Cumplimiento de FedRAMP en Google Cloud

Renuncia de responsabilidad

Esta guía solo tiene fines informativos. Google no pretende que la información ni las recomendaciones incluidas se consideren asesoramiento legal. Cada cliente es responsable de evaluar de manera independiente el uso particular que hace de los servicios según corresponda para cumplir con las obligaciones legales.

Público objetivo

Para los clientes que están sujetos a los requisitos del Programa Federal de Administración de Autorizaciones y Riesgo (FedRAMP) del Gobierno federal de EE.UU., Google Cloud respalda el cumplimiento con FedRAMP Moderate. Esta guía está destinada a los encargados de la seguridad y el cumplimiento, los administradores de TI y demás empleados responsables de la implementación y el cumplimiento de FedRAMP Moderate en Google Cloud. Después de leer esta guía, comprenderás cómo Google puede respaldar el cumplimiento con FedRAMP Moderate.

Descripción general

Es importante tener en cuenta que hay dos tipos de autorizaciones FedRAMP para servicios en la nube:

  • Una autoridad provisional para operar (P-ATO) a través de la Junta de autorización conjunta (JAB)
  • Una autoridad de agencia para operar (ATO)

Proceso de P-ATO

Una P-ATO de FedRAMP es una aprobación inicial del paquete de autorización CSP por parte de la JAB que una agencia puede aprovechar a fin de otorgar una ATO para la adquisición y el uso del servicio en la nube dentro de su agencia. La JAB consta de los directores generales de información (CIO) de DOD, DHS y GSA, que cuentan con la asistencia de representantes técnicos (TR) designados de sus respectivas organizaciones miembro. Una P-ATO significa que la JAB revisó el paquete de autorización del servicio en la nube y proporcionó una aprobación provisional para que las agencias federales lo aprovechen cuando otorguen una ATO para un sistema en la nube. Para que un servicio en la nube ingrese al proceso de JAB, primero debe tener prioridad a través de FedRAMP Connect.

Proceso de ATO de la agencia

Como parte del proceso de autorización de la agencia, un CSP trabaja directamente con el patrocinador de la agencia que revisa el paquete de seguridad del servicio en la nube. Después de completar una evaluación de seguridad, el jefe de una agencia (o su designado) puede otorgar una ATO. Para obtener más información sobre estas dos rutas de autorización, visita nuestra página Obtener autorización.

El Programa Federal de Administración de Autorizaciones y Riesgo (FedRAMP) es un programa del Gobierno de Estados Unidos que brinda un enfoque estandarizado en relación con la evaluación de la seguridad, la autorización y la supervisión continua de los productos y servicios en la nube. Todas las implementaciones en la nube y los modelos de servicios de las agencias federales, además de ciertas nubes privadas locales, deben cumplir con los requisitos del FedRAMP en el nivel adecuado de impacto de riesgos (bajo, moderado o alto).

Google ofrece Condiciones específicas del servicio a través de Assured Workloads para clientes que requieren asistencia de cumplimiento de FedRAMP Moderate. Google Cloud se creó bajo la orientación de un equipo de ingeniería de seguridad conformado por más de 700 personas, que es más grande que la mayoría de los equipos de seguridad locales. En el Informe de seguridad de Google y la Descripción general del diseño de seguridad de la infraestructura de Google, se presenta información específica sobre nuestro enfoque para la seguridad y la protección de los datos, incluidos detalles sobre los controles técnicos y organizativos acerca de cómo Google protege tus datos.

Además de documentar su enfoque para el diseño de seguridad y privacidad, Google se somete a auditorías de terceros independientes de forma periódica para proporcionar una verificación externa a los clientes. Esto significa que un auditor independiente examinó los controles que existen en nuestros centros de datos, infraestructura y operaciones. Google puede proporcionar a los clientes bajo un NDA el plan de seguridad del sistema (SSP) de FedRAMP Moderate aprobado a solicitud.

Responsabilidades de los clientes

Una de las responsabilidades clave de un cliente es determinar si la autorización del FedRAMP Moderate de Google es adecuada para cubrir los fines del cliente.

Si bien Google proporciona una infraestructura segura que cumple con las normativas vigentes (como se describió anteriormente) para el almacenamiento y el procesamiento de datos regulados por FedRAMP Moderate, el cliente es responsable de garantizar que el entorno y las aplicaciones que compile en función de Google Cloud se configuren y se protejan de forma correcta según los requisitos de FedRAMP Moderate. Por lo general, esto se conoce como el modelo de seguridad compartida en la nube.

Prácticas recomendadas esenciales

  • Acepta las condiciones de FedRAMP en Google Cloud. Puedes hacerlo de forma inherente cuando implementes una Assured Workload de FedRAMP Moderate.
  • Inhabilita o asegúrate de no usar productos de Google Cloud que no estén cubiertos de manera explícita por la P-ATO de FedRAMP Moderate de Google (consulta Productos cubiertos) cuando trabajes con datos regulados de FedRAMP Moderate.
  • Google Cloud puede proporcionar orientación a los clientes para el modelo de seguridad compartida a través de nuestro paquete de clientes de FedRAMP, que incluye lo siguiente:
    • Guía de controles de seguridad de FedRAMP Moderate
    • Plantilla del modelo de referencia de FedRAMP SSP High
    • Plantilla del modelo de referencia de FedRAMP SSP Moderate
    • Guía del framework de seguridad cibernética de NIST
  • Además, la Guía de implementación de FedRAMP y la arquitectura del modelo de seguridad de Google Cloud proporcionan recomendaciones complementarias para la seguridad compartida en Google Cloud.

Productos cubiertos

FedRAMP Moderate de Google Cloud cubre toda la infraestructura de Google Cloud (todas las regiones, zonas, rutas de red y puntos de presencia) y los productos de FedRAMP Moderate que estén dentro del alcance.

Características únicas

Las prácticas de seguridad de Google Cloud nos permiten tener una ATO de FedRAMP Moderate que cubra toda la infraestructura de Google Cloud, no una porción de la nube. Como resultado, no estás restringido a una región específica, lo cual tiene beneficios operativos y de arquitectura y escalabilidad. También puedes beneficiarte de la redundancia de servicio multirregional, además de la opción de usar VM interrumpibles para reducir costos.

Las medidas de seguridad y cumplimiento que nos permiten respaldar el cumplimiento de FedRAMP Moderate están arraigadas en nuestra infraestructura, nuestro diseño de seguridad y nuestros productos. Por ello, podemos ofrecerles a los clientes regulados por FedRAMP Moderate los mismos productos que están disponibles para el resto de los clientes al mismo precio, incluidos los descuentos por uso continuo.

Conclusión

Google Cloud es la infraestructura de nube en la que los clientes pueden almacenar, analizar y obtener estadísticas de forma segura mediante la información regulada de FedRAMP Moderate, sin tener que preocuparse por la infraestructura subyacente.

Recursos adicionales