Ir a

FedRAMP

El Programa Federal de Administración de Autorizaciones y Riesgo (FedRAMP) es un programa del Gobierno de Estados Unidos que brinda un enfoque estandarizado en relación con la evaluación de la seguridad, la autorización y la supervisión continua de los productos y servicios en la nube. En 2022, el Congreso codificó el FedRAMP como “un programa para todo el Gobierno que ofrece un enfoque estandarizado y reutilizable en relación con la evaluación y autorización de la seguridad para los productos y servicios de computación en la nube que procesan información sin clasificar que utilizan las agencias”.

Todas las implementaciones en la nube y los modelos de servicios de las agencias federales, además de ciertas nubes privadas locales, deben cumplir con los requisitos del FedRAMP en el nivel adecuado de impacto de riesgos (bajo, moderado o alto).

Los clientes interesados en alojar servicios autorizados por el FedRAMP en Google Cloud deben usar Assured Workloads para cumplir con el nivel de impacto moderado o alto de FedRAMP. Sigue leyendo para obtener más detalles.

Cumplimiento del FedRAMP de Google Cloud

La Junta del FedRAMP (antes conocida como Junta de Autorización) es el organismo administrativo principal del FedRAMP y, además, incluye el Departamento de Defensa (DoD), el Departamento de Seguridad Nacional (DHS) y los Servicios Generales de Administración (GSA) y otras agencias, según lo determinen el administrador de la app y el director del FedRAMP.

La Junta del FedRAMP emitió la autoridad para operar (ATO) de los niveles alto y moderado del FedRAMP a la infraestructura de Google Cloud y a las Ofertas de Servicios (CSO) específicas de Google Cloud. Google Cloud envía de forma habitual servicios adicionales a la junta para las aprobaciones de los niveles alto y moderado del FedRAMP.

Google Cloud proporciona evidencia adicional del cumplimiento del FedRAMP directamente a los clientes que ya tienen un acuerdo de confidencialidad (NDA) con nosotros. La documentación disponible bajo el NDA incluye lo siguiente:

  • Matriz de responsabilidad del cliente (CRM) del FedRAMP
  • Plan de seguridad del sistema (SSP) de Google Cloud
  • Informes de pruebas de penetración y otros documentos

Nuestro equipo de ventas o tu representante de Google Cloud pueden ayudarte a obtener acceso a esta documentación extendida. Los clientes del sector gubernamental también pueden solicitar el paquete del FedRAMP de Google a través de la Oficina de Administración del Programa FedRAMP con el formulario de solicitud del paquete. 

En el caso de los clientes que compran a través de un socio de Google, los términos y condiciones de la compra se derivan de nuestros socios.

Cumplimiento del FedRAMP en Google Workspace

Google Workspace cumple con varios estándares globales y gubernamentales federales de EE.UU. para la seguridad y privacidad en la nube. Además de mantener una autorización de FedRAMP High, Google Workspace también cuenta con las certificaciones ISO 27017, 27018 y 27001, y se auditó según los estándares del Control de Organización de Servicios (SOC) del Instituto Estadounidense de Contadores Públicos Certificados (AICPA).

Datos de FedRAMP High en Google Cloud VMware Engine (GCVE)

A fines de 2023, la Oficina de administración de programas (PMO) de FedRAMP completó la revisión del informe de evaluación de preparación (RAR) para nivel High de Google Cloud VMware Engine (GCVE) proporcionado por una organización de evaluación externa (3PAO). En función de los resultados positivos de la revisión, ya que no se encontraron debilidades de capacidad notables, se aceptó a GCVE como una oferta de FedRAMP High Ready (ID de paquete de FedRAMP FR2405153785).

Alcanzar el nivel FedRAMP High Ready le indica al Gobierno federal de EE.UU. que GCVE tiene una alta probabilidad de obtener una autorización de FedRAMP. GCVE también cuenta con las certificaciones ISO 27017, 27018, 27001 y PCI DSS, y se audita según los estándares de Control de Organización de Servicios (SOC) del Instituto Estadounidense de Contadores Públicos Certificados (AICPA).

Alojamiento de cargas de trabajo de los niveles alto y moderado del FedRAMP en Google Cloud

La inversión de Google Cloud en seguridad de forma predeterminada para nuestra infraestructura garantiza que los controles de seguridad estén integrados y preconfigurados para permitir que los clientes alcancen varios niveles de cumplimiento sin una arquitectura de nube gubernamental aislada tradicional.

Los clientes que quieran implementar sus soluciones con Google Cloud en sus entornos alto y moderado del FedRAMP deben usar Assured Workloads. Assured Workloads permite a los clientes proteger y configurar con confianza cargas de trabajo sensibles para satisfacer los requisitos de cumplimiento y seguridad usando los servicios de Google Cloud. Assured Workloads no depende de una infraestructura física distinta de la de sus centros de datos en la nube pública. En cambio, ofrece una nube comunitaria definida por software que ofrece ventajas de costo, innovación y velocidad.

Los servicios autorizados por el FedRAMP que se ponen a disposición a través de Assured Workloads implementan controles de seguridad del FedRAMP y permiten que los clientes usen las funciones de Google Cloud para satisfacer las necesidades de su organización. Assured Workloads también proporciona visibilidad del estado de cumplimiento de las cargas de trabajo del FedRAMP a través de Assured Workloads Monitoring. Esta herramienta puede ayudarte a detectar y solucionar los incumplimientos, y proporcionar certificaciones de control a los auditores de tu estado de cumplimiento.

Además de los controles que cumple el FedRAMP High ATO de la infraestructura de Google Cloud, Assured Workloads implementa los siguientes controles clave del nivel alto del FedRAMP de forma predeterminada para los clientes que administran datos gubernamentales de este nivel del FedRAMP: 

  1. Establece barreras de seguridad para restringir la ubicación de los datos de clientes del nivel alto del FedRAMP a EE.UU.
  2. Restringe al personal de asistencia técnica al personal designado por el FedRAMP que se encuentra en EE.UU.
  3. Aplica de manera forzosa el uso de encriptación en reposo y en tránsito que cumple con el estándar FIPS-140-2.
  4. Implementa controles de acceso de personal requeridos por el FedRAMP para aquellos con acceso de rutina a datos de clientes. 
  5. Restringe a los desarrolladores a usar solo productos y servicios que cumplan con el FedRAMP.
  6. Se aplica una segmentación lógica del límite de cumplimiento dentro del alcance para cumplir con los requisitos del FedRAMP de niveles moderado y alto.

Alojamiento de datos de los niveles alto y moderado del FedRAMP en Google Workspace

Google Workspace mantiene una ATO de nivel alto del FedRAMP, que los clientes pueden aprovechar para alojar datos en los niveles moderado y alto del FedRAMP. Los clientes que buscan implementar Google Workspace en sus entornos moderados y altos del FedRAMP deben habilitar los servicios autorizados por el FedRAMP que cumplan con la autorización correspondiente. Obtén más información para activar o desactivar un servicio para Google Workspace

Además, las ediciones Google Workspace Business y Enterprise tienen controles de seguridad integrados y conjuntos de funciones que permiten que los clientes se reúnan con el nivel alto del FedRAMP y alineen sus propias ATO. Los usuarios de Google Workspace pueden configurar sus entornos para cumplir con los controles de residencia de datos de FedRAMP con una política de región de datos.

Proceso para obtener una autoridad para operar (ATO) del FedRAMP

Es posible que los clientes que estén interesados en alojar datos gubernamentales en Google Cloud también deseen buscar su propia autoridad para operar (ATO). Las organizaciones deben considerar los siguientes eventos importantes para lograr una ATO en Google Cloud:

  • Determinar si los datos dentro del alcance requieren los niveles alto o moderado del FedRAMP
  • Seleccionar Assured Workloads (FedRAMP moderado es el nivel gratuito y FedRAMP alto requiere una suscripción premium) para los servicios de Google Cloud dentro del alcance
  • Decidir tu límite del FedRAMP en Google Cloud
  • Configurar tus cargas de trabajo de acuerdo con el modelo de responsabilidad compartida, la matriz de responsabilidad del cliente, los servicios de Google Cloud dentro del alcance y los lineamientos del FedRAMP
  • Realizar una auditoría con una organización de evaluación de terceros (3PAO)
  • Enviar tu paquete a la Junta del FedRAMP o a la Agencia Federal para su revisión y autorización

Para obtener más información sobre el proceso de ATO, consulta el sitio web del FedRAMP. Para obtener asistencia adicional de Google Cloud sobre la ATO del FedRAMP, visita nuestra página de consultoría de Google Cloud

Preguntas frecuentes

El reciente borrador del memorando del FedRAMP de la Oficina de Administración y Presupuesto, que respalda un enfoque moderno de la nube basado en una separación lógica basada en software, en lugar de una separación física, es un gran paso en la dirección correcta. Google Cloud fue pionero en este enfoque y considera que ayuda a los clientes a escalar e innovar de forma segura.

El FedRAMP permite varios niveles de herencia para los proveedores de servicios en la nube (CSPs) que usan infraestructura, plataformas y servicios autorizados por el FedRAMP. Este análisis inicial de control en comparación con la herencia determinará cuánta responsabilidad de cumplimiento tendrás como CSP. 

Por ejemplo, si tu organización prefiere compilar toda la pila de la aplicación, también crearás más responsabilidades y obligaciones del cliente durante la evaluación de la entidad oficial que autoriza. Si usas la plataforma o el software como servicio, es posible que la carga de cumplimiento sea menor.

Una vez que selecciones los servicios autorizados por el FedRAMP, Google te ayudará a configurar la solución usando guías de configuración específicas del servicio o la interacción directa con expertos del FedRAMP en nuestra organización Google Cloud Consulting.

Google es uno de los primeros proveedores de servicios en la nube comercial a hiperescala en obtener el nivel alto del FedRAMP en una oferta de servicios en la nube pública comercial; además, es uno de los proveedores más grandes de servicios del FedRAMP disponibles en el mercado hoy en día. Antes, los proveedores a hiperescala separaban sus “govclouds” de las ofertas de servicios en la nube comercial para cumplir con los requisitos del nivel alto del FedRAMP. Este enfoque puede garantizar el cumplimiento, pero estos entornos independientes a menudo no ofrecen todos los beneficios que puede proporcionar la infraestructura de nube de Google.

La autorización del nivel alto del FedRAMP de Google Cloud permite que los organismos gubernamentales que procesan cargas de trabajo de alto impacto adopten la tecnología a una velocidad mucho mayor y a la misma escala que los clientes comerciales, y que aprovechen la infraestructura de nube pública única de Google, que incluye tanto sus funciones como su capacidad. Con Assured Workloads o Assured Controls, los clientes pueden proteger y configurar con confianza las cargas de trabajo sensibles para respaldar sus requisitos de cumplimiento y seguridad en la nube. Elige tu configuración de seguridad, y Google implementará los controles de nube necesarios. 

A continuación, se muestra la lista de ediciones de Google Workspace autorizadas por el FedRAMP. Esta es la guía de configuración para implementar Google Workspace y garantizar el cumplimiento de los controles de seguridad del nivel alto del FedRAMP. 

Sí, se requieren Assured Workloads para obtener una ATO de los niveles moderado o alto del FedRAMP. Assured Workloads brinda a Google Cloud la capacidad de identificar las cargas de trabajo federales del cliente y aplicar barreras técnicas de seguridad para que coincidan con los cambios en las reglamentaciones federales. Google Cloud se comprometió a mantener los requisitos de cumplimiento del FedRAMP, incluidos los presentados en la revisión 5 de la NIST 800-53 y cualquier versión futura de las cargas de trabajo que se ejecuten en Assured Workloads.

Además, Assured Workloads es la única forma en que Google Cloud cumple con los requisitos mejorados de asistencia y residencia de datos del nivel alto del FedRAMP. Assured Workloads no se aplica a Google Workspace, que tiene sus propios controles.

Uno de los beneficios de usar Google Cloud para tus cargas de trabajo gubernamentales es que ya existen varios controles obligatorios en nuestra infraestructura subyacente y en Assured Workloads. Por lo tanto, cuando envíes tu paquete del FedRAMP a la Junta del FedRAMP para su autorización, también incluirás la SSP de Google, que describe los controles que administra Google Cloud. Comunícate con tu equipo de ventas para obtener una copia de la SSP de Google Cloud (se requiere un NDA).

El grupo StateRAMP (State Risk and Authorization Management Program) es una organización de membresía sin fines de lucro que estableció la certificación del StateRAMP. Al igual que el FedRAMP, se basa en el marco de trabajo NIST 800-53 y se modela, en parte, según el FedRAMP. El StateRAMP también depende de las 3PAO autorizadas por el FedRAMP para realizar las evaluaciones. Google Cloud está listo para brindar asistencia a los clientes gubernamentales del StateRAMP con funciones mejoradas de residencia y asistencia a través de Assured Workloads.

FedRAMP Marketplace mantiene una lista de 3PAO calificadas.

La SSP de Google Cloud cubre los recursos de Google para realizar pruebas de penetración, y los clientes pueden heredar este control si usan Google Cloud. También se deberá realizar una prueba de penetración del entorno del FedRAMP del cliente compilado con Google Cloud durante la evaluación de 3PAO.

El FedRAMP permite varios niveles de herencia para los proveedores de servicios en la nube (CSPs) que usan infraestructura, plataformas y servicios autorizados por el FedRAMP. Este análisis inicial de control en comparación con la herencia determinará cuánta responsabilidad de cumplimiento tendrás como CSP. 

Por ejemplo, si tu organización prefiere compilar toda la pila de la aplicación, también crearás más responsabilidades y obligaciones del cliente durante la evaluación de la entidad oficial que autoriza. Si usas la plataforma o el software como servicio, es posible que la carga de cumplimiento sea menor.

Una vez que selecciones los servicios autorizados por el FedRAMP, Google te ayudará a configurar la solución usando guías de configuración específicas del servicio o la interacción directa con expertos del FedRAMP en nuestra organización Google Cloud Consulting.

Assured Workloads es una función de Google Cloud que los clientes pueden usar para activar parámetros de configuración de proyectos específicos a fin de cumplir con sus regímenes de cumplimiento. Los clientes pueden establecer políticas de la organización para satisfacer los requisitos de cumplimiento por sí mismos sin usar Assured Workloads. Los productos se integran de forma discreta en Assured Workloads y aplican las políticas de la organización por sí mismos.

La consola de Google Cloud es una interfaz de usuario sencilla basada en la Web que contiene funciones para ayudar a los clientes con la implementación. Es un framework, es decir, no un servicio, creado en la infraestructura de Google Cloud que proporciona a los clientes una interfaz para administrar sus recursos de Google Cloud. Los clientes de la consola de Cloud interactúan directamente con las APIs individuales de los servicios de Google Cloud y usan las APIs de los servicios para procesar la IU. Por sí sola, la consola de Cloud no tiene una API con la que los clientes puedan interactuar con ella. Los clientes interactúan directamente con las APIs individuales de los servicios de Google Cloud. La consola de Cloud usa esas APIs de servicio para renderizar la IU.

Servicios incluidos en el alcance

ID del paquete de FedRAMP FR1805751477

* Ten en cuenta que todos los servicios de Google Cloud cubiertos por el nivel alto del FedRAMP también están cubiertos por el nivel moderado del FedRAMP.

* Nota: Las plataformas de los niveles moderado y alto del FedRAMP implementan controles que restringen las conexiones de TLS 1.1/1.0 a nivel de dominio.

App Engine

Assured Workloads

BigQuery

Cloud Bigtable

Cloud DNS

Cloud HSM

Cloud Identity

Cloud Key Management Service

Cloud Logging

Cloud Spanner

Cloud SQL

Cloud Storage

Compute Engine

Container Registry

Dataflow

Dataproc

Firestore

Google Kubernetes Engine

Consola del administrador (incluidos el SDK de Admin y Directory Sync)

Identity and Access Management (IAM)

Memorystore de Memcache

Memorystore for Redis

Persistent Disk

Pub/Sub

Sensitive Data Protection (incluida Cloud Data Loss Prevention)

Nube privada virtual

ID del paquete de FedRAMP FR1805751477

* Ten en cuenta que todos los servicios de Google Cloud cubiertos por el nivel alto del FedRAMP también están cubiertos por el nivel moderado del FedRAMP.

* Nota: Las plataformas de los niveles moderado y alto del FedRAMP implementan controles que restringen las conexiones de TLS 1.1/1.0 a nivel de dominio.

Access Context Manager

Transparencia de acceso

AI Platform Training and Prediction (anteriormente Cloud Machine Learning Engine)

Anthos Identity Service

Apigee

AutoML Natural Language

AutoML Tables

AutoML Translation

AutoML Video Intelligence

AutoML Vision

BeyondCorp Enterprise

Servicio de transferencia de datos de BigQuery

Autorización binaria

Care Studio (Cloud Healthcare Search)

CCAI Insights

Certificate Authority Service

Chronicle SIEM (anteriormente Chronicle Security)

API de Cloud Billing

Cloud Build

Cloud CDN

Cloud Composer

Cloud Data Fusion

Cloud Deployment Manager

Cloud Endpoints

Cloud Error Reporting

Cloud External Key Manager

Cloud Functions

Cloud Functions para Firebase

API de Cloud Healthcare

IDS de Cloud

Cloud Interconnect

Cloud Life Sciences (antes Google Genomics)

Cloud Load Balancing

Cloud Monitoring

Cloud NAT (traducción de direcciones de red)

API de Cloud Natural Language

Cloud Profiler

Cloud Router

Cloud Run (completamente administrado)

Cloud Run for Anthos

Cloud Scheduler

SDK de Cloud

Cloud Shell

Cloud Source Repositories

Cloud Storage para Firebase

Cloud Tasks

Cloud Trace (antes llamado Stackdriver Trace)

Cloud Translation

API de Cloud Vision

Cloud VPN

Config Management

Conéctate

Contact Center AI (CCAI)

Data Catalog

Database Migration Service

Datalab

Datastore

Datastream

Dialogflow

Document AI

Earth Engine

Filestore (niveles HDD básico y SSD básico)

Game Servers

GKE Hub

App de Google Cloud

Google Cloud Armor

Google Cloud CLI

Consola de Google Cloud

Google Cloud Marketplace

Google Cloud Identity-Aware Proxy

Identity Platform

IoT Core

Key Access Justifications (KAJ)

Looker Studio (incluido Pro, anteriormente Google Data Studio)

Network Connectivity Center

Niveles de servicio de red

API de Resource Manager

Secret Manager

Security Command Center (incluido Web Security Scanner) (anteriormente Cloud Security Scanner)

Sensitive Data Protection (incluida Cloud Data Loss Prevention)

Directorio de servicios

Service Infrastructure (anteriormente Control de servicios; incluye la API de Service Management y la API de Service Consumer Management)

Malla de servicios

Speech‑to‑Text

Servicio de transferencia de almacenamiento

Talent Solution

Text-to-Speech

Traffic Director

API de Video Intelligence

Notebooks administrados por el usuario de Vertex AI Workbench (anteriormente AI Platform Notebooks)

Controles del servicio de VPC

API de Web Risk

Workflows

Federación de identidades de personal

* Nota: Las plataformas de los niveles moderado y alto del FedRAMP implementan controles que restringen las conexiones de TLS 1.1/1.0 a nivel de dominio.

Google Workspace Business Plus

Google Workspace Business Standard

Google Workspace Enterprise Plus

Google Workspace Enterprise Standard

ID de paquete FedRAMP F1206081364

* Ten en cuenta que la Consola del administrador y Cloud Identity ahora forman parte del paquete de servicios de Google (FR1805751477).

* Nota: Las plataformas de los niveles moderado y alto del FedRAMP implementan controles que restringen las conexiones de TLS 1.1/1.0 a nivel de dominio.

Calendario

Documentos

Drive

Formularios

Gmail

Google Chat

Google Meet

Keep

Nueva versión de Sites

Hojas de cálculo

Presentaciones

Vault

Todas las regiones de Google Cloud que se encuentran en el nivel alto del FedRAMP también están cubiertas por el nivel moderado del FedRAMP

Oregón (us-west1) - nivel alto del FedRAMP

Los Ángeles (us-west2) - nivel alto del FedRAMP

Salt Lake City (us-west3) - nivel alto del FedRAMP

Las Vegas (us-west4) - nivel alto del FedRAMP

Iowa (us-central1) - nivel alto del FedRAMP

Oklahoma (us-central2) - nivel alto del FedRAMP

Carolina del Sur (us-east1) - nivel alto del FedRAMP

Virginia del Norte (us-east4) - nivel alto del FedRAMP

Columbus (us-east5) - nivel alto del FedRAMP

Dallas (us-south1): nivel alto del FedRAMP

Montreal (northamerica-northeast1) - nivel moderado del FedRAMP

São Paulo (southamerica-east1) - nivel moderado del FedRAMP

Bélgica (europe-west1) - nivel moderado del FedRAMP

Londres (europe-west2) - nivel moderado del FedRAMP

Fráncfort (europe-west3) - nivel moderado del FedRAMP

Países Bajos (europe-west4) - nivel moderado del FedRAMP

Finlandia (europe-north1) - nivel moderado del FedRAMP

Bombay (asia-south1) - nivel moderado del FedRAMP

Singapur (asia-southeast1) - nivel moderado del FedRAMP

Taiwán (asia-east1) - nivel moderado del FedRAMP

Tokio (asia-northeast1) - nivel moderado del FedRAMP

Sídney (australia-southeast1) - nivel moderado del FedRAMP

Zúrich (europe-west6) - nivel moderado del FedRAMP

Varsovia (europe-central2) - nivel moderado del FedRAMP

Yakarta (asia-southeast2) - nivel moderado del FedRAMP

Osaka (asia-northeast2) - nivel moderado del FedRAMP

Seúl (asia-northeast3) - nivel moderado del FedRAMP