Guía de implementación de FedRAMP en Google Cloud

Establecer políticas y controles que cumplan con FedRAMP en GCP
Marzo de 2020

Público objetivo

Para los clientes que están sujetos a los requisitos del Programa Federal de Administración de Autorizaciones y Riesgo (FedRAMP), Google Cloud Platform es compatible con el cumplimiento de FedRAMP. Esta guía está destinada a los encargados de la seguridad y el cumplimiento, los administradores de TI y demás empleados responsables de la implementación y el cumplimiento de FedRAMP en Google Cloud Platform. En esta guía, se explica cómo Google puede respaldar el cumplimiento de FedRAMP y qué herramientas, productos y servicios de Google Cloud deben configurarse para cumplir con tus responsabilidades en FedRAMP.

Descripción general

Google Cloud Platform respalda el cumplimiento de FedRAMP y proporciona detalles específicos sobre el enfoque para la seguridad y la protección de datos en el informe de seguridad de Google. y en la Descripción general del diseño de seguridad de la infraestructura de Google. Si bien Google proporciona una infraestructura de nube segura que cumple con las normas, los clientes son, en última instancia, los responsables de evaluar su propio cumplimiento de FedRAMP, así como de garantizar que el entorno y las aplicaciones que compilan en Google Cloud Platform estén configurados correctamente y protegidos conforme a los requisitos de FedRAMP.

En este documento, se describen las fases de FedRAMP de autoridad para operar (ATO) en un nivel alto, se explica el modelo de responsabilidad compartida de Google Cloud, se destacan las responsabilidades específicas del cliente y se indica cómo cumplir con los requisitos y lineamientos con respecto a Google Cloud Platform.

FedRAMP

El Programa Federal de Administración de Autorizaciones y Riesgo (FedRAMP) es un programa de todo el Gobierno que estandariza la manera en que la Ley Federal de Seguridad de la Información (FISMA) se aplica a la computación en la nube. Establece un enfoque repetible para la evaluación de seguridad, la autorización y la supervisión continua de los servicios basados en la nube.

Con los estándares y lineamientos de FedRAMP, se pueden proteger en la nube los datos sensibles y esenciales, lo que hace posible detectar rápidamente vulnerabilidades de la seguridad cibernética.

En un nivel alto, los objetivos de FedRAMP son los siguientes:

  • Asegurarse de que los servicios y sistemas en la nube que usan las agencias gubernamentales cuenten con medidas de protección adecuadas

  • Anular la duplicación de los esfuerzos y reducir los costos en la administración de riesgos

  • Permitir que las agencias gubernamentales accedan a sistemas y servicios de información de forma rápida y rentable

De conformidad con FedRAMP, las agencias gubernamentales federales deben hacer lo siguiente:

  • Garantizar que todos los sistemas de nube que procesen, transmitan y almacenen datos gubernamentales usen los modelos de referencia de los controles de seguridad de FedRAMP

  • Usar el framework de evaluación de seguridad cuando se otorguen autorizaciones de seguridad conforme a la FISMA

  • Aplicar los requisitos de FedRAMP a través de contratos con los proveedores de servicios en la nube (CSP)

Autoridad para operar (ATO)

La implementación y ejecución correctas del proceso de acreditación de FedRAMP culmina con una autoridad para operar (ATO) en la nube. Hay dos formas de obtener la ATO de FedRAMP: P-ATO y ATO de agencia.

La autoridad provisional para operar, o P-ATO, es otorgada por la Junta de autorización conjunta de FedRAMP (JAB). La JAB está compuesta por directores generales de información de DHS, GSA y DoD, quienes definen los controles de seguridad de referencia de FedRAMP y establecen los criterios de acreditación de FedRAMP para organizaciones de evaluación externas (3PAO). Las organizaciones y las agencias solicitan que la JAB procese el paquete de seguridad de su sistema de información y, luego, la JAB emita la P-ATO para usar los servicios en la nube.

Con la ATO de agencia, la organización interna o la agencia designa a funcionarios que autorizan (AO) para realizar una revisión del riesgo del paquete de seguridad del sistema de información. El AO puede atraer 3PAO o evaluadores independientes (IA) no acreditados para revisar el paquete de seguridad del sistema de información. El AO y, posteriormente, la agencia o la organización, autorizan el uso de los servicios en la nube del sistema de información. El paquete de seguridad también se envía a la Oficina de Administración de Programas de FedRAMP (PMO) para su revisión. GSA es la PMO de FedRAMP. Después de la revisión, la PMO publica el paquete de seguridad para que lo usen otras agencias y organizaciones.

Framework de evaluación de seguridad

Los funcionarios que autorizan (AO) en agencias y organizaciones debe incorporar el framework de evaluación de seguridad (SAF) de FedRAMP a sus procesos de autorización internos para asegurarse de que cumplan con los requisitos de FedRAMP a fin de poder usar los servicios en la nube. El SAF se implementa en cuatro fases:

Fase de evaluación de seguridad

Fase 1: Documentar

La organización o agencia clasifica su sistema de información como un sistema de impacto bajo, moderado o alto según los objetivos de seguridad de los FIPS PUB 199 para la confidencialidad, integridad y disponibilidad.

En función de la categorización de los FIPS del sistema, la organización o la agencia deben seleccionar el modelo de referencia de los controles de seguridad de FedRAMP que se correlaciona con el nivel de categorización de los FIPS 199 (bajo, moderado o alto).

Luego, los propietarios de los sistemas de información deben implementar los controles de seguridad capturados en el modelo de referencia de los controles respectivos. También se admiten implementaciones alternativas y justificación para determinar por qué no se puede cumplir o implementar un control.

Los detalles de la implementación de los controles de seguridad se deben capturar en un plan de seguridad del sistema (SSP). Los propietarios del sistema deben seleccionar la plantilla de SSP según el nivel de cumplimiento de FedRAMP otorgado: Bajo, Moderado o Alto.

El SSP describe el límite de autorización de seguridad, explica cómo la implementación del sistema abordará cada control de seguridad de FedRAMP, detalla las funciones y las responsabilidades del sistema, define el comportamiento esperado del usuario del sistema y muestra cómo se diseña el sistema y cómo luce la infraestructura compatible.

Usa la plantilla de revisión de autorizaciones de FedRAMP para realizar un seguimiento del progreso de la ATO.

Revise el Proceso de autorización de agencias de FedRAMP para obtener más detalles sobre las fases de implementación.

Modelo de responsabilidad de la nube

La tecnología de infraestructura (IT) tradicional requería que las organizaciones y agencias compraran un centro de datos físico o espacio de colocación, servidores físicos, equipos de redes, software, licencias y otras piezas de dispositivos para crear sistemas y servicios. Con la computación en la nube, un proveedor de servicios en la nube invierte en el hardware físico, el centro de datos y las redes globales, a la vez que proporciona equipos, herramientas y servicios virtuales para que los clientes los usen.

Existen tres modelos de computación en la nube: infraestructura como servicio (IaaS), plataforma como servicio (PaaS) y software como servicio (SaaS).

En el modelo IaaS, básicamente, los CSP proporcionan un centro de datos virtual en la nube y brindan una infraestructura de procesamiento virtualizada, como servidores, redes y almacenamiento. Si bien los CSP administran los equipos físicos y los centros de datos de estos recursos, los clientes son responsables de configurar y proteger cualquiera de los recursos de la aplicación o la plataforma que ejecutan sobre la infraestructura virtualizada.

En el modelo PaaS, los CSP no solo proporcionan y administran la capa de infraestructura y virtualización, sino que también proporcionan a los clientes una plataforma previamente desarrollada y configurada para crear software, aplicaciones y servicios web. PaaS facilita para los desarrolladores la creación de aplicaciones y middleware sin tener que preocuparse por la seguridad y la configuración del hardware subyacente.

En el modelo SaaS, los CSP administran toda la infraestructura física y virtual y la capa de la plataforma mientras se entregan aplicaciones y servicios basados en la nube que los clientes pueden consumir. Las aplicaciones de Internet que se ejecutan directamente desde el navegador web o mediante un sitio web son aplicaciones de SaaS. Con este modelo, las organizaciones y las agencias no tienen que preocuparse por instalar, actualizar ni admitir aplicaciones, solo administran las políticas de acceso a los datos y al sistema.

En la siguiente figura, se destacan la responsabilidad del CSP y la responsabilidad del cliente de manera local y en los modelos de computación en la nube:

Responsabilidad de FedRAMP

La pila de IT de la nube se puede ver en relación con cuatro capas: la capa de infraestructura física, la capa de infraestructura de nube, la capa de plataforma en la nube y la capa de software en la nube.

estructura de la capa de pila de IT de la nube

Con respecto a la ATO de FedRAMP, cada capa de la pila de IT de la nube se considera un límite de control independiente, y cada límite de control requiere una ATO distinta. Esto significa que, a pesar de que Google Cloud Platform cumple con FedRAMP y tener decenas de servicios de Google Cloud cubiertos por FedRAMP, los clientes aún deben implementar los controles de referencia de seguridad de FedRAMP y el proceso del SAF para calificar sus sistemas y cargas de trabajo en la nube de conformidad con FedRAMP.

Existen dos tipos de controles de seguridad de FedRAMP en modelos de referencia de cumplimiento bajo, moderado y alto: los controles implementados por el sistema de información y los controles implementados por la organización. A medida que las organizaciones y las agencias creen sistemas que cumplen con FedRAMP en Google Cloud, heredarán los controles de seguridad de la infraestructura física que Google cumple según su certificación de FedRAMP. Además, heredarán todos los controles de seguridad de la infraestructura física, IaaS y PaaS que se incorporan a los productos y servicios de Google que cumplen con FedRAMP y todos los controles de SaaS cuando se usa Google Workspace. Sin embargo, se requiere que los clientes implementen todos los demás controles y parámetros de configuración de seguridad en los niveles de IaaS, PaaS y SaaS, según lo define el modelo de referencia de los controles de seguridad de FedRAMP.

Para aprovechar los controles de seguridad que proporciona Google Cloud, solicita una copia del paquete de ATO de Google a la JAB y, también, incluye el paquete con la documentación de evaluación de seguridad de la agencia o la organización. Además, incluye una copia de la carta de certificación de Google del cumplimiento de FedRAMP.

Recomendaciones de implementación de FedRAMP

Como se mencionó, los clientes heredan algunos controles de seguridad del proveedor de servicios en la nube, mientras que otros controles deben ser configurados específicamente por el cliente. Muchos de los controles de seguridad que el cliente debe configurar requieren que las agencias y organizaciones creen políticas, reglas y regulaciones definidas por la organización para cumplir con el control. En esta sección, se sugieren recomendaciones para ayudar a los clientes a implementar los controles de seguridad de NIST 800-53 en la nube mediante políticas definidas por la organización y las herramientas, los servicios y las prácticas recomendadas de GCP.

Nota: Los servicios señalados en esta sección marcados con * no están cubiertos por FedRAMP por el momento, y los servicios marcados con + no son servicios nativos de Google Cloud.

Control de acceso

Para administrar el control de acceso en Google Cloud, define administradores de la organización que administrarán las cuentas del sistema de información en la nube. Ubica esos administradores en grupos de control de acceso con Cloud Identity, la Consola del administrador o algún otro proveedor de identidad (p. ej., Active Directory LDAP, etc.), y asegúrate de que los proveedores de identidad de terceros estén federados con Google Cloud. Usa Cloud Identity and Access Management (IAM) para asignar funciones y permisos a grupos administrativos, implementando privilegio mínimo y separación de obligaciones.

Desarrolla una política de control de acceso a toda la organización para las cuentas de sistema de información en la nube. Define los parámetros y procedimientos que usará tu organización para crear, habilitar, modificar, inhabilitar y quitar cuentas de sistema de información.

Administración de cuentas, separación de obligaciones, privilegio mínimo

En la política de control de acceso, define los parámetros y procedimientos que usará tu organización para crear, habilitar, modificar, inhabilitar y quitar cuentas de sistema de información. Define las condiciones en las que se deben usar las cuentas del sistema de información.

Además, identifica el período de inactividad en el que los usuarios deberán salir de un sistema (p. ej., durante x minutos, horas, días). Usa Cloud Identity, la Consola del administrador o los parámetros de configuración de aplicación para forzar a los usuarios a salir o volver a autenticarse después del período definido.

Define qué acciones se deben realizar cuando las asignaciones de funciones privilegiadas ya no son adecuadas para un usuario de tu organización. *Policy Intelligence de Google tiene una función de recomendador de IAM que ayuda a las organizaciones a quitar el acceso no deseado a los recursos de GCP mediante el aprendizaje automático para realizar recomendaciones de control de acceso inteligente.

Define las condiciones en las que las cuentas de grupos son apropiadas. Usa Cloud Identity o la Consola del administrador para crear cuentas de grupos o de servicio. Asigna funciones y permisos a cuentas compartidas de grupos y de servicio con Cloud Identity and Access Management (IAM). Usa cuentas de servicio siempre que sea posible.

Especifica qué es para tu organización un uso atípico de una cuenta de sistema de información y usa herramientas como Cloud operations suite, *Cloud Security Command Center o *Forseti Security para alertar al administrador del sistema de información sobre el uso típico.

Si sigues estos lineamientos, se establecerá la base para implementar los siguientes controles de seguridad: AC-02, AC-02 (04), AC-02 (05), AC-02 (07), AC-02 (09), AC-02 (11), AC-02 (12), AC-05, AC-06 (01), AC-06 (03), AC-06 (05), AU-2, AU-3, AU-6, AU-12, SI-04, SI-04 (05), SI-04 (11), SI-04 (18), SI-04 (19), SI-04 (20), SI-04 (22), SI-04 (23).

Aplicación de flujo de información, acceso remoto

En la política de control de acceso a toda la organización, define las políticas de control de flujo de información para tu organización. Identifica puertos, protocolos y servicios prohibidos o restringidos. Define los requisitos y las restricciones para las interconexiones a sistemas internos y externos. Usa herramientas como Cloud VPC para crear firewalls y redes y subredes aisladas de manera lógica. Se pueden implementar los balanceadores de cargas de Cloud, *Traffic Director y los Controles del servicio de VPC para ayudar a controlar el flujo. de información.

Cuando configures las políticas de control de flujo de información, identifica los puntos de acceso de red controlados para tu organización. Usa herramientas como Cloud Identity-Aware Proxy para proporcionar a los usuarios remotos y locales acceso basado en contexto a los recursos en la nube. Usa Cloud VPN o Cloud Interconnect para proporcionar acceso directo y seguro a las VPC de Cloud.

Establece políticas de toda la organización para ejecutar comandos con privilegios y acceder a datos seguros a través del acceso remoto. Usa Cloud IAM y los Controles del servicio de VPC para restringir el acceso a las cargas de trabajo y los datos sensibles.

Si sigues estos lineamientos, se establecerá la base para implementar los siguientes controles de seguridad: AC-04, AC-04 (08), AC-04 (21), AC-17 (03), AC-17 (04), CA-03 (03), CA-03 (05), CM-07, CM-07(01), CM-07(02).

Intentos de acceso, notificación sobre el uso del sistema, finalización de la sesión

En la política de control de acceso, especifica cuánto tiempo debe esperar un usuario para acceder a un mensaje de inicio de sesión cuando se superan los 3 intentos de acceso fallidos en un período de 15 minutos. Define las condiciones y los activadores en los que se cerrarán o desconectarán las sesiones de los usuarios.

Usa Cloud Identity Premium o la Consola del administrador para administrar los dispositivos móviles que se conectan a tu red, incluido BYOD. Crea políticas de seguridad para toda la organización que se apliquen a los dispositivos móviles. Describe los requisitos y procedimientos para borrar definitivamente y limpiar dispositivos móviles después de determinados intentos de acceso fallidos consecutivos.

Desarrolla notificaciones de uso del sistema o el lenguaje a nivel de la organización que proporcionen políticas de privacidad, condiciones de uso y avisos de seguridad a los usuarios que acceden al sistema de información. Define las condiciones bajo las que se mostrarán las notificaciones de toda la organización antes de otorgar acceso a los usuarios. Cloud Pub/Sub es un sistema global de mensajería y transferencia de eventos que se puede usar para enviar notificaciones push a aplicaciones y usuarios finales. También se puede usar *Chrome Enterprise Suite, incluido el *navegador Chrome y *Chrome OS, con la *API de Push y la *API de Notifications para enviar notificaciones y actualizaciones a los usuarios.

Si sigues estos lineamientos, se establecerá la base para implementar los siguientes controles de seguridad: AC-07, AC-07 (02), AC-08, AC-12, AC-12 (01).

Acciones permitidas, dispositivos móviles, uso compartido de información

En la política de control de acceso, define las acciones del usuario que se pueden realizar en un sistema de información sin identificación ni autenticación. Usa Cloud IAM a fin de regular el acceso de los usuarios para ver, crear, borrar y modificar recursos específicos.

Además, desarrolla políticas para toda la organización a fin de compartir información. Determina las circunstancias en las que se puede compartir la información y cuándo se requiere discreción del usuario para compartir información. Emplea procesos para ayudar a los usuarios mediante el uso compartido de información y la colaboración en toda la organización. Google Workspace tiene un excelente conjunto de funciones para facilitar la colaboración y la participación en todos los equipos.

Si sigues estos lineamientos, se establecerá la base para implementar los siguientes controles de seguridad: AC-14, AC-19 (05), AC-21.

Conocimiento y capacitación

Crea políticas de seguridad y materiales de capacitación asociados para distribuir a los usuarios y grupos de seguridad de tu organización al menos una vez al año. Google ofrece opciones de Servicios profesionales para educar a los usuarios sobre la seguridad en la nube, lo que incluye, entre otros aspectos, una interacción con la Seguridad de Cloud Discover y una Evaluación de seguridad de Google Workspace.

Actualiza las políticas de seguridad y la capacitación al menos una vez al año.

Respeta estos lineamientos para ayudar a implementar el control de seguridad AT-01.

Auditoría y responsabilidad

Crea políticas de auditoría y controles de responsabilidad de toda la organización que aborden los procedimientos y requisitos de implementación para auditar al personal, los eventos y las acciones relacionados con los sistemas de información en la nube.

En la política de auditoría de toda la organización, describe los eventos que se deben auditar en los sistemas de información de la organización y la frecuencia de auditoría. Entre los ejemplos de eventos registrados, se incluyen eventos de inicio de sesión en la cuenta fallidos y con éxito, eventos de administración de cuentas, acceso a objetos, cambio de políticas, funciones de privilegio, seguimiento de procesos y eventos del sistema. En las aplicaciones web, los ejemplos incluyen la actividad del administrador, las verificaciones de autenticación, las verificaciones de autorización, las eliminaciones de datos, el acceso a los datos, los cambios en los datos y los cambios en los permisos. Define eventos de interés adicionales para tu organización.

La política de auditoría también debe especificar indicaciones de actividad inapropiada o inusual para la organización. Estas actividades deben supervisarse, registrarse y marcarse con regularidad (al menos por semana).

Usa el paquete de Cloud operations suite de Google para administrar el registro, la supervisión y las alertas de GCP, tu entorno local o de otros entornos en la nube. Usa Cloud operations suite para configurar y hacer un seguimiento de los eventos de seguridad en tu organización. Además, Cloud Monitoring permite a los usuarios configurar métricas personalizadas para supervisar los eventos definidos por la organización en los registros de auditoría.

Permite que los sistemas de información alerten a los administradores en caso de fallas en el procesamiento de auditoría. Esto se puede implementar mediante herramientas como Cloud Pub/Sub y las alertas de Cloud.

Establece estándares para alertar a los administradores dentro de un período determinado (p. ej., dentro de 15 minutos) en caso de que haya una falla en el sistema o el funcionamiento. Estos se incluirán cuando los registros de auditoría alcancen un límite establecido o la capacidad del volumen. Determina un nivel de detalle de la medición del tiempo para toda la organización, en función del cual los registros de auditoría tendrán una marca de tiempo y un registro. Define el nivel de tolerancia para los registros con marcas de tiempo en el registro de auditoría del sistema de información (p. ej., en tiempo real aproximado, en 20 minutos, etc.).

Configura las cuotas de recursos de VPC a fin de establecer los límites de capacidad para el almacenamiento de los registros de auditoría. Configura las Alertas de presupuesto de Cloud para notificar a los administradores cuando se alcanza o supera un porcentaje de un límite de recursos.

Define los requisitos de almacenamiento de toda la organización para los datos y registros de auditoría a fin de incluir requisitos de retención y disponibilidad de registros de auditoría. Se puede usar Google Cloud Storage para almacenar y archivar registros de auditoría, y BigQuery para realizar un análisis de registro más detallado.

Si sigues estos lineamientos, se establecerá la base para implementar los siguientes controles de seguridad: AU-01, AU-02, AU-04, AU-05, AU-05 (01), AU-06, AU-07 (01), AU-08, AU-08 (01), AU-09 (04), AU-09 (04), AU-12, AU-12 (01), AU-12 (03), CA-07.

Evaluación y autorización de seguridad

Desarrolla una política de evaluación y autorización de la seguridad en toda la organización que defina los procedimientos y requisitos de implementación de las evaluaciones de seguridad de la organización, los controles de seguridad y los controles de autorización.

En la política de autorización y evaluación de la seguridad, define el nivel de independencia que se requiere para que los equipos de evaluación de seguridad realicen evaluaciones imparciales de los sistemas de información en la nube. Se deben identificar los sistemas de información que un evaluador independiente debe evaluar.

Las evaluaciones de seguridad deben abarcar los siguientes aspectos de forma mínima: supervisión profunda, análisis de vulnerabilidades, pruebas de usuarios maliciosos, evaluación de amenazas internas, pruebas de rendimiento y carga. La organización debe definir requisitos y formas adicionales de la evaluación de seguridad.

La política de evaluación y autorización de la seguridad debe especificar clasificaciones y requisitos del sistema de seguridad, incluidos los requisitos de los sistemas de seguridad no clasificados y no nacionales.

Dentro de las políticas de control de flujo de información para tu organización, describe los requisitos y las restricciones de las interconexiones a sistemas internos y externos. Configura reglas de firewall de Cloud VPC para permitir y denegar el tráfico a sistemas de información, y usa los Controles del servicio de VPC para proteger los datos sensibles mediante parámetros de seguridad.

Establece políticas de auditoría y responsabilidad en toda la organización que apliquen requisitos de supervisión continua (CA-07).

Si sigues estos lineamientos, se establecerá la base para implementar los siguientes controles de seguridad: CA-01, CA-02, CA-02 (01), CA-02 (02), CA-02 (03), CA-03 (03), CA-03 (05), CA-07, CA-07 (01), CA-08, CA-09.

Administración de configuración

Crea una política de administración de configuración en toda la organización que defina los procedimientos y los requisitos de implementación para los controles, las funciones, las responsabilidades, los permisos y el cumplimiento de administración de configuración de toda la organización.

Estandariza los requisitos de configuración para los componentes de sistemas y los sistemas de información de la organización. Proporciona requisitos y procedimientos operativos para configurar sistemas de información. Especifica de forma explícita cuántas versiones anteriores de una configuración de referencia deben conservar los administradores del sistema para admitir la reversión del sistema de información. Usa el paquete de herramientas de administración de configuración de Google para controlar los parámetros de configuración del sistema de TI como código y supervisar los cambios de configuración con *Cloud Policy Intelligence ,*Cloud Security Command Center o *Forseti Security.

Especifica los requisitos de configuración para cada tipo de sistema de información en tu organización (p. ej., nube, entorno local, híbrido, sin clasificar, CUI, clasificado, etcétera). Además, define los requisitos de protección de seguridad para los dispositivos BYOD y de la organización a fin de incluir ubicaciones geográficas seguras y no seguras. Usa Cloud Identity-Aware Proxy para aplicar los controles de acceso basados en contexto a los datos de la organización, incluidos los controles de acceso por ubicación geográfica. Usa Cloud Identity Premium o la Consola del administrador para aplicar la configuración de seguridad en dispositivos móviles que se conecten a la red corporativa.

En la política de administración de configuración, define un elemento de control de cambios de configuración a nivel de organización, como un comité o una junta de cambios. Documenta la frecuencia con la que se cumplirá con el elemento de control de cambios y en qué condiciones. Establece un cuerpo formal para revisar y aprobar los cambios de configuración.

Identifica las autoridades de aprobación de administración de configuración para tu organización. Estos administradores revisarán las solicitudes de cambios en los sistemas de información. Define el período que tienen las autoridades para aprobar o rechazar solicitudes de cambio. Proporciona una guía para que los implementadores de cambios notifiquen a las autoridades de aprobación una vez que se completen los cambios del sistema de información.

Establece restricciones para el uso de software de código abierto en tu organización a fin de incluir la especificación de qué software está aprobado y no aprobado para su uso. Se pueden usar Cloud Identity o la Consola del administrador a fin de aplicar aplicaciones y software aprobados para la organización. Con Cloud Identity Premium, se puede habilitar el inicio de sesión único y la autenticación de varios factores para las aplicaciones de terceros.

Usa herramientas como las alertas de Cloud para enviar notificaciones a los administradores de seguridad cuando se registren los cambios de configuración. Otorga acceso de administrador a herramientas como *Cloud Security Command Center o *Forseti Security para supervisar los cambios de configuración en tiempo real aproximado. Con *Cloud Policy Intelligence, el aprendizaje automático se usa para estudiar configuraciones definidas por tu organización, lo que aumenta la concientización cuando la configuración cambia con respecto al modelo de referencia.

Aplica la funcionalidad mínima en toda tu organización mediante las políticas de control de flujo de información.

Si sigues estos lineamientos, se establecerá la base para implementar los siguientes controles de seguridad: CM-01, CM-02 (03), CM-02 (07), CM-03, CM-03 (01), CM-05 (02), CM-05 (03), CM-06, CM-06 (01), CM-06 (02), CM-07, CM-07 (01), CM-07 (02), CM-07 (05), CM-08, CM-08 (03), CM-10 (01), CM-11, CM-11 (01), SA-10.

Planificación ante imprevistos

Desarrolla un plan de contingencia para tu organización, el cual defina los procedimientos y los requisitos de implementación para los controles de planificación de contingencia en toda tu organización. Identifica al personal de contingencia, las funciones y las responsabilidades clave en todos los elementos organizacionales.

Destaca las operaciones esenciales (tanto para la misión como para el negocio) del sistema de información dentro de tu organización. Destaca los objetivos de tiempo de recuperación (RTO) y los objetivos del punto de recuperación (RPO) para reanudar las operaciones esenciales una vez que se active el plan de contingencia.

Documenta sistemas de información esencial y software asociado. Identifica toda la información adicional relacionada con la seguridad y proporciona orientación y requisitos para almacenar copias de seguridad de los datos y componentes esenciales del sistema. Implementa recursos globales, regionales y zonales de Google y ubicaciones de todo el mundo para una alta disponibilidad. Usa las clases de Google Cloud Storage para las opciones multirregionales, regionales, de copia de seguridad y de archivos. Implementa el ajuste de escala automático y el balanceo de cargas de la red global con el balanceador de cargas de Cloud.

Si sigues estos lineamientos, se establecerá la base para implementar los siguientes controles de seguridad: CP-01, CP-02, CP-02 (03), CP-07, CP-08, CP-09 (03).

Identificación y autenticación

Crea una política de identificación y autenticación para tu organización, la cual especifique procedimientos, permisos, funciones, responsabilidades, administración, entidades y cumplimiento de identificación y autenticación. Especifica los controles de identificación y autenticación que requiere tu organización. Usa Cloud Identity Premium o la Consola del administrador para identificar dispositivos corporativos y personales que pueden conectarse a los recursos de tu organización. Usa Cloud Identity-Aware Proxy (IAP) para aplicar el acceso adaptado al contexto a los recursos.

Incluye orientación sobre el contenido de autenticación para tu organización, las condiciones de reutilización de autenticación, los estándares para proteger a los autenticadores y los estándares para cambiar o actualizar autenticadores. Además, captura los requisitos para usar autenticadores almacenados en caché. Especifica los límites de tiempo para usar autenticadores almacenados en caché y definiciones relacionadas con la fecha de vencimiento de los autenticadores almacenados en caché. Define los requisitos mínimos y máximos del ciclo de vida y los períodos de actualización que deben implementar los sistemas de información dentro de tu organización.

Usa Cloud Identity o la Consola del administrador para aplicar las políticas de contraseña en cuanto a la confidencialidad, el uso de caracteres, la creación o reutilización de contraseñas nuevas, la vida útil de las contraseñas, y los requisitos de almacenamiento y transmisión.

Destaca los requisitos de autenticación del hardware de Outline o del token de software para la autenticación en toda tu organización, incluidos los requisitos de la PKI y la tarjeta del PIV, entre otros. *Las llaves de seguridad Titan de Google se pueden usar a fin de aplicar requisitos de autenticación adicionales para los administradores y el personal privilegiado.

En la Política de identificación y autenticación, se describen los componentes del sistema de información de la administración federal de identidades, credenciales y acceso (FICAM) que aceptan terceros en tu organización. Google Identity Platform es una plataforma de administración de identidades y accesos de clientes (CIAM) que ayuda a las organizaciones a agregar la función de administración de identidades y accesos a las aplicaciones a las que acceden las entidades externas.

Si sigues estos lineamientos, se establecerá la base para implementar los siguientes controles de seguridad: IA-01, IA-03, IA-04, IA-05, IA-05 (01), IA-05 (03), IA-05 (04), IA-05 (11), IA-05 (13), IA-08 (03).

Respuesta a incidentes

Establece una política de respuesta ante incidentes para tu organización, incluidos los procedimientos para facilitar y, luego, implementar controles de respuesta ante incidentes. Crea grupos de seguridad para las autoridades y los equipos de respuesta ante incidentes de tu organización. Usa herramientas como Cloud operations suite o *Cloud Security Command Center para compartir eventos, información y registros de incidentes. La *administración de respuestas ante incidentes (IRM) permite que el administrador investigue y resuelva incidentes de seguridad del sistema de información de extremo a extremo.

Desarrolla un plan de prueba de respuesta ante incidentes, procedimientos y listas de tareas, requisitos y comparativas para alcanzar el éxito Especifica las clases de incidentes que tu organización debe reconocer y describe las acciones asociadas que se tomarán en respuesta a tales incidentes. Define las acciones específicas que debe realizar el personal autorizado en caso de que ocurra un incidente, como los pasos para administrar las filtraciones de información, las vulnerabilidades de seguridad cibernética y los ataques. Aprovecha las funciones de Google Workspace para escanear y poner en cuarentena contenido de correo electrónico, bloquear intentos de suplantación de identidad (phishing) y establecer restricciones en los archivos adjuntos. Usa Cloud Data Loss Prevention para inspeccionar, clasificar y desidentificar datos sensibles, lo que permite restringir la exposición.

Especifica los requisitos de la organización para la capacitación de respuesta ante incidentes, incluidos los requisitos de capacitación para usuarios generales, así como las funciones y responsabilidades para usuarios privilegiados. Aplica los requisitos de período para realizar la capacitación (p. ej., dentro de los 30 días posteriores a la incorporación, de forma trimestral, anual, etcétera).

Si sigues estos lineamientos, se establecerá la base para implementar los siguientes controles de seguridad: IR-01, IR-02, IR-03, IR-04 (03), IR-04 (08), IR-06, IR-08, IR-09, IR-09 (01), IR-09 (03), IR-09 (04).

Mantenimiento del sistema

Crea una política de mantenimiento del sistema para tu organización y documenta los controles de mantenimiento del sistema, las funciones, las responsabilidades, la administración, los requisitos de coordinación y el cumplimiento. Define parámetros para el mantenimiento controlado, incluidos los procesos de aprobación para realizar reparaciones y mantenimiento fuera del sitio, y los tiempos de respuesta de la organización para reemplazar piezas y dispositivos con errores. Tu organización se beneficiará de la eliminación de datos en Google Cloud Platform, la limpieza de equipos y datos, y la seguridad e innovación del centro de datos de Google para el mantenimiento y las reparaciones fuera del sitio.

Si sigues estos lineamientos, se establecerá la base para implementar los siguientes controles de seguridad: MA-01, MA-02, MA-06.

Protección de medios

Como parte de la ATO de FedRAMP de Google Cloud, cumplimos con los requisitos de protección de medios para la infraestructura física. Revisa el Diseño de seguridad de infraestructura y la Descripción general de seguridad de Google. Los clientes son, por lo tanto, responsables de cumplir con los requisitos de seguridad de infraestructura virtual.

Desarrolla una política de protección de medios para tu organización y documenta controles de medios, políticas y procedimientos de protección, requisitos de cumplimiento, funciones de administración y responsabilidades. Documenta procedimientos para facilitar e implementar medidas de protección de medios en tu organización. Crea grupos de seguridad que definan el personal y las funciones para administrar los medios y sus protecciones.

Especifica los tipos de medios aprobados y los accesos de tu organización, incluidas las restricciones de medios digitales y no digitales. Además, establece marcas de medios y advertencias sobre la administración de medios que deben implementarse en toda tu organización, como los requisitos de marcado de seguridad dentro y fuera de las áreas de acceso controlado. Usa *Google Data Catalog para administrar los metadatos de recursos de la nube y simplifica el descubrimiento de datos. Controla el cumplimiento de recursos de nube en toda tu organización y regula la distribución y el descubrimiento de recursos de la nube con *Google Private Catalog.

Identifica cómo se deben limpiar y reutilizar o desechar los medios administrados por tu organización. Además, describe los casos de uso o las circunstancias en las que se requiere o se acepta limpiar, desechar o reutilizar dispositivos/medios. Define los mecanismos y métodos de protección de medios que se consideran aceptables para tu organización.

Con Google, podrás beneficiarte de la eliminación de datos en Google Cloud Platform, la limpieza de equipos y datos, y la seguridad e innovación del centro de datos de Google. Además, Cloud KMS y Cloud HSM proporcionan protección criptográfica que cumple con los FIPS, mientras que *las llaves de seguridad Titan de Google se pueden usar a fin de aplicar requisitos de autenticación física adicionales para los administradores y el personal privilegiado.

Si sigues estos lineamientos, se establecerá la base para implementar los siguientes controles de seguridad: MP-01, MP-02, MP-03, MP-04, MP-06, MP-06 (03), MP-07.

Protección física y ambiental

Como parte de la ATO de FedRAMP de Google Cloud, cumplimos con los requisitos de protección física y ambiental para la infraestructura física. Revisa el Diseño de seguridad de infraestructura y la Descripción general de seguridad de Google. Los clientes son, por lo tanto, responsables de cumplir con los requisitos de seguridad de infraestructura virtual.

Establece una política de protección física y ambiental para tu organización, mediante la definición de controles de protección, entidades de protección, estándares de cumplimiento, funciones, responsabilidades y requisitos de administración. Describe cómo se debe implementar la protección física y ambiental en toda tu organización.

Crea grupos de seguridad que definan el personal y las funciones para administrar protecciones físicas y ambientales. Solicita al administrador que acceda a recursos informáticos sensibles para usar *llaves de seguridad Titan o alguna otra forma de MFA para verificar la integridad del acceso.

En la política de protección física y ambiental, define los requisitos de control de acceso físico para tu organización. Identifica los puntos de entrada y salida de la instalación para sitios del sistema de información, protecciones de control de acceso para dichas instalaciones y requisitos de inventario. Aprovecha herramientas como *Google Maps Platform para mostrar visualmente y hacer un seguimiento de las instalaciones y los puntos de entrada y de salida para las asignaciones geográficas. Usa Cloud Resource Manager y *Private Catalog para controlar el acceso a los recursos de la nube, lo que los hace organizados y fáciles de descubrir.

Usa Cloud Monitoring para configurar accesos, incidentes y eventos accesibles. Define los eventos de acceso físico de toda la organización que se deben registrar en Cloud Logging. Usa la *administración de respuestas ante incidentes para abordar los incidentes de seguridad física que se activaron y consolidar los resultados en *Cloud Security Command Center.

Usa la política de protección física y ambiental para responder a situaciones de emergencia, como la interrupción de emergencia de los sistemas de información, la energía de emergencia, la supresión de incendios y la respuesta ante emergencias. Identifica puntos de contacto para respuestas de emergencia, incluidos los servicios de emergencia locales y el personal de seguridad físico de tu organización. Describe los requisitos y las ubicaciones de los sitios de trabajo alternativos Especifica el control de seguridad y el personal de los sitios de trabajo principales y alternativos. Implementa recursos globales, regionales y zonales de Google y ubicaciones de todo el mundo para una alta disponibilidad. Usa las clases de Google Cloud Storage para las opciones multirregionales, regionales, de copia de seguridad y de archivos. Implementa el ajuste de escala automático y el balanceo de cargas de la red global con el balanceador de cargas de Cloud. Crea plantillas de implementación declarativas para establecer un proceso de implementación repetible y basado en plantillas.

Si sigues estos lineamientos, se establecerá la base para implementar los siguientes controles de seguridad: PE-01, PE-03, PE-03 (01), PE-04, PE-06, PE-06 (04), PE-10, PE-13 (02), PE-17.

Planificación de seguridad del sistema

Desarrolla una política de planificación de seguridad para tu organización y señala controles de planificación de seguridad, funciones, responsabilidades, administración, entidades de planificación de seguridad para tu organización y requisitos de cumplimiento. Describe cómo se debe implementar la planificación de seguridad en toda tu organización.

Crea grupos para definir el personal de planificación de seguridad según corresponda. Especifica grupos de seguridad para evaluaciones de seguridad, auditorías, mantenimiento de hardware y software, administración de parches y planificación de contingencia para tu organización. Usa herramientas como Cloud operations suite, *Cloud Security Command Center o *Forseti Security para supervisar la seguridad, el cumplimiento y el control de acceso en toda tu organización.

Si sigues estos lineamientos, se establecerá la base para implementar los siguientes controles de seguridad: PL-01, PL-02, PL-02 (03).

Seguridad del personal

Crea una política de seguridad del personal que describa quién es el personal de seguridad, las funciones y las responsabilidades del personal de seguridad, cómo se debe implementar la seguridad del personal y cómo se debe aplicar el control de seguridad del personal de toda tu organización. Captura las condiciones que requerirían que las personas pasen por un proceso de evaluación, reevaluación e investigación de seguridad organizacional. Describe los requisitos para las autorizaciones de seguridad en tu organización.

Incluye orientación para abordar la desvinculación y la transferencia del personal. Define las necesidades y los parámetros de las entrevistas de salida y los temas de seguridad que se deben debatir durante esas entrevistas. Especifica cuándo se debe notificar a las entidades de administración o seguridad respecto de la desvinculación, transferencia o reasignación de personal (p. ej., en un plazo de 24 horas). Especifica las acciones que el personal y la organización deben completar en caso de una transferencia, reasignación o desvinculación. Además, cubre los requisitos para aplicar sanciones formales a los empleados. Explica cuándo el administrador o el personal de seguridad deben ser notificados de las sanciones de los empleados y los procesos de sanción.

Usa Cloud IAM para asignar funciones y permisos al personal. Agrega, quita, inhabilita y habilita los perfiles de personal y accesos en Cloud Identity o la Consola del administrador. Aplica requisitos de autenticación física adicionales para los administradores y el personal privilegiado mediante *llaves de seguridad Titan.

Si sigues estos lineamientos, se establecerá la base para implementar los siguientes controles de seguridad: PS-01, PS-03, PS-04, PS-05, PS-07, PS-08.

Analizar los riesgos

Implementa una política de evaluación de riesgos que describa quién es el personal de evaluación de riesgos, qué controles de evaluación de riesgo deben aplicarse a toda tu organización y los procedimientos para realizar evaluaciones de riesgos dentro de la organización. Define cómo deben documentarse e informarse las evaluaciones de riesgos. Usa herramientas como *Forseti Security y *Cloud Security Command Center para notificar automáticamente al personal de seguridad de los riesgos de seguridad y la postura de seguridad general de tu organización.

Aprovecha el paquete de herramientas de evaluación de riesgos de Google, como Cloud Security Scanner, Container Analysis, Cloud Armor y Protección contra suplantación de identidad (phishing) y software malicioso de Google Workspace para analizar las vulnerabilidades en los sistemas de información de tu organización y crear informes sobre ellas. Haz que estas herramientas estén disponibles para el administrador y el personal de evaluación de riesgos a fin de identificar y eliminar las vulnerabilidades.

Si sigues estos lineamientos, se establecerá la base para implementar los siguientes controles de seguridad: RA-01, RA-03, RA-05.

Adquisición de sistemas y servicios

Desarrolla una política de adquisición de sistemas y servicios que describa las funciones y responsabilidades del personal clave, la administración de servicios y adquisición, el cumplimiento y las entidades. Describe los procedimientos de adquisición de servicios y sistemas, y los lineamientos de implementación para tu organización. Define el ciclo de vida de desarrollo del sistema de tu organización para los sistemas de información y la seguridad de la información. Detalla las funciones y responsabilidades de seguridad de la información, el personal y la forma en que la política de evaluación de riesgos de tu organización debe impulsar las actividades del ciclo de vida de desarrollo del sistema e influir en ellas.

Destaca los procedimientos que se deben realizar en tu organización cuando la documentación del sistema de información no está disponible o no está definida. Interactúa con los administradores de sistemas de información o con el personal de servicios del sistema de tu organización según sea necesario. Define cualquier capacitación que sea necesaria para los administradores y usuarios que implementan sistemas de información dentro de tu organización o acceden a ellos.

Usa herramientas como *Cloud Security Command Center y *Forseti Security para realizar un seguimiento del cumplimiento, los resultados y las políticas de control de seguridad de tu organización. Google describe todos sus estándares, reglamentos y certificaciones de seguridad para ayudar a educar a los clientes sobre cómo cumplir con los requisitos y las leyes de cumplimiento en Google Cloud. Además, Google ofrece un paquete de productos de seguridad para ayudar a los clientes a supervisar continuamente sus sistemas de información, comunicaciones y datos tanto en la nube como en el entorno local.

Especifica las restricciones geográficas de los datos, los servicios y el procesamiento de información de tu organización, y en qué condiciones pueden almacenarse los datos en otra parte. Google ofrece opciones globales, regionales y zonales para el almacenamiento de datos, el procesamiento y el uso de servicios en GCP.

Aprovecha la política de administración de configuración a fin de regular la administración de configuración de desarrolladores para los controles de adquisición de sistemas y servicios, y usa la política de autorización y evaluación de seguridad para aplicar la prueba de seguridad del desarrollador y los requisitos de evaluación.

Si sigues estos lineamientos, se establecerá la base para implementar los siguientes controles de seguridad: SA-01, SA-03, SA-05, SA-09, SA-09 (01), SA-09 (04), SA-09 (05), SA-10, SA-11, SA-16.

Protección de sistemas y comunicaciones

Crea una política de protección de sistemas y comunicaciones que describa las funciones y responsabilidades del personal clave, los requisitos de implementación de las políticas de protección de comunicaciones del sistema y los controles de protección obligatorios para tu organización. Identifica los tipos de ataques de denegación del servicio que tu organización reconoce y supervisa, y describe los requisitos de protección contra DoS para tu organización.

Usa Cloud operations suite para registrar, supervisar y alertar sobre los ataques de seguridad predefinidos en tu organización. Implementa herramientas como Cloud Load Balancing y Cloud Armor para proteger el perímetro de la nube, y aprovecha los servicios de VPC de Cloud, como firewalls y controles de seguridad de red, para proteger tu red interna de nube.

identifica los requisitos de disponibilidad de recursos de tu organización; define cómo se asignarán los recursos de la nube en toda tu organización y qué restricciones se implementarán para restringir el uso excesivo. Usa herramientas como Cloud Resource Manager para controlar el acceso a los recursos a nivel de organización, carpeta, proyecto y recurso individual. Configura las cuotas de recursos de Cloud para administrar las solicitudes a la API y el uso de recursos en GCP.

Establece requisitos de protección de límites para tus sistemas de información y comunicaciones del sistema. Define los requisitos para el tráfico de comunicaciones internas y cómo el tráfico interno debe interactuar con redes externas. Especifica los requisitos para servidores proxy y otros componentes de autenticación y enrutamiento de red.

Aprovecha *Cloud Traffic Director a fin de administrar el tráfico de red y el flujo de comunicaciones para tu organización. Usa Cloud Identity-Aware Proxy para controlar el acceso a los recursos de la nube según la autenticación, la autorización y el contexto, incluida la ubicación geográfica o la huella dactilar del dispositivo. Implementa *Acceso privado a Google, *Cloud VPN o *Cloud Interconnect para proteger el tráfico de red y las comunicaciones entre recursos internos y externos. Cloud VPC se puede usar para definir y proteger las redes de nube de tu organización. Establece subredes para aislar aún más los recursos de la nube y los perímetros de red.

Además, Google ofrece redes globales definidas por software con opciones multirregionales, regionales y zonales para la alta disponibilidad y la conmutación por error. Define los requisitos de falla de tu organización para garantizar que tus sistemas de información fallen ante un estado conocido. Captura los requisitos para preservar la información del estado del sistema de información. Usa grupos de instancias administrados y plantillas de Deployment Manager para volver a crear instancias de recursos con errores o en mal estado. Otorga a los administradores acceso a *Cloud Security Command Center o *Forseti Security para supervisar activamente la confidencialidad, integridad y disponibilidad de tu organización.

En la política, se describen los requisitos de la organización para administrar claves criptográficas, incluidos los requisitos de generación, distribución, almacenamiento, acceso y destrucción de llaves. Cloud KMS y Cloud HSM se pueden usar para administrar, generar, usar, rotar, almacenar y destruir llaves de seguridad en la nube que cumplen con los FIPS.

Google encripta datos en reposo de forma predeterminada. Sin embargo, puedes usar Cloud KMS con Compute Engine y Google Cloud Storage para, adicionalmente, encriptar datos mediante claves criptográficas. También puedes implementar VM protegidas para aplicar controles de integridad a nivel de kernel en Compute Engine.

Si sigues estos lineamientos, se establecerá la base para implementar los siguientes controles de seguridad: SC-01, SC-05, SC-06, SC-07 (08), SC-07 (12), SC-07 (13), SC-07 (20), SC-07 (21), SC-12, SC-24, SC-28, SC-28 (01).

Integridad del sistema y de la información

Implementa una política de integridad de la información y del sistema que describa las funciones y responsabilidades del personal clave, los requisitos y procedimientos de implementación de integridad, los estándares de cumplimiento y los controles de seguridad para tu organización. Crea grupos de seguridad para los miembros del personal de tu organización responsables de la integridad del sistema y de la información. Describe los requisitos de solución de fallas para tu organización a fin de incluir lineamientos para la supervisión, la evaluación, la autorización, la implementación, la planificación, la evaluación comparativa y la resolución de fallas de seguridad en toda la organización y en los sistemas de información.

Aprovecha el paquete de herramientas de seguridad de Google, que incluye el navegador Chrome, Cloud Security Scanner ,Container Analysis, Protecciones contra la suplantación de identidad (phishing) y software malicioso en Google Workspace, el centro de seguridad de Google Workspace y Cloud Armor, entre otros, a fin de brindar protección contra el código malicioso, los ataques cibernéticos y las vulnerabilidades comunes; configurar políticas de spam y software malicioso; alertar a los administradores sobre las vulnerabilidades; y obtener estadísticas de tu organización para la administración central. Usa herramientas como Cloud operations suite, *Cloud Security Command Center o *Forseti Security para administrar, controlar y supervisar los resultados y los controles de seguridad de tu organización de forma centralizada. En particular, se debe usar Cloud Operations Suite para registrar acciones administrativas, accesos a datos y eventos del sistema iniciados por usuarios y personal privilegiados en toda tu organización. Notifica al personal administrativo sobre los mensajes de error y el manejo de los errores del sistema de información

Define eventos relacionados con la seguridad en función del software, el firmware y la información de tu organización (p. ej., vulnerabilidades de cero días, eliminación de datos no autorizada, instalación de hardware, software o firmware nuevos, etc). Explica los pasos que se deben tomar cuando se producen estos tipos de cambios relacionados con la seguridad. Especifica objetivos de supervisión o indicadores de ataque a los que los administradores deben prestar especial atención a fin de incluir información esencial que deba supervisarse dentro de los sistemas de información de tu organización. Define las funciones y responsabilidades de supervisión del sistema y de la información, así como la frecuencia de los informes y la supervisión (p. ej., en tiempo real, cada 15 minutos, cada hora, informes trimestrales, etc).

Captura los requisitos para analizar el tráfico de comunicaciones en sistemas de información en toda tu organización. Especifica los requisitos para descubrir anomalías, incluidos los puntos del sistema para la supervisión. *Los servicios de telemetría de red de Google permiten realizar una supervisión detallada del rendimiento y la seguridad de la red. Google también tiene asociaciones sólidas con terceros que se integran con GCP para analizar y proteger los extremos y hosts de la nube, como +Aqua Security y +Crowdstrike. Las VM protegidas permiten fortalecer los dispositivos, verificar la autenticación y garantizar procesos de inicio seguros.

Define cómo tu organización debe verificar y protegerse de las anomalías de seguridad y los incumplimientos de integridad. Usa herramientas como *Cloud Security Command Center, *Forseti Security o *Cloud Policy Intelligence para supervisar y detectar cambios en la configuración. Usa +Herramientas de administración de configuración o plantillas de Deployment Manager para volver a crear instancias o interrumpir los cambios en los recursos de la nube.

Además, en la política de integridad e información del sistema, especifica los requisitos para autorizar y aprobar servicios de red dentro de tu organización. Señala los procesos de aprobación y autorización para los servicios de red. Cloud VPC es esencial para definir redes y subredes de la nube mediante firewalls para proteger los perímetros de la red. Los Controles del servicio de VPC permiten implementar perímetros de seguridad de red adicionales para datos sensibles en la nube.

Además de esto, heredarás de manera automática la pila de inicio seguro y la infraestructura confiable de defensa en profundidad de Google.

Si sigues estos lineamientos, se establecerá la base para implementar los siguientes controles de seguridad: SI-01, SI-02 (01), SI-02 (03), SI-03 (01), SI-04, SI-04 (05), SI-04 (11), SI-04 (18), SI-04 (19), SI-04 (20), SI-04 (22), SI-04 (23), SI-05, SI-06, SI-07, SI-07 (01), SI-07 (05), SI-07 (07), SI-08 (01), SI-10, SI-11, SI-16.

Conclusión

La seguridad y el cumplimiento en la nube representan un esfuerzo conjunto en nombre del cliente y el proveedor de servicios en la nube. Si bien Google garantiza que la infraestructura física y los servicios correspondientes cumplan con decenas de estándares, regulaciones y certificaciones de terceros, los clientes deben asegurarse de que todo lo que compilen en la nube esté en cumplimiento.

Google Cloud apoya a los clientes en sus esfuerzos de cumplimiento mediante el mismo conjunto de productos y funciones de seguridad que usa Google para proteger su infraestructura, disponible para los clientes.

Renuncia de responsabilidad

Esta guía solo tiene fines informativos. Google no pretende que la información ni las recomendaciones incluidas se consideren asesoramiento legal. Cada cliente es responsable de evaluar de manera independiente el uso particular que hace de los servicios según corresponda para satisfacer las obligaciones legales de cumplimiento normativo.