Ir a

Autorización provisional de la agencia de sistemas de información de defensa de EE. UU.

La agencia de sistemas de información de defensa de Estados Unidos (DISA) gestiona la evaluación y autorización de los servicios en la nube del Departamento de Defensa de dicho país. El equipo de asistencia de servicios en la nube de DISA ha concedido a Google Cloud una autorización provisional de nivel de impacto 5 (IL5) de DoD. Las autorizaciones de IL5 permiten procesar y almacenar información sin clasificar controlada e información del sistema de seguridad nacional mediante productos específicos de Google Cloud.

Las autorizaciones provisionales de IL2, IL4 e IL5 de DISA para Google Cloud requieren que los clientes usen Assured Workloads y Asistencia Premium. La autorización provisional de IL4 de DISA para Google Workspace requiere que los clientes utilicen Assured Controls y Asistencia de Assured. Para obtener más información sobre el proceso de configuración, ponte en contacto con nuestro equipo de Ventas.

Cumplimiento del nivel de impacto de DISA por parte de Google Cloud

La DISA es una agencia del Departamento de Defensa (DoD) de EE. UU. que se encarga de desarrollar y mantener la guía de requisitos de seguridad (SRG) de cloud computing del DoD. La SRG de cloud computing define los requisitos de seguridad de referencia empleados por el DoD de EE. UU. para evaluar la posición de seguridad de una solución en la nube, lo que respalda la decisión de conceder una autorización provisional del Departamento de Defensa de EE. UU. que permita a un proveedor de servicios en la nube alojar las misiones del DoD. Incorpora, sustituye y rescinde el modelo de seguridad en la nube (CSM) del Departamento de Defensa de EE. UU. publicado anteriormente y se corresponde con el marco de gestión de riesgos (RMF) del DoD.

La DISA orienta a las agencias y los departamentos del DoD a la hora de planificar y autorizar el uso de una solución en la nube. También evalúa si dichas soluciones cumplen la SRG, un proceso de autorización mediante el cual los proveedores de servicios en la nube pueden proporcionar documentación que demuestre su cumplimiento de los estándares del DOD. También emite autorizaciones provisionales cuando corresponde, de modo que las agencias y las empresas colaboradoras pueden usar los servicios en la nube sin tener que pasar por un proceso de aprobación completo por su cuenta, lo que les ahorra tiempo y esfuerzo.

En el 2022, Google Cloud recibió una autoridad provisional de IL5, lo que lo convirtió en uno de los primeros servicios a hiperescala en recibir la aprobación de DISA para utilizar una nube comunitaria definida mediante software. El enfoque de aislamiento definido mediante software ofrece más flexibilidad que las nubes gubernamentales tradicionales en cuanto al despliegue, la escalabilidad y los costes por región.

Solicitudes de paquetes de ILx Los paquetes de ILx del DoD se basan en paquetes de FedRAMP de nivel alto con controles adicionales específicos del DoD. Google no tiene autorización para compartir paquetes de ILx, de modo que DISA debe encargarse de proporcionarlos a terceros. Si una entidad pública quiere obtener información sobre el paquete de la autorización provisional del DoD que está incluido en la autorización provisional de operación (P-ATO) de FedRAMP, puede ponerse en contacto con la división de evaluación de la nube a través de la siguiente dirección: DISA Ft Meade RE. Mailbox Cloud Team: disa.meade.re.mbx.cloud-team@mail.mil.

Google Cloud e IL2

Los datos de IL2 incluyen información sin clasificar no controlada, es decir, todos los datos aprobados para su divulgación pública y otra información sin clasificar de baja confidencialidad que no se designa como información sin clasificar controlada (CUI). Este nivel de impacto abarca la categorización que no sea CUI basada en la instrucción 1253 del CNSSI Selección de controles y categorización de seguridad para sistemas de seguridad nacional hasta un nivel bajo confidencialidad e integridad moderada (L-M-x).

En la nota del 15 de diciembre del 2014 para los directores de sistemas de información del DoD de EE. UU., la guía actualizada sobre la adquisición y el uso de servicios comerciales de cloud computing establece que: "FedRAMP servirá como el punto de referencia de seguridad mínimo para todos los servicios en la nube del DoD". La SRG utiliza el valor de referencia moderado de FedRAMP para toda la información de nivel de referencia y, en algunos casos, tiene en cuenta el valor de referencia alto.

En la sección 5.1.1, Uso del DoD de los controles de seguridad de FedRAMP de la SRG de cloud computing, la información de IL2 puede estar alojada en una solución en la nube que contiene mínimamente una autorización provisional de nivel moderado o alto del programa FedRAMP. Solo se evaluarán los controles de referencia de nivel moderado o alto de FedRAMP para las autorizaciones provisionales de IL2 del DoD. En el caso de una autorización provisional de IL2, el DoD permite la reciprocidad completa con la P-ATO de nivel moderado o alto de FedRAMP emitida por la junta de autorización conjunta (JAB) de FedRAMP. Para obtener más información sobre el cumplimiento del programa de FedRAMP por parte de Google Cloud, consulta nuestra página de FedRAMP

Alojar cargas de trabajo de IL4 o IL5 en Google Cloud

Las cargas de trabajo de IL4 e IL5 se pueden desplegar a través de Assured Workloads, lo que ofrece controles de seguridad que satisfacen los exigentes requisitos de asistencia y de residencia de datos. Assured Workloads también ofrece barreras de seguridad para los desarrolladores que ayudan a las grandes empresas a cumplir las normativas pertinentes. 

Una vez que hayas seleccionado tus servicios autorizados de IL4 o IL5, Google puede proporcionarte guías de configuración específicas para cada servicio que te ayuden a configurar tu solución. También puedes ponerte en contacto directamente con el equipo de expertos en IL4 e IL5 en nuestra Professional Services Organization. Además, Google proporciona a los clientes una guía de despliegue de Springboard de IL4 con código de Terraform.

Los clientes que quieran desplegar sus soluciones mediante Google Cloud en sus entornos de IL4 e IL5 deben usar Assured Workloads. Con Assured Workloads, los clientes pueden proteger y configurar cargas de trabajo sensibles con total confianza para satisfacer los requisitos de cumplimiento y de seguridad mediante los servicios de Google Cloud. Assured Workloads no depende de una infraestructura física distinta de la de sus centros de datos en la nube pública. En lugar de eso, proporciona una nube comunitaria definida mediante software que ofrece ventajas relativas a los costes, la velocidad y la innovación. 

Los servicios con autorización de IL4 y de IL5 disponibles a través de Assured Workloads implementan controles de seguridad de IL4 y de IL5 y permiten a los clientes usar las funciones de Google Cloud para satisfacer las necesidades de su empresa. Assured Workloads también ofrece visibilidad sobre el estado de cumplimiento de las cargas de trabajo de IL4 y de IL5 a través de Assured Workloads Monitoring. Esta herramienta puede ayudarte a detectar y solucionar las infracciones de cumplimiento, y a proporcionar atestaciones de control a los auditores del estado de cumplimiento.

Además de los controles que se aplican con la autorización provisional de IL5 de la infraestructura de Google Cloud, Assured Workloads implementa de forma predeterminada los siguientes controles clave de IL4 y de IL5 para los clientes que gestionan datos gubernamentales de IL4 y de IL5: 

  1. Define las restricciones de ubicación de los datos de clientes de IL4 o IL5 a EE. UU.
  2. Restringe el personal de asistencia técnica al personal de IL4 e IL5 ubicado en EE. UU.
  3. Exige el uso de un encriptado que cumpla el estándar FIPS‐140‐2 tanto en reposo como en tránsito.
  4. Implementa controles de acceso de personal exigidos por IL4 e IL5 para aquellos que tengan acceso rutinario a datos de clientes.
  5. Permite que los desarrolladores solo utilicen productos y servicios que cumplan los requisitos de IL4 e IL5.
  6. Segmentación lógica del límite de cumplimiento para cumplir los requisitos de IL4 e IL5.

Google Workspace e IL4

La edición Google Workspace Enterprise Plus ha obtenido la autorización de nivel de impacto 4 del Departamento de Defensa de EE. UU. Los clientes que quieran desplegar Google Workspace como una solución de productividad y colaboración deben usar la función del complemento Assured Controls que les permita a las empresas controlar de forma precisa el acceso de los proveedores de servicios en la nube.

Google Workspace Enterprise Plus con Assured Controls tiene controles de seguridad y conjuntos de funciones integrados que permiten a los clientes del DoD cumplir con la normativa de IL4 y gestionar su propia autorización para operar (ATO). Estas son algunas de las funciones clave de Google Workspace que permiten cumplir los requisitos de IL4:

  • La posibilidad de restringir datos solo a regiones de EE. UU. mediante regiones de datos.
  • La posibilidad de limitar las acciones de asistencia del personal de Google a las personas estadounidenses que usen Gestión de Accesos de Assured Controls.
  • El encriptado en reposo y en tránsito de datos avanzado para cubrir las necesidades de encriptado de los datos sensibles. Consulta más información en nuestro informe sobre el encriptado de Google Workspace.
  • El Centro de Seguridad de Google Workspace, que proporciona analíticas e información de seguridad avanzadas sobre problemas de seguridad que afectan a tu dominio. 

Los clientes del DoD pueden solicitar documentación sobre el IL4 de Google Workspace a través de eMASS o del enlace a DISA. Ten en cuenta que Google Workspace no puede proporcionar esta documentación directamente a los clientes.

Servicios cubiertos

Calendar

Documentos

Drive

Formularios

Gmail

Google Chat (incluidos los bots de Google Drive y de Meet)

Google Meet

Hojas de cálculo

Presentaciones

Los clientes pueden consultar las directrices de implementación para obtener una lista de los servicios de Workspace que se han aprobado para usar IL4. 

Preguntas frecuentes

Una de las ventajas de usar Google Cloud para gestionar tus cargas de trabajo gubernamentales es que ya existen una serie de controles necesarios de los que nos encargamos nosotros en nuestra infraestructura subyacente y en Assured Workloads. Por tanto, cuando envías tu paquete de IL4 o IL5 para que se autorice, también incluyes la SSP de Google, que describe los controles que gestiona Google por ti. Ponte en contacto con tu equipo de Ventas para obtener una copia de la SSP de Google Cloud (se necesita un acuerdo de confidencialidad).

En Google Cloud, los clientes pueden aprovechar las funciones de encriptado de los productos autorizados para sus datos asociados, tanto en reposo como en uso. Además, pueden implementar esta función con apenas esfuerzo, en la mayoría de los casos. Tanto el sistema de almacenamiento como la red de Google Cloud tienen una autorización provisional de IL4 e IL5, lo que reduce la responsabilidad que deben gestionar los clientes de Google Cloud.

Los datos almacenados en reposo en los sistemas autorizados se encriptan automáticamente mediante bibliotecas con la certificación FIPS 140‐2 (es decir, los certificados n.º 3678, n.º 3383 y n.º 3384). Las claves de encriptado que se utilizan en este sistema también se almacenan y protegen de acuerdo con el estándar NIST 800‐57 y se conservan en el sistema KMS propiedad de Google. Los clientes pueden controlar este sistema a través de Cloud KMS.

La transmisión de datos en una VPC de Google Cloud también tiene la autorización de IL4 e IL5, y se protege automáticamente mediante encriptado, autenticación y autorización. No tienes que hacer nada más con las conexiones internas de una VPC. Las conexiones a las APIs de Google utilizan TLS 1.2 o una versión superior para el encriptado del tráfico. Los clientes son responsables de otras conexiones, tanto dentro como fuera del entorno (ya sea de capa 3 o 7), que se transfieran a través de recursos controlados por el cliente (por ejemplo, mediante el balanceador de carga de Cloud o Cloud VPN).

Google fue uno de los primeros proveedores de servicios en la nube comerciales a hiperescala en conseguir la autorización de IL4 e IL5 como parte de una solución de nube pública comercial. Además, es uno de los mayores proveedores de servicios de IL4 e IL5.

  • NIST SP 800-37 Marco de gestión de riesgos para las empresas y los sistemas de información: un enfoque del ciclo de vida de los sistemas para la seguridad y la privacidad
  • NIST SP 800-53 Controles de seguridad y privacidad para las empresas y los sistemas de información
  • NIST SP 800-59 Directrices para identificar un sistema de información como sistema de seguridad nacional
  • NIST SP 800-171 Proteger información sin clasificar controlada en sistemas y empresas no federales
  • CNSSI 1253 Categorización y selección de controles de seguridad para sistemas de seguridad nacional