personal que identifique al personal de seguridad, sus funciones y responsabilidades, cómo esperas que se implemente la seguridad del personal y qué controles de seguridad del personal se deben aplicar en toda la organización, Captura las condiciones que requerirían que las personas pasen por un proceso de evaluación, reevaluación e investigación de seguridad organizacional. Describe los requisitos para las autorizaciones de seguridad en tu organización.
Incluye orientación para abordar la desvinculación y la transferencia del personal. Define las necesidades y los parámetros de las entrevistas de salida y los temas de seguridad que se deben debatir durante esas entrevistas. Especifica cuándo esperas que las entidades de seguridad y administrador de tu organización reciban notificaciones sobre la desvinculación, transferencia o reasignación de personal (por ejemplo, en un plazo de 24 horas). Especifica las acciones que esperas que el personal y la organización deben completar en caso de una transferencia, reasignación o desvinculación. Además, cubre los requisitos para aplicar sanciones formales a los empleados. Explica cuándo esperas que los administradores o el personal de seguridad reciban notificaciones sobre las sanciones de los empleados, y explica los procesos de sanciones.
Usa IAM para asignar funciones y permisos al personal. Agrega, quita, inhabilita y habilita los perfiles de personal y accesos en Cloud Identity o la Consola del administrador. Aplica requisitos de autenticación física adicionales para los administradores y el personal privilegiado mediante *llaves de seguridad Titan.
Sigue estos lineamientos para ayudarte a implementar estos controles de seguridad: PS-01, PS-03, PS-04, PS-05, PS-07, PS-08.
Evaluación de riesgos
Implementa una política de evaluación de riesgos que identifique el personal de evaluación de riesgos, los controles de la evaluación de riesgos que esperas que se apliquen en toda la organización y los procedimientos para realizar evaluaciones de riesgos en la organización. Define cómo esperas que se informe y documente la evaluación de riesgos. Usa herramientas como *Security Command Center para notificar automáticamente al personal de seguridad de los riesgos de seguridad y la postura de seguridad general de tu organización.
Aprovecha el paquete de herramientas de evaluación de riesgos de Google, como Web Security Scanner, Artifact Analysis, Google Cloud Armor y Protección contra suplantación de identidad (phishing) y software malicioso de Google Workspace para las vulnerabilidades en los sistemas de información de tu organización y crear informes sobre ellas. Haz que estas herramientas estén disponibles para el administrador y el personal de evaluación de riesgos a fin de identificar y eliminar las vulnerabilidades.
Si sigues estos lineamientos, se establecerá la base para implementar los siguientes controles de seguridad: RA-01, RA-03, RA-05.
Adquisición de sistemas y servicios
Desarrolla una política de adquisición de sistemas y servicios que describa las funciones y responsabilidades del personal clave, la administración de servicios y adquisición, el cumplimiento y las entidades. Describe los procedimientos de adquisición de servicios y sistemas, y los lineamientos de implementación para tu organización. Define el ciclo de vida de desarrollo del sistema de tu organización para los sistemas de información y la seguridad de la información. Describe las funciones y las responsabilidades de seguridad de la información, el personal y la forma en que esperas que la política de evaluación de riesgos de la organización para impulsar e influir en las actividades del ciclo de vida del desarrollo del sistema.
Destaca los procedimientos que esperas realizar en tu organización cuando la documentación del sistema de información no está disponible o no está definida. Interactúa con los administradores de sistemas de información y el personal de servicios del sistema de tu organización según sea necesario. Define cualquier capacitación necesaria para los administradores y los usuarios que implementen o accedan a los sistemas de información de tu organización.
Usa herramientas como *Security Command Center para realizar un seguimiento del cumplimiento, los resultados y las políticas de control de seguridad de tu organización. Google describe todos sus estándares, reglamentos y certificaciones de seguridad con el fin de educar a los clientes para cumplir con los requisitos y las leyes de cumplimiento en Google Cloud. Además, Google ofrece un paquete de productos de seguridad para que los clientes supervisen de forma continua sus sistemas de información, comunicaciones y datos en la nube y de forma local.
Especifica las restricciones geográficas de los datos, los servicios y el procesamiento de información de tu organización, y en qué condiciones pueden almacenarse los datos en otra parte. Google ofrece opciones globales, regionales y zonales para el almacenamiento, el procesamiento y el uso de servicios de datos en Google Cloud.
Aprovecha la política de administración de configuración a fin de regular la administración de configuración de desarrolladores para los controles de adquisición de sistemas y servicios, y usa la Evaluación de la seguridad y la política de autorización para aplicar la prueba de seguridad del desarrollador y los requisitos de evaluación.
Sigue estos lineamientos para ayudar a implementar estos controles de seguridad: SA-01, SA-03, SA-05, SA-09, SA-09 (01), SA-09 (04), SA-09 (05), SA-10, SA-11, SA-16.
Protección de sistemas y comunicaciones
Crea una política de protección de sistemas y comunicaciones que describa las funciones y responsabilidades del personal clave, los requisitos de implementación de las políticas de protección de comunicaciones del sistema y los controles de protección obligatorios para tu organización. Identifica los tipos de ataques de denegación del servicio que tu organización reconoce y supervisa, y describe los requisitos de protección contra DoS para tu organización.
Usa Google Cloud Observability para registrar, supervisar y generar alertas sobre ataques de seguridad predefinidos con tu organización. Implementa herramientas como Cloud Load Balancing y Google Cloud Armor a fin de proteger el perímetro de la nube, y aprovecha los servicios de VPC, como firewalls y controles de seguridad de red, para proteger tu red interna de nube.
identificar los requisitos de disponibilidad de los recursos de tu organización; define cómo esperas que se asignen los recursos de nube a tu organización y qué restricciones implementar para restringir el uso excesivo. Usa herramientas como Resource Manager para controlar el acceso a los recursos a nivel de organización, carpeta, proyecto y recurso individual. Configura cuotas de recursos para administrar las solicitudes a la API y el uso de recursos en Google Cloud.
Establece requisitos de protección de límites para tus sistemas de información y comunicaciones del sistema. Define los requisitos para el tráfico de comunicaciones internas y la forma en que esperas que el tráfico interno interactúe con redes externas. Especifica los requisitos para servidores proxy y otros componentes de autenticación y enrutamiento de red.
Aprovecha *Traffic Director a fin de administrar el tráfico de red y el flujo de comunicaciones de tu organización. Usa Identity-Aware Proxy para controlar el acceso a los recursos de la nube según la autenticación, la autorización y el contexto, incluida la ubicación geográfica o la huella digital del dispositivo. Implementa *Acceso privado a Google, *Cloud VPN o *Cloud Interconnect para proteger el tráfico de red y las comunicaciones entre recursos internos y externos. Usa VPC para definir y proteger las redes en la nube de tu organización. Establece subredes a fin de aislar aún más los recursos de la nube y los perímetros de red.
Google ofrece redes globales definidas por software con opciones multirregionales, regionales y zonales para la alta disponibilidad y la conmutación por error. Define los requisitos de falla de tu organización para garantizar que tus sistemas de información fallen ante un estado conocido. Captura los requisitos para preservar la información del estado del sistema de información. Usa grupos de instancias administrados y plantillas de Deployment Manager para volver a crear instancias de recursos con errores o en mal estado. Otorga acceso a *Security Command Center a los administradores para supervisar de forma activa la confidencialidad, integridad y disponibilidad de tu organización.
En la política, se describen los requisitos de la organización para administrar claves criptográficas, incluidos los requisitos de generación, distribución, almacenamiento, acceso y destrucción de llaves. Usa Cloud KMS y Cloud HSM para administrar, generar, usar, rotar, almacenar y destruir las llaves de seguridad que cumplen con los FIPS en la nube.
Google encripta los datos en reposo de forma predeterminada. Sin embargo, puedes usar Cloud KMS con Compute Engine y Cloud Storage a fin de encriptar aún más datos mediante claves criptográficas. También puedes implementar VM protegidas para aplicar controles de integridad a nivel de kernel en Compute Engine.
Sigue estos lineamientos para ayudar a implementar estos controles de seguridad: SC-01, SC-05, SC-06, SC-07 (08), SC-07 (12), SC-07 (13), SC-07 (20), SC-07 (21), SC-12, SC-24, SC-28, SC-28 (01).
Integridad del sistema y de la información
Implementa una política de integridad de la información y del sistema que describa las funciones y responsabilidades del personal clave, los requisitos y procedimientos de implementación de integridad, los estándares de cumplimiento y los controles de seguridad para tu organización. Crea grupos de seguridad para los miembros del personal de tu organización responsables de la integridad del sistema y de la información. Describe los requisitos de solución de fallas para tu organización a fin de incluir lineamientos para la supervisión, la evaluación, la autorización, la implementación, la planificación, la evaluación comparativa y la resolución de fallas de seguridad en toda la organización y en los sistemas de información.
Aprovecha el paquete de herramientas de seguridad de Google, que incluye lo siguiente:
- Navegador Chrome
- Web Security Scanner
- Artifact Analysis
- Protecciones contra suplantación de identidad (phishing) y software malicioso de Google Workspace
- Centro de seguridad de Google Workspace
- Google Cloud Armor
Usa estas herramientas para las tareas que se detallan a continuación:
- Protegerte contra códigos maliciosos, ataques cibernéticos y vulnerabilidades comunes.
- Poner en cuarentena el spam y establecer políticas de spam y de software malicioso.
- Alertar a los administradores sobre las vulnerabilidades.
- Obtener estadísticas en tu organización para la administración central.
Usa herramientas como Google Cloud Observability o *Security Command Center para administrar, alertar y supervisar de forma centralizada los resultados y controles de seguridad de la organización. En particular, usa Google Cloud Observability para registrar acciones administrativas, accesos a datos y eventos del sistema iniciados por los usuarios y el personal privilegiados en toda tu organización. Notifica a los administradores sobre los mensajes de error y el manejo de errores del sistema de información.
Define eventos relacionados con la seguridad en función del software, el firmware y la información de tu organización (p. ej., vulnerabilidades de día cero, eliminación de datos no autorizados, instalación de hardware, software o firmware nuevos). Explica los pasos que se deben seguir cuando se producen estos tipos de cambios relacionados con la seguridad. Especifica objetivos de supervisión o indicadores de ataque a los que los administradores deben prestar especial atención a fin de incluir información esencial que deba supervisarse dentro de los sistemas de información de tu organización. Define las funciones y responsabilidades de supervisión del sistema y de la información, así como la frecuencia de los informes y la supervisión (por ejemplo, en tiempo real, cada 15 minutos, cada hora o de forma trimestral).
Captura los requisitos para analizar el tráfico de comunicaciones en sistemas de información en toda tu organización. Especifica los requisitos a fin de descubrir anomalías, incluidos los puntos del sistema para la supervisión. *Los servicios de Network Intelligence Center de Google permiten realizar una supervisión detallada del rendimiento y la seguridad de la red. Google también tiene sólidas asociaciones con terceros que se integran a Google Cloud para analizar y proteger los extremos y hosts de la nube, como +Aqua Security y +Crowdstrike. Las VM protegidas permiten endurecer los dispositivos, verificar la autenticación y garantizar procesos de inicio seguros.
Define cómo esperas que tu organización verifique y proteja las amenazas de seguridad y las violaciones de integridad. Usa herramientas como *Security Command Center o *Policy Intelligence para supervisar y detectar cambios en la configuración. Usa +herramientas de administración de configuración o plantillas de Deployment Manager tanto para volver a crear instancias como para interrumpir los cambios en los recursos de la nube.
En la política de integridad e información del sistema, especifica los requisitos para autorizar y aprobar servicios de red en tu organización. Señala los procesos de aprobación y autorización para los servicios de red. VPC es esencial a fin de definir redes y subredes de la nube mediante firewalls para proteger los perímetros de la red. Los Controles del servicio de VPC permiten aplicar perímetros de seguridad de red adicionales para los datos sensibles en la nube.
Además de esto, heredarás de manera automática la pila de inicio seguro y la infraestructura confiable de defensa en profundidad de Google.
Sigue estas pautas para implementar estos controles de seguridad: SI-01, SI-02 (01), SI-02 (03), SI-03 (01), SI-04, SI-04 (05), SI-04 (11), SI-04 (18), SI-04 (19), SI-04 (20), SI-04 (22), SI-04 (23), SI-05, SI-06, SI-07, SI-07 (01), SI-07 (05), SI-07 (07), SI-08 (01), SI-10, SI-11, SI-16.
Conclusión
La seguridad y el cumplimiento en la nube representan un esfuerzo conjunto en tu nombre y en nombre de tu CSP. Si bien Google garantiza que la infraestructura física y los servicios correspondientes sean compatibles con el cumplimiento de decenas de estándares de terceros, regulaciones y certificaciones, debes asegurarte de que todo lo que se compila en la nube cumpla con los requisitos.
Google Cloud te apoya en tus esfuerzos de cumplimiento, ya que proporciona el mismo conjunto de productos y capacidades de seguridad que Google usa para proteger su infraestructura.
¿Qué sigue?
- Explora arquitecturas de referencia, diagramas y prácticas recomendadas sobre Google Cloud. Consulta nuestro Cloud Architecture Center.