Autorización provisional de la Agencia de Sistemas de Información de Defensa de EE.UU.

DISA es una agencia del DoD responsable de desarrollar y mantener la Guía de Requisitos de Seguridad (SRG) de computación en la nube del DoD. La SRG de computación en la nube define los requisitos de seguridad de referencia que usa el DoD para evaluar la postura de seguridad de una oferta de servicios en la nube (CSO) y respalda la decisión de otorgar una PA de DoD que permita a un proveedor de servicios en la nube (CSP) alojar misiones de DoD. Incorpora, sustituye y rescinde el Cloud Security Model (CSM) del DoD publicado previamente y se asigna al Marco de trabajo de administración de riesgos (RMF) del DoD

DISA guía a las agencias y los departamentos del DoD para planificar y autorizar el uso de una CSO. También evalúa a las CSO para garantizar el cumplimiento de la SRG, un proceso de autorización mediante el cual los CSP pueden proporcionar documentación que describa su cumplimiento de los estándares del DoD. Emite PA del DoD cuando es necesario, de modo que las agencias del DoD y las organizaciones que brindan asistencia pueden usar los servicios en la nube sin tener que pasar por un proceso de aprobación completo por su cuenta, lo que ahorra tiempo y esfuerzo.

En el 2022, Google Cloud recibió la autoridad provisional IL5, lo que lo convirtió en uno de los primeros hiperescaladores en recibir la aprobación de la DISA para una nube comunitaria definida por software. Un enfoque de aislamiento definido por software ofrece más flexibilidad que las nubes gubernamentales tradicionales en términos de implementación regional, escalabilidad y costo.

Solicitudes de paquetes de ILx Los paquetes ILx del DoD se basan en paquetes de FedRAMP High con controles específicos del DoD adicionales. Los paquetes ILx no están autorizados para que Google los comparta, y DISA debe proporcionarlos a cualquier otra parte. Si una entidad gubernamental solicita detalles sobre el paquete de PA del DoD por sobre lo que cubre el paquete P-ATO de FedRAMP, puede comunicarse con la División de Evaluación de la Nube en: DISA Ft Meade RE. Equipo de Mailbox Cloud: disa.meade.re.mbx.cloud-team@mail.mil

Los datos de la IL2 incluyen información no controlada y no clasificada, es decir, todos los datos que se borran para su publicación pública, así como información no clasificada y de confidencialidad baja que no se designa como información controlada y no clasificada (CUI). Este nivel de impacto se adapta a la categorización que no es de CUI según la clasificación de seguridad y selección de control para los sistemas de seguridad nacional de CNSSI 1253 hasta baja confidencialidad e integridad moderada (LMx)

La nota para directores generales de TI del DoD del 15 de diciembre de 2014 relacionada con los Lineamientos actualizados sobre la adquisición y el uso de servicios comerciales de computación en la nube establece lo siguiente: “FedRAMP servirá como modelo de referencia mínimo de seguridad para todos los servicios de la nube del DoD”. El SRG usa el modelo de referencia moderado de FedRAMP como toda la IL de información y considera el modelo de referencia alto en algunos casos.

En el artículo 5.1.1, Uso de los Controles de seguridad del FedRAMP de la SRG de computación en la nube, se describe que la información de IL2 puede alojarse en una CSO que contiene mínimamente una autorización provisional moderada o alta de FedRAMP. Solo se evaluarán los controles de referencia de FedRAMP de nivel moderado o alto para las PA IL2 del DoD. En el caso de una PA IL2, el DoD permite la reciprocidad total con la autorización provisional moderada o alta de FedRAMP para operar (P-ATO) emitida por la Junta de autorización conjunta (JAB) de FedRAMP. Para obtener más información sobre el cumplimiento de FedRAMP de Google Cloud, consulta nuestra página del FedRAMP. 

Las cargas de trabajo de IL4 y de IL5 se pueden implementar mediante Assured Workloads, lo que habilita controles de seguridad que cumplen con los requisitos mayores de residencia de datos y asistencia. Assured Workloads también aplica protecciones para desarrolladores que ayudan a las grandes organizaciones a cumplir con las políticas. 

Una vez que selecciones los servicios autorizados por IL4 o IL5, Google puede ayudarte a configurar tu solución mediante guías de configuración específicas del servicio o la interacción directa con expertos de IL4 e IL5 en nuestra organización Servicios profesionales. Además, Google les proporciona a los clientes una guía de implementación de Springboard para IL4 con código de Terraform.

Los clientes que deseen implementar sus soluciones con Google Cloud en sus entornos IL4 e IL5 deben usar Assured Workloads. Assured Workloads permite a los clientes proteger y configurar con confianza cargas de trabajo sensibles para satisfacer los requisitos de cumplimiento y seguridad usando los servicios de Google Cloud. Assured Workloads no depende de una infraestructura física distinta de la de sus centros de datos en la nube pública. En cambio, ofrece una nube comunitaria definida por software que ofrece ventajas de costo, innovación y velocidad. 

Los servicios autorizados de IL4 e IL5 que están disponibles a través de Assured Workloads implementan controles de seguridad de IL4 e IL5, y permiten que los clientes usen las funciones de Google Cloud para satisfacer las necesidades de su organización. Assured Workloads también proporciona visibilidad del estado de cumplimiento de las cargas de trabajo de IL4 e IL5 a través de Assured Workloads Monitoring. Esta herramienta puede ayudarte a detectar y solucionar los incumplimientos, y proporcionar certificaciones de control a los auditores de tu estado de cumplimiento.

Además de los controles que cumple la autoridad provisional IL5 de la infraestructura de Google Cloud, Assured Workloads implementa los siguientes controles clave de IL4 e IL5 de forma predeterminada para los clientes que manejan datos gubernamentales de IL4 e IL5: 

1. Establecer barreras de seguridad para restringir la ubicación de los datos de clientes de IL4 e IL5 a EE.UU.
2. Restringir la asistencia técnica al personal con permisos IL4 e IL5 que se encuentre en EE.UU.
3. Aplicar de manera forzosa el uso de encriptación en reposo y en tránsito que cumple con el estándar FIPS-140-2
4. Implementar los controles de acceso del personal que requieren IL4 e IL5 para aquellos que tienen acceso de rutina a los datos del cliente
5. Restringir a los desarrolladores a usar solo productos y servicios que cumplan con los estándares IL4 e IL5
6. Segmentación lógica del límite de cumplimiento dentro del alcance para admitir los requisitos de IL4 e IL5

Google Workspace Enterprise Plus obtuvo la autorización de Nivel 4 del Departamento de Defensa (DoD) de EE.UU. Los clientes que desean implementar Google Workspace para su solución de productividad y colaboración deben usar la función complementaria de Assured Controls, que permitirá a las organizaciones controlar con precisión el acceso de los proveedores de servicios en la nube.

Google Workspace Enterprise Plus con Assured Controls incluye controles de seguridad integrados y conjuntos de atributos que permiten que los clientes del DoD cumplan con el estándar IL4 y emitan su propia autoridad para operar (ATO). Entre las funciones clave de Google Workspace que cumplen con el estándar IL4, se incluyen las siguientes:

• La capacidad de restringir datos solo a regiones de EE.UU. con las regiones de datos
• La capacidad de limitar las acciones de asistencia del personal de Google a personas físicas o jurídicas de EE.UU. solo mediante Administración de accesos de Assured Controls
• Encriptación avanzada de datos en reposo y en tránsito para satisfacer las necesidades de encriptación de datos sensibles. Obtén más información en nuestro documento sobre encriptación de Google Workspace.
• Centro de seguridad de Google Workspace, que proporciona información y análisis de seguridad avanzados para los problemas de seguridad que afectan al dominio. 

Los clientes del Departamento de Defensa pueden solicitar la documentación de IL4 de Google Workspace mediante eMASS o a través de su contacto de DISA. Ten en cuenta que Google Workspace no puede proporcionar esta documentación directamente a los clientes.

• Descripción general de las cargas de trabajo de Assured Workloads
• Guía y Terraform para implementar un entorno IL4 en Assured Workloads
• Framework de seguridad cibernética de NIST y Google Cloud
• Guía de implementación de Google Cloud
• Modelo de seguridad de Google Cloud
• Instrucción del DoD 8510.01 Marco de trabajo de administración de riesgos (RMF) del DoD para la tecnología de la información (TI)

• Información controlada no clasificada (CUI) Registro y lista de categorías de CUI

• NIST SP 800-37 Marco de trabajo de administración de riesgos para sistemas de información y organizaciones: Un enfoque del ciclo de vida del sistema para seguridad y privacidad
• NIST SP 800-53 Controles de seguridad y privacidad para sistemas de información y organizaciones
• NIST SP 800-59 Lineamientos para identificar un sistema de información como sistema de seguridad nacional
• NIST SP 800-171 Protección de la información controlada no clasificada en sistemas y organizaciones no federales
• CNSSI 1253 Clasificación de seguridad y control de selección para sistemas de seguridad nacional