FedRAMP
El Programa Federal de Administración de Autorizaciones y Riesgo (FedRAMP) es un programa del Gobierno de Estados Unidos que brinda un enfoque estandarizado en relación con la evaluación de la seguridad, la autorización y la supervisión continua de los productos y servicios en la nube. En 2022, el Congreso codificó el FedRAMP como “un programa para todo el Gobierno que ofrece un enfoque estandarizado y reutilizable en relación con la evaluación y autorización de la seguridad para los productos y servicios de computación en la nube que procesan información sin clasificar que utilizan las agencias”.
Todas las implementaciones en la nube y los modelos de servicios de las agencias federales, además de ciertas nubes privadas locales, deben cumplir con los requisitos del FedRAMP en el nivel adecuado de impacto de riesgos (bajo, moderado o alto).
Los clientes interesados en alojar servicios autorizados por el FedRAMP en Google Cloud deben usar Assured Workloads para cumplir con el nivel de impacto moderado o alto de FedRAMP. Sigue leyendo para obtener más detalles.
Cumplimiento del FedRAMP de Google Cloud
La Junta del FedRAMP (antes conocida como Junta de Autorización) es el organismo administrativo principal del FedRAMP y, además, incluye el Departamento de Defensa (DoD), el Departamento de Seguridad Nacional (DHS) y los Servicios Generales de Administración (GSA) y otras agencias, según lo determinen el administrador de la app y el director del FedRAMP.
La Junta del FedRAMP emitió la autoridad para operar (ATO) de los niveles alto y moderado del FedRAMP a la infraestructura de Google Cloud y a las Ofertas de Servicios (CSO) específicas de Google Cloud. Google Cloud envía de forma habitual servicios adicionales a la junta para las aprobaciones de los niveles alto y moderado del FedRAMP.
Google Cloud proporciona evidencia adicional del cumplimiento del FedRAMP directamente a los clientes que ya tienen un acuerdo de confidencialidad (NDA) con nosotros. La documentación disponible bajo el NDA incluye lo siguiente:
- Matriz de responsabilidad del cliente (CRM) del FedRAMP
- Plan de seguridad del sistema (SSP) de Google Cloud
- Informes de pruebas de penetración y otros documentos
Nuestro equipo de ventas o tu representante de Google Cloud pueden ayudarte a obtener acceso a esta documentación extendida. Los clientes del sector gubernamental también pueden solicitar el paquete del FedRAMP de Google a través de la Oficina de Administración del Programa FedRAMP con el formulario de solicitud del paquete.
En el caso de los clientes que compran a través de un socio de Google, los términos y condiciones de la compra se derivan de nuestros socios.
Cumplimiento del FedRAMP en Google Workspace
Google Workspace cumple con varios estándares globales y gubernamentales federales de EE.UU. para la seguridad y privacidad en la nube. Además de mantener una autorización de FedRAMP High, Google Workspace también cuenta con las certificaciones ISO 27017, 27018 y 27001, y se auditó según los estándares del Control de Organización de Servicios (SOC) del Instituto Estadounidense de Contadores Públicos Certificados (AICPA).
Datos de FedRAMP High en Google Cloud VMware Engine (GCVE)
A fines de 2023, la Oficina de administración de programas (PMO) de FedRAMP completó la revisión del informe de evaluación de preparación (RAR) para nivel High de Google Cloud VMware Engine (GCVE) proporcionado por una organización de evaluación externa (3PAO). En función de los resultados positivos de la revisión, ya que no se encontraron debilidades de capacidad notables, se aceptó a GCVE como una oferta de FedRAMP High Ready (ID de paquete de FedRAMP FR2405153785).
Alcanzar el nivel FedRAMP High Ready le indica al Gobierno federal de EE.UU. que GCVE tiene una alta probabilidad de obtener una autorización de FedRAMP. GCVE también cuenta con las certificaciones ISO 27017, 27018, 27001 y PCI DSS, y se audita según los estándares de Control de Organización de Servicios (SOC) del Instituto Estadounidense de Contadores Públicos Certificados (AICPA).
Alojamiento de cargas de trabajo de los niveles alto y moderado del FedRAMP en Google Cloud
La inversión de Google Cloud en seguridad de forma predeterminada para nuestra infraestructura garantiza que los controles de seguridad estén integrados y preconfigurados para permitir que los clientes alcancen varios niveles de cumplimiento sin una arquitectura de nube gubernamental aislada tradicional.
Los clientes que quieran implementar sus soluciones con Google Cloud en sus entornos alto y moderado del FedRAMP deben usar Assured Workloads. Assured Workloads permite a los clientes proteger y configurar con confianza cargas de trabajo sensibles para satisfacer los requisitos de cumplimiento y seguridad usando los servicios de Google Cloud. Assured Workloads no depende de una infraestructura física distinta de la de sus centros de datos en la nube pública. En cambio, ofrece una nube comunitaria definida por software que ofrece ventajas de costo, innovación y velocidad.
Los servicios autorizados por el FedRAMP que se ponen a disposición a través de Assured Workloads implementan controles de seguridad del FedRAMP y permiten que los clientes usen las funciones de Google Cloud para satisfacer las necesidades de su organización. Assured Workloads también proporciona visibilidad del estado de cumplimiento de las cargas de trabajo del FedRAMP a través de Assured Workloads Monitoring. Esta herramienta puede ayudarte a detectar y solucionar los incumplimientos, y proporcionar certificaciones de control a los auditores de tu estado de cumplimiento.
Además de los controles que cumple el FedRAMP High ATO de la infraestructura de Google Cloud, Assured Workloads implementa los siguientes controles clave del nivel alto del FedRAMP de forma predeterminada para los clientes que administran datos gubernamentales de este nivel del FedRAMP:
- Establece barreras de seguridad para restringir la ubicación de los datos de clientes del nivel alto del FedRAMP a EE.UU.
- Restringe al personal de asistencia técnica al personal designado por el FedRAMP que se encuentra en EE.UU.
- Aplica de manera forzosa el uso de encriptación en reposo y en tránsito que cumple con el estándar FIPS-140-2.
- Implementa controles de acceso de personal requeridos por el FedRAMP para aquellos con acceso de rutina a datos de clientes.
- Restringe a los desarrolladores a usar solo productos y servicios que cumplan con el FedRAMP.
- Se aplica una segmentación lógica del límite de cumplimiento dentro del alcance para cumplir con los requisitos del FedRAMP de niveles moderado y alto.
Alojamiento de datos de los niveles alto y moderado del FedRAMP en Google Workspace
Google Workspace mantiene una ATO de nivel alto del FedRAMP, que los clientes pueden aprovechar para alojar datos en los niveles moderado y alto del FedRAMP. Los clientes que buscan implementar Google Workspace en sus entornos moderados y altos del FedRAMP deben habilitar los servicios autorizados por el FedRAMP que cumplan con la autorización correspondiente. Obtén más información para activar o desactivar un servicio para Google Workspace.
Además, las ediciones Google Workspace Business y Enterprise tienen controles de seguridad integrados y conjuntos de funciones que permiten que los clientes se reúnan con el nivel alto del FedRAMP y alineen sus propias ATO. Los usuarios de Google Workspace pueden configurar sus entornos para cumplir con los controles de residencia de datos de FedRAMP con una política de región de datos.
Proceso para obtener una autoridad para operar (ATO) del FedRAMP
Es posible que los clientes que estén interesados en alojar datos gubernamentales en Google Cloud también deseen buscar su propia autoridad para operar (ATO). Las organizaciones deben considerar los siguientes eventos importantes para lograr una ATO en Google Cloud:
- Determinar si los datos dentro del alcance requieren los niveles alto o moderado del FedRAMP
- Seleccionar Assured Workloads (FedRAMP moderado es el nivel gratuito y FedRAMP alto requiere una suscripción premium) para los servicios de Google Cloud dentro del alcance
- Decidir tu límite del FedRAMP en Google Cloud
- Configurar tus cargas de trabajo de acuerdo con el modelo de responsabilidad compartida, la matriz de responsabilidad del cliente, los servicios de Google Cloud dentro del alcance y los lineamientos del FedRAMP
- Realizar una auditoría con una organización de evaluación de terceros (3PAO)
- Enviar tu paquete a la Junta del FedRAMP o a la Agencia Federal para su revisión y autorización
Para obtener más información sobre el proceso de ATO, consulta el sitio web del FedRAMP. Para obtener asistencia adicional de Google Cloud sobre la ATO del FedRAMP, visita nuestra página de consultoría de Google Cloud.