Autorización provisional de la Agencia de Sistemas de Información de Defensa de EE.UU.

La Agencia de Sistemas de Información de Defensa de los Estados Unidos (DISA) administra la evaluación y autorización de los servicios en la nube para el Departamento de Defensa (DoD) de EE.UU. La Asistencia de los servicios en la nube de DISA le otorgó a Google Cloud una autorización provisional (PA) de nivel de impacto 5 (IL5) de DoD. Una autorización IL5 permite procesar y almacenar información controlada y no clasificada del sistema de seguridad nacional (NSS) con productos específicos de Google Cloud.

Las PA DISA IL2, IL4 e IL5 de Google Cloud requieren que los clientes utilicen Assured Workloads y la Asistencia mejorada o Premium. La licencia DISA IL4 PA de Google Workspace requiere que los clientes usen Assured Controls y la Asistencia Garantizada. Para obtener más información sobre el proceso de configuración, comunícate con nuestro equipo de ventas.

Cumplimiento de Google Cloud con IL de DISA

DISA es una agencia del DoD responsable de desarrollar y mantener la Guía de Requisitos de Seguridad (SRG) de computación en la nube del DoD. La SRG de computación en la nube define los requisitos de seguridad del modelo de referencia que usa el DoD para evaluar la postura de seguridad de una oferta de servicios en la nube (CSO) y respalda la decisión de otorgar una PA de DoD que permita a un proveedor de servicios en la nube (CSP) alojar misiones de DoD. Incorpora, sustituye y rescinde el Cloud Security Model (CSM) del DoD publicado previamente y se asigna al Marco de trabajo de administración de riesgos (RMF) del DoD

DISA guía a las agencias y los departamentos del DoD para planificar y autorizar el uso de una CSO. También evalúa a las CSO para garantizar el cumplimiento de la SRG, un proceso de autorización mediante el cual los CSP pueden proporcionar documentación que describa su cumplimiento con los estándares del DoD. Emite PA del DoD cuando es necesario, de modo que las agencias del DoD y las organizaciones que brindan asistencia pueden usar los servicios en la nube sin tener que pasar por un proceso de aprobación completo por su cuenta, lo que ahorra tiempo y esfuerzo.

En el 2022, Google Cloud recibió la autoridad provisional IL5, lo que lo convirtió en uno de los primeros hiperescaladores en recibir la aprobación de la DISA para una nube comunitaria definida por software. Un enfoque de aislamiento definido por software ofrece más flexibilidad que las nubes gubernamentales tradicionales en términos de implementación regional, escalabilidad y costo.

Solicitudes de paquetes de ILx Los paquetes ILx del DoD se basan en paquetes de FedRAMP High con controles específicos del DoD adicionales. Los paquetes ILx no están autorizados para que Google los comparta, y DISA debe proporcionarlos a cualquier otra parte. Si una entidad gubernamental solicita detalles sobre el paquete de PA del DoD por sobre lo que cubre el paquete P-ATO de FedRAMP, puede comunicarse con la División de Evaluación de la Nube en: DISA Ft Meade RE. Equipo de Mailbox Cloud: disa.meade.re.mbx.cloud-team@mail.mil

IL2 y Google Cloud

Los datos de la IL2 incluyen información no controlada y no clasificada, es decir, todos los datos que se borran para su publicación, así como información no clasificada y de confidencialidad baja que no se designa como información controlada y no clasificada (CUI). Este nivel de impacto se adapta a la categorización que no es de CUI según la clasificación de seguridad y selección de control para los sistemas de seguridad nacional de CNSSI 1253 hasta baja confidencialidad e integridad moderada (LMx)

La nota para directores generales de TI del DoD del 15 de diciembre de 2014 relacionada con los Lineamientos actualizados sobre la adquisición y el uso de servicios comerciales de computación en la nube establece lo siguiente: “FedRAMP servirá como modelo de referencia mínimo de seguridad para todos los servicios de la nube del DoD”. El SRG usa el modelo de referencia moderado de FedRAMP como toda la IL de información y considera el modelo de referencia alto en algunos casos.

En el artículo 5.1.1, Uso de los Controles de seguridad del FedRAMP de la SRG de computación en la nube, se describe que la información de IL2 puede alojarse en una CSO que contiene mínimamente una autorización provisional moderada o alta de FedRAMP. Solo se evaluarán los controles de referencia de FedRAMP de nivel moderado o alto para las PA IL2 del DoD. En el caso de una PA IL2, el DoD permite la reciprocidad total con la autorización provisional moderada o alta de FedRAMP para operar (P-ATO) emitida por la Junta de autorización conjunta (JAB) de FedRAMP. Para obtener más información sobre el cumplimiento de FedRAMP de Google Cloud, consulta nuestra página del FedRAMP.

Aloja cargas de trabajo IL4 o IL5 en Google Cloud

Las cargas de trabajo de IL4 y de IL5 se pueden implementar mediante Assured Workloads, lo que habilita controles de seguridad que cumplen con los requisitos mayores de residencia de datos y asistencia. Assured Workloads también aplica protecciones para desarrolladores que ayudan a las grandes organizaciones a cumplir con las políticas. 

Una vez que selecciones tus servicios autorizados por IL4 o IL5, Google podrá ayudarte a configurar tu solución a través de guías de configuración específicas del servicio cuando interactúes directamente con nuestra organización de Servicios profesionales. Además, Google les proporciona a los clientes una guía de implementación de Springboard para IL4 con código de Terraform.

Los clientes que deseen implementar sus soluciones con Google Cloud en sus entornos IL4 e IL5 deben usar Assured Workloads. Assured Workloads permite a los clientes proteger y configurar con confianza cargas de trabajo sensibles para satisfacer los requisitos de cumplimiento y seguridad usando los servicios de Google Cloud. Assured Workloads no depende de una infraestructura física distinta de la de sus centros de datos en la nube pública. En cambio, ofrece una nube comunitaria definida por software que ofrece ventajas de costo, innovación y velocidad.

Los servicios autorizados de IL4 e IL5 que están disponibles a través de Assured Workloads implementan controles de seguridad de IL4 e IL5, y permiten que los clientes usen las funciones de Google Cloud para satisfacer las necesidades de su organización. Assured Workloads también proporciona visibilidad del estado de cumplimiento de las cargas de trabajo de IL4 e IL5 a través de Assured Workloads Monitoring. Esta herramienta puede ayudarte a detectar y solucionar los incumplimientos, y proporcionar certificaciones de control a los auditores de tu estado de cumplimiento.

Además de los controles que cumple la autoridad provisional IL5 de la infraestructura de Google Cloud, Assured Workloads implementa los siguientes controles clave de IL4 e IL5 de forma predeterminada para los clientes que manejan datos gubernamentales de IL4 e IL5: 

  1. Establecer barreras de seguridad para restringir la ubicación de los datos de clientes de IL4 e IL5 a EE.UU.
  2. Restringir la asistencia técnica al personal con permisos IL4 e IL5 que se encuentre en EE.UU.
  3. Aplicar de manera forzosa el uso de encriptación en reposo y en tránsito que cumple con el estándar FIPS-140-2
  4. Implementar los controles de acceso del personal que requieren IL4 e IL5 para aquellos que tienen acceso de rutina a los datos del cliente
  5. Restringir a los desarrolladores a usar solo productos y servicios que cumplan con los estándares IL4 e IL5
  6. Segmentación lógica del límite de cumplimiento dentro del alcance para admitir los requisitos de IL4 e IL5

IL4 y Google Workspace

Google Workspace Enterprise Plus obtuvo la autorización de Nivel 4 del Departamento de Defensa (DoD) de EE.UU. Los clientes que desean implementar Google Workspace para su solución de productividad y colaboración deben usar la función complementaria de Assured Controls, que permitirá a las organizaciones controlar con precisión el acceso de los proveedores de servicios en la nube.

Google Workspace Enterprise Plus con Assured Controls incluye controles de seguridad integrados y conjuntos de atributos que permiten que los clientes del DoD cumplan con el estándar IL4 y emitan su propia autoridad para operar (ATO). Entre las funciones clave de Google Workspace que cumplen con el estándar IL4, se incluyen las siguientes:

  • La capacidad de restringir datos solo a regiones de EE.UU. con las regiones de datos
  • La capacidad de limitar las acciones de asistencia del personal de Google a personas físicas o jurídicas de EE.UU. solo mediante Administración de accesos de Assured Controls
  • Encriptación avanzada de datos en reposo y en tránsito para satisfacer las necesidades de encriptación de datos sensibles. Obtén más información en nuestro documento sobre encriptación de Google Workspace.
  • Centro de seguridad de Google Workspace, que proporciona información y análisis de seguridad avanzados para los problemas de seguridad que afectan al dominio. 

Los clientes del Departamento de Defensa pueden solicitar la documentación de IL4 de Google Workspace mediante eMASS o a través de su contacto de DISA. Ten en cuenta que Google Workspace no puede proporcionar esta documentación directamente a los clientes.

Servicios incluidos en el alcance

Calendario

Documentos

Drive

Formularios

Gmail

Google Chat (incluidos los bots de Google Drive y Meet)

Google Meet

Hojas de cálculo

Presentaciones

Los clientes pueden consultar los lineamientos de implementación para obtener una lista de los servicios de Workspace aprobados para IL4. 

Access Context Manager

Apigee

App Engine

Artifact Registry

BigQuery

Bigtable

Seguridad de Chronicle (SIEM)

Chronicle SOAR

Cloud Asset Inventory

Facturación de Cloud

Cloud Build

Cloud Composer

Consola de Cloud

Cloud Data Fusion

Cloud DNS

Cloud Functions

Cloud HSM

Cloud Identity

Cloud Interconnect

Sistema de detección de intrusiones de Cloud (IDS)

Cloud Key Management Service

Cloud Load Balancing

Cloud Logging

Cloud Monitoring

Cloud NAT

Cloud Run

Cloud Service Mesh

Cloud SQL

Cloud Storage 

Cloud Tasks

API de Cloud Vision

Cloud VPN

Cloud Workstations

Compute Engine

Config Management

Connect

Dataflow

Dataproc

Eventarc

Filestore

Firestore

GCP Marketplace

Consola del administrador de Google

Google Cloud Armor

Google Kubernetes Engine (GKE)

GKE Hub

GKE Identity Service

Identity & Access Management

Memorystore for Memcached

Memorystore para Redis

Network Intelligence Center

Persistent Disk

Pub/Sub

Resource Manager

Security Command Center

Sensitive Data Protection (incluida Cloud Data Loss Prevention)

Directorio de servicios

Spanner

Speech-to-Text

Text-to-Speech

Traffic Director

Vertex AI Batch Prediction

Previsión de Vertex AI

Modelo Vertex AI Monitoring

Registro de modelos de Vertex AI

Vertex AI Online Prediction

Vertex AI Pipelines

Vertex AI Training

Vertex AI Workbench User Managed Notebooks

Vertex ML Metadata

API de Video Intelligence

Nube privada virtual

Controles del servicio de VPC

Web Risk

Federación de identidades de personal

Consulta nuestra página de cumplimiento de FedRAMP para conocer la lista de servicios incluidos en el alcance de IL2.

Preguntas frecuentes

Uno de los beneficios de usar Google Cloud para tus cargas de trabajo gubernamentales es que nuestra infraestructura subyacente y Assured Workloads ya cumplen con varios de los controles obligatorios. Por lo tanto, cuando envíes tu paquete IL4 o IL5 para su autorización, también incluirás la SSP de Google, que describe los controles que Google aborda ti. Comunícate con tu equipo de ventas para obtener una copia de la SSP de Google Cloud (se requiere un NDA).

En Google Cloud, los clientes pueden aprovechar las capacidades de encriptación que ya están presentes en los productos autorizados para sus datos asociados, tanto en reposo como en uso, con pocas o ningunas acciones obligatorias en la mayoría de los casos. El sistema de almacenamiento y la red de Google Cloud llevan una PA IL4 y también IL5, lo que reduce la cantidad de responsabilidad que deben administrar los clientes de Google Cloud.

Los datos almacenados en reposo en sistemas autorizados se encriptan de forma automática mediante bibliotecas certificadas con el estándar FIPS 140-2 (es decir, certificados núm. 3678, núm. 3383 y núm. 3384). Las claves de encriptación que se usan en este sistema también se almacenan y protegen de acuerdo con NIST 800‐57, y se mantienen seguras dentro del sistema KMS propiedad de Google. Los clientes pueden controlar este sistema a través de Cloud KMS.

La transmisión de datos dentro de una VPC de Google Cloud también se autoriza en IL4 y en IL5, y se protege automáticamente con encriptación, autenticación y autorización. No se requiere ninguna otra acción para las conexiones dentro de una VPC. Las conexiones a las APIs de Google usan TLS 1.2 o superior para la encriptación del tráfico. Los clientes son responsables de otras conexiones dentro y fuera del entorno (en la capa 3 o 7) que pasan por los recursos controlados por el cliente (p. ej., el balanceador de cargas de Cloud o Cloud VPN).

Google es uno de los primeros proveedores de servicios en la nube comercial a hiperescala en obtener IL4 e IL5 en una oferta de nube pública comercial. Además, es uno de los mayores proveedores de servicios IL4 e IL5.

Da el siguiente paso

Comienza a desarrollar en Google Cloud con el crédito gratis de $300 y los más de 20 productos del nivel Siempre gratuito.

Comenzar gratis
Google Cloud
DocumentaciónAsistencia
  • ‪English‬
  • ‪Deutsch‬
  • ‪Español‬
  • ‪Español (Latinoamérica)‬
  • ‪Français‬
  • ‪Indonesia‬
  • ‪Italiano‬
  • ‪Português (Brasil)‬
  • ‪简体中文‬
  • ‪繁體中文‬
  • ‪日本語‬
  • ‪한국어‬
Consola
Acceder
Security
Página principalInformación y experienciaSecOpsSeguridad en la nubeRecursos de seguridad
Asistencia para la respuesta ante incidentes
Comunicarse con nosotros
  • Acelera tu transformación digital
  • Google Cloud puede ayudarte a superar los desafíos más complejos, ya sea que tu negocio recién comience su recorrido o se encuentre en una fase avanzada de la transformación digital.
  • Productos de Google Cloud
  • Explora más de 100 productos. Los clientes nuevos obtienen $300 en créditos gratuitos para ejecutar, probar e implementar cargas de trabajo. Todos los clientes pueden usar más de 25 productos gratis, hasta alcanzar los límites de uso mensuales.
  • Ahorra dinero con nuestro enfoque transparente de precios
  • Los precios de prepago de Google Cloud ofrecen ahorros automáticos en función del uso mensual y las tarifas con descuento para recursos prepagados. Comunícate con nosotros hoy para obtener una cotización.
Google Cloud