FedRAMP

El Programa Federal de Administración de Autorizaciones y Riesgo (FedRAMP) es un programa del Gobierno de Estados Unidos que brinda un enfoque estandarizado en relación con la evaluación de la seguridad, la autorización y la supervisión continua de los productos y servicios en la nube. En 2022, el Congreso codificó el FedRAMP como “un programa para todo el Gobierno que ofrece un enfoque estandarizado y reutilizable en relación con la evaluación y autorización de la seguridad para los productos y servicios de computación en la nube que procesan información sin clasificar que utilizan las agencias”.

Todas las implementaciones en la nube y los modelos de servicios de las agencias federales, además de ciertas nubes privadas locales, deben cumplir con los requisitos del FedRAMP en el nivel adecuado de impacto de riesgos (bajo, moderado o alto).

Cumplimiento del FedRAMP de Google Cloud

La Junta del FedRAMP (antes conocida como Junta de Autorización) es el organismo administrativo principal del FedRAMP. Incluye el Departamento de Defensa (DoD), el Departamento de Seguridad Nacional (DHS) y los Servicios Generales de Administración (GSA) y otras agencias, según lo determinen el administrador de los GSA y el director del FedRAMP.

La Junta del FedRAMP emitió una Autoridad Provisional para Operar (P-ATO) del nivel alto del FedRAMP a Google Cloud y la infraestructura subyacente. Google Cloud envía de forma habitual servicios adicionales a la Junta para la autorización alta del FedRAMP.

Si te interesa usar los servicios de Google Cloud para cumplir con tus obligaciones de cumplimiento de nivel alto del FedRAMP, debes usar un Límite de datos de Assured Workloads para el nivel alto del FedRAMP y Asistencia garantizada. La línea de base de control del nivel moderado del FedRAMP es un subconjunto de la línea de base de control del nivel alto del FedRAMP. Por lo tanto, si estás buscando una ATO de nivel moderado del FedRAMP para tu solución implementada en Google Cloud, puedes usar cualquier servicio de Google Cloud autorizado por el nivel alto del FedRAMP en tu límite de autorización del nivel moderado.

Google puede proporcionarte la siguiente documentación de cumplimiento del FedRAMP de Google Cloud en virtud de un acuerdo de confidencialidad (NDA):

  • Matriz de responsabilidad del cliente (CRM)
  • Plan de seguridad del sistema (SSP)

Nuestro equipo de ventas o tu representante de Google Cloud pueden ayudarte a obtener acceso a esta documentación. Los clientes del sector gubernamental también pueden solicitar el paquete del FedRAMP de Google a través de la Oficina de Administración del Programa FedRAMP con el formulario de solicitud del paquete. 

Si compras servicios de Google Cloud a través de un socio de Google, los términos y condiciones de la compra se derivan de nuestros socios.

Cumplimiento del FedRAMP en Google Workspace

Puedes usar Google Workspace de conformidad con diversos estándares globales y gubernamentales federales de EE.UU. para la seguridad y privacidad de la nube. Además de mantener una autorización del nivel alto de P-ATO, Google Workspace también cuenta con las certificaciones ISO 27017, 27018 y 27001, y se auditó según los estándares de los Controles de de Organizaciones y Sistemas (SOC) del Instituto Estadounidense de Contadores Públicos Certificados (AICPA). Para obtener más información, consulta las ofertas de cumplimiento de Google Cloud.

Todo el límite de seguridad autorizado de Google Workspace está documentado, evaluado y administrado en función de la línea de base alta de FedRAMP de controles de seguridad y privacidad. La línea de base de control del nivel moderado del FedRAMP es un subconjunto de la línea de base de control del nivel alto del FedRAMP. Por lo tanto, si buscas una ATO del nivel moderado del FedRAMP para tu implementación de Google Workspace, cualquier servicio de Google Workspace autorizado por el nivel alto del FedRAMP puede incluirse en tu límite de autorización del nivel moderado. Para obtener más información, consulta la guía de configuración del FedRAMP de Google Workspace.

Alta preparación de FedRAMP para Google Cloud VMware Engine (GCVE)

En el 2023, la Oficina de administración de programas (PMO) de FedRAMP completó la revisión del informe de evaluación de preparación (RAR) para nivel High de Google Cloud VMware Engine (GCVE) proporcionado por una organización de evaluación externa (3PAO). En función de los resultados positivos de la revisión, ya que no se encontraron debilidades de capacidad notables, se aceptó a GCVE como una oferta de FedRAMP High Ready (ID de paquete de FedRAMP FR2405153785).

Alcanzar el nivel FedRAMP High Ready le indica al Gobierno federal de EE.UU. que GCVE tiene una alta probabilidad de obtener una autorización de FedRAMP. GCVE también cuenta con las certificaciones ISO 27017, 27018, 27001 y PCI DSS, y se audita según los estándares de Control de Organización y Sistema (SOC) del Instituto Estadounidense de Contadores Públicos Certificados (AICPA).

Alojamiento de cargas de trabajo de los niveles alto y moderado del FedRAMP en Google Cloud

La inversión de Google Cloud en nuestra infraestructura de seguridad de forma predeterminada garantiza que los controles de seguridad estén integrados y preconfigurados para permitirte alcanzar varios niveles de cumplimiento sin una infraestructura de nube gubernamental aislada tradicional. 

Como se mencionó anteriormente, debes usar Assured Workloads si quieres implementar tu solución con Google Cloud en tus entornos de nivel alto y moderado del FedRAMP. Assured Workloads te permite proteger y configurar con confianza cargas de trabajo sensibles para satisfacer los requisitos de cumplimiento y seguridad usando los servicios de Google Cloud. Assured Workloads no depende de una infraestructura física distinta de la infraestructura pública existente de Google Cloud. En cambio, ofrece una nube comunitaria definida por software que ofrece ventajas de costo, innovación y velocidad.

Los servicios autorizados por el FedRAMP que se ponen a disposición a través de Assured Workloads implementan controles de seguridad del FedRAMP y te permiten usar las funciones de Google Cloud para satisfacer las necesidades de tu organización. Assured Workloads también proporciona visibilidad del estado de cumplimiento de las cargas de trabajo del FedRAMP a través de Assured Workloads Monitoring. Esta herramienta puede ayudarte a detectar y solucionar los incumplimientos, y proporcionar certificaciones de control a tus auditores.

Además de los controles de P-ATO de nivel alto del FedRAMP de Google Cloud, Assured Workloads implementa los siguientes controles clave del nivel alto del FedRAMP de forma predeterminada: 

  1. Establece barreras de seguridad para restringir la ubicación de los datos de clientes del nivel alto del FedRAMP a EE.UU.
  2. Personal de asistencia técnica limitado al personal con permisos adjudicados por el FedRAMP que se encuentra en EE.UU.
  3. Encriptación validada por FIPS-140 en reposo y en tránsito
  4. Controles de acceso del personal para aquellos con privilegios de acceso temporales a los datos de los clientes 
  5. Solo se permiten productos y servicios que cumplan con FedRAMP
  6. Se aplica una segmentación lógica del límite de cumplimiento dentro del alcance para cumplir con los requisitos de nivel alto del FedRAMP

Alojamiento de datos de los niveles alto y moderado del FedRAMP en Google Workspace

Google Workspace mantiene una P-ATO de nivel alto del FedRAMP, que puedes aprovechar para alojar datos en los niveles moderado y alto del FedRAMP. Si quieres implementar Google Workspace en tus entornos moderados y altos del FedRAMP, debes habilitar los servicios con autorización de nivel alto del FedRAMP. Obtén más información para activar o desactivar un servicio para Google Workspace

Además, las ediciones Google Workspace Business y Enterprise tienen controles de seguridad integrados y conjuntos de funciones que te permiten cumplir con los requisitos del nivel alto del FedRAMP y alinear tu propia ATO. Como usuario de Google Workspace, puedes configurar tu entorno para cumplir con los controles de residencia de datos del FedRAMP con una política de región de datos.

Proceso para obtener una autoridad para operar (ATO) del FedRAMP

Si te interesa alojar datos gubernamentales en Google Cloud, es posible que también desees buscar tu propia autoridad para operar (ATO). Debes considerar los siguientes eventos importantes para lograr una ATO en Google Cloud:

  • Determinar si los datos dentro del alcance requieren la autorización de los niveles alto o moderado del FedRAMP
  • Seleccionar Assured Workloads para los servicios de Google Cloud dentro del alcance. El nivel moderado del FedRAMP se incluye en el nivel gratuito, mientras que el nivel alto del FedRAMP requiere una suscripción premium
  • Decidir tu límite del FedRAMP en Google Cloud
  • Configurar tus cargas de trabajo de acuerdo con el modelo de responsabilidad compartida, la matriz de responsabilidad del cliente, los servicios de Google Cloud dentro del alcance y los lineamientos del FedRAMP
  • Realizar una auditoría con una organización de evaluación de terceros (3PAO) acreditada por FedRAMP
  • Enviar tu paquete a la Agencia Federal para su revisión y autorización

Para obtener más información sobre el proceso de ATO, consulta el sitio web del FedRAMP. Para obtener asistencia adicional de Google Cloud sobre la ATO del FedRAMP, visita nuestra página de asesoramiento de Google Cloud

Preguntas frecuentes

El reciente borrador del memorando del FedRAMP de la Oficina de Administración y Presupuesto, que respalda un enfoque moderno de la nube basado en una separación lógica basada en software, en lugar de una separación física, es un gran paso en la dirección correcta. Google Cloud fue pionero en este enfoque y considera que ayuda a los clientes a escalar e innovar de forma segura.

FedRAMP permite diferentes niveles de herencia de las ofertas de servicios en la nube que usan infraestructuras, plataformas y servicios autorizados por FedRAMP. Este análisis inicial de control en comparación con la herencia determinará cuánta responsabilidad de cumplimiento tendrás como cliente que implementa aplicaciones en Google Cloud. 

Por ejemplo, si tu organización prefiere compilar toda la pila de aplicaciones, también crearás más responsabilidades y obligaciones del cliente durante la evaluación de la entidad oficial que autoriza. Si usas la plataforma o el software como servicio, es posible que la carga de cumplimiento sea menor.

Una vez que selecciones los servicios autorizados por el FedRAMP, Google te ayudará a configurar la solución usando guías de configuración específicas del servicio o la interacción directa con expertos del FedRAMP en nuestra organización Google Cloud Consulting.

Google es uno de los primeros proveedores de servicios en la nube comercial a hiperescala en obtener una autorización del nivel alto del FedRAMP en una oferta de servicios en la nube pública comercial; además, es uno de los proveedores más grandes de servicios del FedRAMP disponibles en el mercado hoy en día. Antes, los proveedores a hiperescala separaban sus “govclouds” de las ofertas de servicios en la nube comercial para cumplir con los requisitos del FedRAMP High. Este enfoque puede garantizar el cumplimiento, pero estos entornos independientes a menudo no ofrecen todos los beneficios que puede proporcionar la infraestructura de nube de Google.

La autorización del nivel alto del FedRAMP de Google Cloud permite que los organismos gubernamentales que procesan cargas de trabajo de alto impacto adopten la tecnología a una velocidad mucho mayor y a la misma escala que los clientes comerciales, mientras aprovechan la infraestructura de nube pública única de Google, que incluye tanto sus funciones como su capacidad. Con Assured Workloads o Assured Controls, los clientes pueden proteger y configurar con confianza las cargas de trabajo sensibles para respaldar sus requisitos de cumplimiento y seguridad en la nube. Elige tu configuración de seguridad, y Google implementará los controles de nube necesarios.

A continuación, se muestra la lista de ediciones de Google Workspace autorizadas por el FedRAMP. Consulta la guía de configuración para implementar Google Workspace y garantizar el cumplimiento de los controles de seguridad del nivel alto del FedRAMP. 

Sí, se requieren Assured Workloads para obtener una ATO de los niveles moderado o alto del FedRAMP. Assured Workloads le brinda a Google Cloud la capacidad de identificar las cargas de trabajo federales del cliente y de aplicar barreras técnicas de seguridad para que coincidan con los cambios en las reglamentaciones federales. Google Cloud se comprometió a respaldar los requisitos de cumplimiento del FedRAMP, incluidos los presentados en la revisión 5 de la NIST 800-53 y cualquier versión futura de las cargas de trabajo que se ejecuten en Assured Workloads.

Además, Assured Workloads es la única forma en que Google Cloud cumple con los requisitos mejorados de asistencia y residencia de datos del nivel alto del FedRAMP. Assured Workloads no se aplica a Google Workspace, que tiene sus propios Assured Controls.


Uno de los beneficios de usar Google Cloud para tus cargas de trabajo gubernamentales es que ya existen varios controles obligatorios en nuestra infraestructura subyacente y en Assured Workloads. Por lo tanto, cuando envíes tu paquete del FedRAMP a una agencia federal para su autorización, también incluirás la SSP de Google, que describe los controles que administra Google Cloud. Comunícate con tu equipo de ventas para obtener una copia de la SSP de Google Cloud (se requiere un NDA).

GovRAMP es un programa de ciberseguridad establecido en 2021 para abordar las necesidades de los funcionarios de adquisiciones y seguridad de los gobiernos estatales y locales de EE.UU. Al igual que FedRAMP, se basa en el marco de trabajo NIST 800-53 y se modela, en parte, según FedRAMP. El GovRAMP también depende de las 3PAO acreditadas por el FedRAMP para realizar las evaluaciones. Google Cloud está listo para brindar asistencia a los clientes gubernamentales del GovRAMP con funciones mejoradas de residencia y asistencia a través de Assured Workloads.

FedRAMP Marketplace mantiene una lista de 3PAO reconocidas.

La SSP de Google Cloud cubre los recursos de Google para realizar pruebas de penetración, y puedes heredar este control si usas Google Cloud. También se deberá realizar una prueba de penetración del entorno del FedRAMP del cliente compilado con Google Cloud durante la evaluación de 3PAO.

Sí. FedRAMP permite diferentes niveles de herencia de las ofertas de servicios en la nube que usan infraestructuras, plataformas y servicios autorizados por FedRAMP. Este análisis inicial de control en comparación con la herencia determinará cuánta responsabilidad de cumplimiento tendrás como cliente que implementa aplicaciones en Google Cloud. 

Por ejemplo, si tu organización prefiere compilar toda la pila de aplicaciones, también crearás más responsabilidades y obligaciones del cliente durante la evaluación de la entidad oficial que autoriza. Si usas la plataforma o el software como servicio, es posible que la carga de cumplimiento sea menor.

Una vez que selecciones los servicios autorizados por el FedRAMP, Google te ayudará a configurar la solución usando guías de configuración específicas del servicio o la interacción directa con expertos del FedRAMP en nuestra organización Google Cloud Consulting.

En línea con el estándar NIST SP 800-131A Rev. 2, Transición del uso de algoritmos criptográficos y longitudes de clave, los clientes buscan dar de baja el uso de 3DES. Google Cloud no usa 3DES, pero, para brindar asistencia a todos nuestros clientes, sigue estando disponible en los endpoints de Google. Dentro de nuestras políticas de la organización de Assured Workloads, la Política de la organización de restricción de la versión de TLS ahora proporciona seguridad mejorada para los clientes de Google Cloud, ya que mitiga el uso de conjuntos de algoritmos de cifrado 3DES menos seguros. Cuando la política está habilitada en las cargas de trabajo del cliente, se denegará el acceso a los recursos de Google Cloud a las solicitudes que empleen conjuntos de algoritmos de cifrado basados en la encriptación 3DES. La Política de la organización de restricción de la versión de TLS se aplica de forma predeterminada para Assured Workloads para FedRAMP.

Servicios incluidos en el alcance

Los servicios de Google Cloud y Google Workspace incluidos en el alcance de FedRAMP High se enumeran en Alcance del cumplimiento de FedRAMP y DoD.

Da el siguiente paso

Comienza a desarrollar en Google Cloud con el crédito gratis de $300 y los más de 20 productos del nivel Siempre gratuito.

Google Cloud
DocumentaciónAsistencia
Consola
Acceder
Security
Inteligencia contra amenazasSecOpsSeguridad en la nubeAsesoríaRecursos de seguridad
  • Acelera tu transformación digital
  • Google Cloud puede ayudarte a superar los desafíos más complejos, ya sea que tu negocio recién comience su recorrido o se encuentre en una fase avanzada de la transformación digital.
  • Productos de Google Cloud
  • Explora más de 100 productos. Los clientes nuevos obtienen $300 en créditos gratuitos para ejecutar, probar e implementar cargas de trabajo. Todos los clientes pueden usar más de 25 productos gratis, hasta alcanzar los límites de uso mensuales.
  • Ahorra dinero con nuestro enfoque transparente de precios
  • Los precios de prepago de Google Cloud ofrecen ahorros automáticos en función del uso mensual y las tarifas con descuento para recursos prepagados. Comunícate con nosotros hoy para obtener una cotización.
Google Cloud